1. 要点

Zoho Bookings は、個人を特定できるお客様の機微な医療情報を、HIPAA に準拠した方法で保護します。

2. 機能の提供状況

• 対象プラン: プレミアムプランのみ。
• ロール

• スーパー管理者と管理者は、HIPAA サポートを有効化／無効化できます。
• ワークスペース管理者は、管理者によって HIPAA サポート機能が有効化された後に、予約フォームの項目を 電子的保護対象医療情報/PII としてマークできます。
• マネージャーとスタッフは、マークされた予約フォームの項目を閲覧できます。

3. Zoho Bookings における HIPAA サポート

医療保険の携行性と責任に関する法律（プライバシー規則、セキュリティ規則、侵害通知規則、および医療の経済的・臨床的健康のための情報技術に関する法律を含む）（以下「HIPAA」）は、 対象事業者およびビジネスアソシエイト に対し、個人を特定できる医療情報を保護するための一定の措置を講じることを求めるとともに、個人に対して一定の権利を付与しています。Zoho は、自社の目的のために HIPAA により保護される医療情報を収集・利用・保存・管理することはありません。ただし、Zoho Bookings には、お客様が Zoho Bookings を HIPAA に準拠した形で利用できるようにするための機能（以下に記載）があります。  

HIPAA では、対象事業者がビジネスアソシエイトとビジネスアソシエイト契約（BAA）を締結することが求められています。BAA テンプレートは、legal@zohocorp.com 宛にメールを送信してご請求いただけます。

Zoho Bookings には、電子的保護対象医療情報を保護するための仕組みがあります。お客様情報（電子的保護対象医療情報/PII）を収集する際、登録フォームの項目を安全に取り扱うよう設定できます。

Zoho Bookings 内では、HIPAA 準拠に関して次の操作を行えます。

• HIPAA の有効化
• 電子的保護対象医療情報/PII の暗号化
• HIPAA の無効化

3.1 暗号化と監査

電子的保護対象医療情報/PII としてマークされた登録フォーム項目で取得されたデータは、次のように扱われます。

• 保存時に暗号化される
• Zoho Bookings の外部（他の Zoho アプリを含む）には共有されない
• アプリ内の表示箇所ではマスクされる
• 継続的に監査され、アクティビティが監視される
  
  

データ監査は、お客様データの安全性を確保し、想定外の変更や利用傾向を監視するのに役立ちます。Zoho Bookings では、監査ログ（顧客データベースの各レコードに対して行われた追加・更新・削除の履歴）を、最大 1 年間バックエンドに保存します。監査ログは、お客様からの要求があった場合にのみ共有されます。

監査ログへのアクセスを希望する場合は、support@zohobookings.com までメールでお問い合わせください。

メモ: HIPAA サポートを有効にできるのは、ゲストユーザー項目と、SingleLine、CheckBox、DropDown、メール、RadioButton、Date のカスタム項目タイプのみです。現時点では、HIPAA サポートは既定項目（Name、メール、Contact Number）およびカスタムの MultiLine 項目タイプには適用できません。

4. HIPAA を実装する手順

4.1HIPAA を有効にする

1. Bookings のメニューバー右上にある Admin Center アイコン をクリックします。
2. [Privacy and Security] を、[Data Administration] セクションから選択します。
   
3. HIPAA Support のトグルを有効にします。HIPAA Support を有効にすると、予約フォームの項目を 電子的保護対象医療情報/PII としてマークできます。これにより、該当する入力項目は暗号化されて保護されます。
   

4.2 フォーム項目を 電子的保護対象医療情報/PII としてマークする

新規および既存のカスタムフォーム項目 に対して、電子的保護対象医療情報/PII としてマークすることで、機微なデータの暗号化および復号を行えるようにできます。

1. ［Event Types］に移動し、対象のイベントタイプを選択して、［Booking Form］をクリックします。
2. 対象の項目（この例ではBlood Pressure）にカーソルを合わせ、編集アイコンをクリックします。
3. チェックボックス［電子的保護対象医療情報/PII としてマーク］を選択し、その項目（この例ではBlood Pressure）に機微情報が含まれることを示して、［Save］をクリックします。
   
   
   

4.2.1 複数フィールドの暗号化

HIPAA サポートは複数の項目に対して有効化できます。ただし、複数の項目を同時に電子的保護対象医療情報/PII としてマークしようとすると、次のようなエラーメッセージが表示される場合があります。

これは、1 つの登録フォーム項目を電子的保護対象医療情報/PII としてマークすると、バックエンドで設定が完了するまで一定の時間がかかるためです。最初の項目の設定処理中に、別の項目を同時に電子的保護対象医療情報/PII としてマークすると、設定全体が正しく行われない可能性があります。これを回避するため、別の項目を電子的保護対象医療情報/PII としてマークする場合は、しばらく時間をおいてから実行することをお勧めします。

5. HIPAA サポートを無効にする

1. Bookings のメニューバー右上にある［Admin center］アイコンをクリックします。
2. ［Privacy and Security］を、Data Administrationの下から選択します。
3. ［HIPAA Support ］トグルを［Disabled］に切り替えます。
   登録フォームのフィールドが機微情報として扱われなくなることを知らせる削除確認メッセージが表示されます。また、今後それらのフィールドを電子的保護対象医療情報/PII としてマークすることもできなくなります。
   
   
4. 続行するには［Yes］をクリックします。
   
   既存の登録フォームフィールドは、電子的保護対象医療情報/PIIとしては扱われなくなります。また、それらを電子的保護対象医療情報/PII としてマークするオプションも利用できなくなります。
   

6. 関連リンク

• 予約フォーム