Zoho Campaignsでの医療保険の相互運用性と説明責任に関する法律(HIPAA)への準拠

Zoho Campaignsでの医療保険の相互運用性と説明責任に関する法律(HIPAA)への準拠

米国の医療保険の相互運用性と説明責任に関する法律(HIPAA:Health Insurance Portability and Accountability Act)では、医療情報に関するプライバシー保護やセキュリティ確保のためのさまざまな規定が設けられています。この法律の適用対象となる医療サービスを提供する組織や、これらの組織と提携して医療情報を取り扱う組織は、個人を特定可能な医療情報(PHI:Protected Health Information/保護対象医療情報)を適切に管理、保護する必要があります。また、HIPAAでは、個人(顧客)が自身の診療情報や保険利用に関するデータを参照できる権利についても定められています。Zohoサービスは、HIPAAによって保護されている医療情報を収集、使用、保存、保持することはありません。ただし、Zoho Campaignsには、HIPAAの適用対象となる医療サービスを提供する組織向けに医療情報を管理するための機能が用意されています。
 
HIPAAでは、この法律の適用対象となる医療サービスに対して、提携して医療情報を取り扱う組織と業務提携契約(BAA:Business Associate Agreement)を締結するように定められています。業務提携契約書のテンプレートを希望する場合は、legal@zohocorp.comにお問い合わせください。

Zoho CampaignsでHIPAAに準拠するには:

Zoho Campaignsでは、顧客の医療情報を保護し、HIPAAに準拠するための機能が用意されています。管理者は、ユーザーによる医療情報のエクスポートを制限したり、外部サービスからの医療情報へのアクセスを制限したりすることができます。 実行できる操作は、次のとおりです:
 
項目を保護対象医療情報に設定:項目を保護対象医療情報に設定すると、システムによって該当の項目が識別され、APIによる項目へのアクセスや、ユーザーによる項目データのエクスポートを制限するのに役立ちます。たとえば、手術歴、症状、治療詳細などを含む項目が対象です。
Notesメモ:カスタム項目のみ、保護対象医療情報(PHI)に設定できます。標準項目は、保護対象医療情報には設定できません。
保護対象医療情報として設定したデータに対する制限:Zoho Campaigns外部からの個人データへのアクセスを制限するには、2つの方法があります。組織の要件に応じて、いずれかの方法を有効にできます。
  1. APIによるデータのアクセスの制限:Zoho Campaignsでは、APIを通じて外部サービスのアプリケーションと接続したり、アプリケーション間でデータをやりとりしたりすることができます。この設定を有効にすると、APIを通じた外部サービスのアプリケーションとのデータのやりとりにおいて、顧客の保護対象医療データに関する処理を制限することができます。
  2. データのエクスポートの制限:この設定を有効にすると、Zoho Campaignsからのデータのエクスポート時に保護対象医療データを除外することができます。 
  3. 保護対象医療情報を含む項目の暗号化:保護対象医療情報を含む項目を暗号化し、セキュリティをさらに強化することができます。Zoho Campaignsでは、項目の暗号化は必須ではありません。しかし、保護対象医療情報などの機密情報への不正アクセスを防ぐために、項目を暗号化することを強くお勧めします。 
Notesメモ:カスタム項目は、初期設定では暗号化されません。手動で暗号化する必要があります。

HIPAAコンプライアンスを設定するには:

  1. 画面右上設定アイコンをクリックします。
    settings icon - top right
  2. [一般]設定の下にある、[コンプライアンス設定]をクリックします。
    Compliance settings
  3. [HIPAA(医療保険の相互運用性と説明責任に関する法律)設定]タブを選択します。
  4. [HIPAA(医療保険の相互運用性と説明責任に関する法律)設定を有効にする]の切り替えスイッチをクリックして、有効にします。HIPAAコンプライアンス設定を有効にすると、保護対象医療情報を含む項目に対する制限設定の切り替えスイッチが表示されます。
    Enable HIPAA settings
  5. 要件に応じて、[データのエクスポートを制限する]の切り替えスイッチ、[APIを通じたデータへのアクセスを制限する]の切り替えスイッチをクリックして、制限を有効にします。これにより、ユーザーによるデータの共有を制限できます。
    Enable restrict data export


保護対象医療情報を含む項目に設定するには:

  1. 画面右上設定アイコンをクリックします。
    settings icon - top right
  2. [カスタマイズ]設定の下にある、[カスタム項目]を選択します。
    Custom fileds
  3. 画面右上の[新しく追加する]をクリックし、一覧から[取引先の項目]を選択します。
  4. カスタム項目の詳細を入力した後、[医療情報の項目]のチェックボックスにチェックを入れます。また、既存の項目を編集し、保護対象医療情報の項目に設定したり、設定を解除したりすることができます。

保護対象医療情報を含む項目を暗号化するには:

  1. 画面右上設定アイコンをクリックします。
    settings icon - top right
  2. [カスタマイズ]設定の下にある、[カスタム項目]を選択します。
    Custom fields
  3. 画面右上の[新しく追加する]をクリックし、一覧から[取引先の項目]を選択します。
  4. カスタム項目の詳細を入力した後、[暗号化対象の項目]のチェックボックスにチェックを入れ、[追加する]をクリックします。また、既存の項目を編集し、暗号化対象の項目に設定したり、設定を解除したりすることができます。
    Add custom fields

HIPAAコンプライアンスを無効にするには:

  1. 画面右上設定アイコンをクリックします。
    settings icon - top right
  2. [一般]設定の下にある、[コンプライアンス設定]をクリックします。
    Compliance settings
  3. [HIPAA(医療保険の相互運用性と説明責任に関する法律)設定]タブを選択します。
  4. [HIPAA(医療保険の相互運用性と説明責任に関する法律)設定を有効にする]の切り替えスイッチをクリックして、無効にします。切り替えスイッチをクリックと、HIPAAコンプライアンス設定の無効化に関する確認メッセージが表示されます。
    Disable HIPAA compliance
  5. [続ける]をクリックし、HIPAAコンプライアンス設定を無効にします。
    Confirmation pop up
  6. HIPAAコンプライアンス設定を無効にすると、保護対象医療情報として設定した項目のエクスポート制限や、その他の関連設定が無効になります。

監査ログのデータの取得

Zoho Campaignsには、監査ログのエクスポート機能が用意されています。管理者は、初期設定では、過去6か月間の監査ログを取得できます。6か月より前の監査ログのデータを希望する場合は、support@zohocampaigns.comにお問い合わせください。