「医療保険の相互運用性と説明責任に関する法律（HIPAA）」は、医療情報の保護に関する米国の法律です。「プライバシー規則」、「セキュリティ規則」、「違反通知規則」、「経済的および臨床的健全性のための医療情報技術に関する法律」から成り、個人を識別できる医療情報を扱う対象事業者と事業提携者に対して、特定の保護措置を講じることを義務づけています。また、医療情報に関する個人の権利も規定しています。

Zoho Creatorでは、HIPAAの保護対象となる医療情報を自らの目的で収集、使用、保存、管理することはありません。その一方で、アプリを活用するユーザー向けには、HIPAA対応の各種機能を提供しています。

対象事業者は、HIPAAの規定により、事業提携者と事業提携契約（BAA）を締結することが必要です。BAAのテンプレートを利用する場合は、legal@zohocorp.com宛てにメールでご依頼ください。

Zoho CreatorのHIPAA準拠

医療業界はこの数年で目覚ましい進歩をとげています。医療データの電子保存が進んだ結果、患者の個人情報や医療情報の適切な保護が不可欠になりました。

Zoho Creatorのプラットフォームには、HIPAA対応の各種機能が用意されています。さまざまな保護措置を設定することで、HIPAAに準拠したアプリを作成することが可能です。Zoho Creatorのアプリ所有者／管理者は、次のような機能を利用できます。

• 項目のePHIラベルの設定：項目の入力値が個人を識別できる医療情報か、個人を合理的に識別できる医療情報の場合、その項目を保護対象の電子的医療情報（ePHI）として設定できます。
  

  項目にePHIラベルを設定するには：

  1. フォーム作成ツールを開きます。
  2. 設定する項目を選択します。画面右側に［項目のプロパティ］が表示されます。
  3. ［項目のプロパティ］→［データのセキュリティー］の順に移動します。［医療情報を含む（ePHI）］のチェックボックスをチェックします。
     
     
• ePHI項目のデータ暗号化：データの暗号化とは、セキュリティを強化して、情報漏えいを防ぐための処理です。情報を暗号化しておくと、認証されたユーザー以外はアクセスできなくなります。医療情報を入力する項目は、暗号化することが可能です。Zoho Creatorで項目を暗号化する方法の詳細については、こちらの記事をご参照ください。
• 役職と権限の管理：Zoho Creatorでは、アプリとデータのアクセス権限を自由にカスタマイズできます。
  

  アプリの所有者／管理者は、次の操作を実行できます。

  • ユーザーの追加と管理
  • 権限セットの設定（タブ別、データ別、機能別、項目別）
  • 役職と役職階層の作成
  • データの共有ルールの設定
  • ドメインの制限の適用
• 操作履歴の記録とエクスポート：Zoho Creatorの操作履歴とは、組織のユーザーがアプリ内で実行した操作を記録し、時系列に表示する機能です。次の操作が記録されます。
  
  • データ変更の履歴
  • レポートの印刷とエクスポートの履歴

  データ変更の操作履歴に関しては、保存期間は1年間です。印刷／エクスポートの操作履歴に関しては、保存期間は3か月間です。操作履歴はCSV形式でエクスポートすることも可能です。CSVファイルをエクスポートするには、操作履歴画面の各タブで［エクスポートする］をクリックします。ただし、エクスポートした操作履歴の扱いには注意してください。対象事業者は、HIPAA要件に従って、操作履歴の複製を保護、保持する責任を負います。

• アプリのバックアップとデータの復元：バックアップと復元の機能では、アカウントに関連するアプリのバックアップを取得して、必要に応じてデータを復元できます。また、Zoho Creatorで頻度や開始日などのスケジュールを設定しておくと、自動的にバックアップを取得できます。
  

• 外部サービスとの連携：外部連携を設定することで、Zoho Creatorをさまざまな外部サービスと安全に連携させることが可能です。外部連携を利用した場合、転送中のデータはすべて暗号化されます。また、サービス間の連携は、HIPAAガイドラインに準拠して管理されます。つまり、ePHIデータをZoho Creatorと外部サービスの間で送受信する際にも、転送中のすべてのデータは安全に保護されます。
  
  ただし、Zoho CreatorのHIPAA準拠が適用されるのは、Zoho Creator内で処理するデータのみです。外部サービスがePHIデータを受信した後は、Zoho Creatorから外部サービスへとデータ保護の責任が移ることになります。Zoho Creatorと連携させる前に、選択した外部サービスがHIPAAに準拠していることを必ずご確認ください。