Zoho CRMでの医療保険の相互運用性と説明責任に関する法律(HIPAA)への準拠
米国の医療保険の相互運用性と説明責任に関する法律(HIPAA)では、医療情報に関するプライバシー保護やセキュリティ確保のためのさまざまな規定が設けられています。この法律の適用対象となる医療サービスを提供する組織や、これらの組織と提携して医療情報を取り扱う組織は、個人を特定可能な医療情報(PHI/保護対象医療情報)を適切に管理、保護する必要があります。また、HIPAAでは、個人(顧客)が自身の診療情報や保険利用に関するデータを参照できる権利についても定められています。Zohoサービスは、HIPAAによって保護されている医療情報を収集、使用、保存、保持することはありません。ただし、Zoho CRMには、HIPAAの適用対象となる医療サービスを提供する組織向けに医療情報を管理するための機能が用意されています。
HIPAAでは、この法律の適用対象となる医療サービスに対して、提携して医療情報を取り扱う組織と業務提携契約(BAA)を締結するように定められています。そのため、Zoho CRMを利用して個人を特定可能な医療情報(PHI/保護対象医療情報)を管理するには、Zohoと業務提携契約(BAA)を締結する必要があります。業務提携契約書のテンプレートを希望する場合は、 legal@zohocorp.com にお問い合わせください。
Zoho CRMでの医療保険の相互運用性と説明責任に関する法律(HIPAA)への準拠
今日、医療サービスを提供する組織によるCRMツールの利用機会が増加しています。これらの組織では、共有データベースとしてCRMツールを活用して顧客情報を保存したり、業務の効率化を図るためにCRMツールを利用したりします。医療サービスを提供する組織では、顧客の医療情報を安全に保護することは必要不可欠です。
Zoho CRMでは、顧客の医療情報を保護し、HIPAAに準拠するための機能が用意されています。管理者は、ユーザーによる医療情報のエクスポートを制限したり、外部サービスからの医療情報へのアクセスを制限したりすることができます。
Zoho CRMで管理者が医療情報を保護するために実行できる操作は、以下のとおりです:
- 医療情報を含むタブの選択: 個人を特定可能な医療情報(PHI/保護対象医療情報)を含む組織タブを選択し、保護することができます。標準タブとカスタムタブの両方を選択することが可能です。組織タブは10件まで選択できます。
- 項目を保護対象医療情報に設定: 顧客の情報が保存されているタブによっては、医療情報に関する項目はすべてではなく、全体の一部のみである場合があります。たとえば、組織によっては、顧客情報の入力欄に治療履歴、症状、服用した薬などの項目がある場合があります。これらの項目を保護対象医療情報として設定することで、APIによるこれらの項目へのアクセスやユーザーによる項目のデータのエクスポートをZoho CRMで制限することができます。各タブで保護対象医療情報として設定できる項目は、25件までです。
- 保護対象医療情報として設定したデータに対する制限: 外部サービスやAPIなどによるZoho CRMの外部から個人データへのアクセスを制限することができます。制限に関する設定は、4種類あります。管理者は、組織の要件に応じてこれらの設定を有効にすることが可能です。
- APIによるデータのアクセスの制限: Zoho CRMでは、APIを通じて外部サービスのアプリケーションと接続したり、アプリケーション間でデータをやりとりしたりすることができます。この設定を有効にすると、APIを通じた外部サービスのアプリケーションとのデータのやりとりにおいて、顧客の保護対象医療情報に関するやりとりを制限することができます。
- データのエクスポートの制限: この設定を有効にすると、Zoho CRMからのデータのエクスポート時に保護対象医療情報を除外することができます。
- Zohoサービスへのデータ転送の制限: Zoho CRMでは、Zoho Desk、Zoho Campaigns、Zoho Projectsなどの他のZohoサービスと連携して、データをアプリケーション間で共有することができます。この設定を有効にすると、保護対象医療情報が他のZohoサービスと共有されないように制限することができます。連携時に共有されるデータや保護対象医療情報の制限事項に関する詳細については、 こちら をご参照ください。
- 外部サービスへのデータ転送の制限: Zoho CRMでは、業務で使用する外部サービスのアプリケーションと連携して、データをアプリケーション間で共有することができます。この設定を有効にすると、保護対象医療情報が他のZohoサービスと共有されないように制限することができます。連携時に共有されるデータや保護対象医療情報の制限事項に関する詳細については、 こちら をご参照ください。
- 保護対象医療情報を含む項目の暗号化: 保護対象医療情報を含む項目を暗号化し、セキュリティをさらに強化することができます。Zoho CRMでは、項目の暗号化は必須ではありません。しかし、保護対象医療情報などの機密情報への不正アクセスを防ぐために、項目を暗号化することを強くお勧めします。
HIPAAの設定は、[見込み客]、[連絡先]、[仕入先]、カスタムタブの各タブに適用できます。
メモ
- 対応している項目の種類
- テキスト(1行)
- テキスト(複数行)
- メールアドレス
- 電話番号
- 選択リスト
- 複数選択リスト
- 日付
- 日時
- 数値
- 通貨
- 小数
- パーセント
- 長整数
- チェックボックス
- URL
- ファイルのアップロード
- 画像のアップロード
- ルックアップ項目、複数選択ルックアップ項目、自動番号項目を保護対象医療情報として設定することはできません。
利用条件
必要な権限
タブのHIPPAコンプライアンス設定を管理するには、コンプライアンス設定の管理権限が必要です。
HIPAAコンプライアンスを設定するには:
- [設定]
→ [セキュリティ管理] → [コンプライアンス設定] の順に移動します。
- [HIPAAコンプライアンス] タブをクリックします。
- [HIPAAコンプライアンス設定を有効にする] の切り替えボタンをオンにします。
- 組織タブを選択します。
- 選択できる組織タブは10件までです。
- [保護対象医療情報の取り扱い] の欄で、必要に応じて [APIによるデータのアクセスを制限する] 、 [データのエクスポートを制限する] などの切り替えボタンをオンにします。
項目を保護対象医療情報に設定するには:
- [設定]
- 対象のタブを選択肢、レイアウトを選択します。
または、タブの画面で対象のレイアウトにマウスのカーソルを合わせて(その他の操作)アイコンをクリックし、 [レイアウトの編集] を選択します。
- レイアウトの編集画面で対象の項目を選択して、
- [プロパティの編集] をクリックして、 [保護対象医療情報を含む] のチェックボックスにチェックを入れます。
この設定は、HIPAAコンプライアンス設定が有効な場合にのみ表示されます。
監査ログのデータの取得
HIPAAの適用対象となる医療サービスを提供する組織は、定期的に監査ログ(操作履歴)のデータを取得し、一定時間保存することが求められます。Zoho CRMには、監査ログのエクスポート機能が用意されています。権限に基づき、いつでもデータをエクスポートすることが可能です。Zoho CRMの初期設定では、過去60日間の監査ログを取得できます。監査ログを60日間よりも長期に保存する場合は、監査ログのエクスポート機能を使用して、定期的にデータをエクスポートする必要があります。また、過去60日間より前の監査ログのデータを取得する必要がある場合は、support@zohocrm.com にお問い合わせください。
HIPAAコンプライアンスの無効化
HIPAAコンプライアンスの設定を無効にすると、保護対象医療情報として設定した項目の設定が解除されます。HIPAAコンプライアンスの設定をもう一度有効にすると、これらの項目を改めて保護対象医療情報として設定できます。
保護対象医療情報の表示
保護対象医療情報として設定されている項目は、見込み客や連絡先などのデータの詳細ページで確認することができます。確認するには、データの詳細ページで [データのプライバシー] から [個人情報] のセクションに移動し、 [医療情報] をクリックします。こちらで、保護対象医療情報として設定されている項目と登録されているデータを確認することができます。
こちらのページに記載されている内容は、医療保険の相互運用性と説明責任に関する法律(HIPAA)に準拠するための機能に関する説明であり、準拠に関する法的助言ではありません。組織におけるHIPAAの適用範囲やHIPAAの準拠における必要事項については、組織の法務担当者にお問い合わせください。