Zoho DataPrepのHIPAA準拠
お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。
医療保険の相互運用性と説明責任に関する法律(HIPAA)(プライバシールール、セキュリティルール、漏洩通知ルール、ならびに経済的・臨床的健康のための医療情報技術法を含む)は、カバードエンティティおよび法人アソシエイトに対し、個人を特定できる健康情報を保護するための特定の措置を講じることを求めています。また、個人に対して一定の権利も提供しています。
Zohoは、自社の目的のためにHIPAAで保護された健康情報を収集、使用、保存、または管理していません。しかし、Zoho DataPrepは、以下に記載のとおり、顧客がDataPrepをHIPAA準拠で利用できるようにする機能を提供しています。HIPAAでは、カバードエンティティが法人アソシエイトと法人関連付け契約(BAA)を締結することが求められています。弊社のBAAテンプレートは、legal@zohocorp.com までメールでご依頼いただけます。
Zoho DataPrepはSOC2+HIPAAタイプ2に準拠しています。DataPrepは、顧客がDataPrepをHIPAA準拠で利用するための次の機能を提供しています。
個人情報および電子的保護対象医療情報(ePHI)データの設定
Zoho DataPrepでは、個人情報および電子的保護対象医療情報(ePHI)データの設定変換を使用して、電子的保護対象医療情報(ePHI)データを含む列を設定できます。これにより、アクセス制御などの適切な管理や、エクスポート時にマスキングやトークナイゼーションといったセキュリティ対策を、電子的保護対象医療情報(ePHI)データとマークされた列に適用することが可能です。こちらをクリックして詳細をご覧ください。
ロールと共有権限
Zoho DataPrepでは、ユーザーの項目権限に基づいてロールが定められています。つまり、DataPrep内のユーザーロールは、ワークスペースやデータセットなど、それぞれの項目へのアクセス権限に基づいて決まります。DataPrepで利用可能なユーザーロールは以下の通りです。
暗号化
電子的保護対象医療情報(ePHI)データの暗号化は、セキュリティ侵害による不正なアクセスや改ざんを防ぐために推奨されています。Zoho DataPrepでは、すべてのユーザーデータ(電子的保護対象医療情報(ePHI)データを含む)が、保存時および転送時にデフォルトで暗号化されます。
監査
Zoho DataPrepは、監査オプションを利用し、DataPrep組織内のすべてのデータ(電子的保護対象医療情報(ePHI)データを含む)へのアクセスや活動の詳細な監査ログを提供します。
アクセス監査 - このオプションは、組織内のエンティティへアクセスしたすべてのユーザーを監視します。詳細はこちら
活動監査 - このオプションは、組織内のすべてのユーザー活動を監視します。詳細はこちら
メモ: 監査ログへアクセスできるのは管理者のみです。
Audit 試用の保持
Zoho DataPrep では、ユーザーが過去2年間の活動およびアクセスの監査ログをエクスポートできます。管理者はエクスポートオプションを利用し、リンクを通じて過去2年間の監査試用ログを登録済みメールアドレスにダウンロードできます。
メモ: 監査ログは、アクセスまたは活動監査が有効になっている時点からエクスポート可能であり、組織が作成された時点からではありません。
電子的保護対象医療情報(ePHI)データのアクセス制御
ユーザーは、コンプライアンス設定でHIPAA規則に準拠するために、健康関連の非公開データの処理方法を管理できます。
メモ: Compliance 設定は、組織内のアカウント管理者のみがアクセスできます。
Zoho DataPrep は、電子的保護対象医療情報(ePHI)データのアクセス管理と制御のために、以下の機能を提供します。
電子的保護対象医療情報(ePHI)データのZohoアプリへの移行を制限: このオプションを使用すると、電子的保護対象医療情報(ePHI)カラムが他のZohoアプリにエクスポートされるのを除外できます。
電子的保護対象医療情報(ePHI)データのサードパーティアプリへの移行を制限: このオプションを使用すると、電子的保護対象医療情報(ePHI)データカラムがサードパーティアプリにエクスポートされるのを除外できます。
エクスポート前に電子的保護対象医療情報(ePHI)カラムを保護: このオプションにより、組織内のユーザーがエクスポート前に電子的保護対象医療情報(ePHI)データを保護できるようになります。詳細はこちら
パスワード保護付きで電子的保護対象医療情報(ePHI)データをエクスポート: このオプションにより、電子的保護対象医療情報(ePHI)カラムを含むデータセットをパスワード保護なしでエクスポートすることをユーザーに制限できます。詳細はこちら(DataPrepでのその他の保護方法について)。
HIPAA準拠機能を有効にするには
1. HIPAA Complianceを有効にするトグルをクリックして、BAAの署名およびHIPAA準拠機能の有効化リクエストを送信します。
2. 有効化リクエストは、メール経由でサポートチームに送信されます。
3. サポートチームがBAAのバックグラウンド確認を完了した後、HIPAA準拠機能が組織で有効になります。
メモ: HIPAA Complianceを有効にするトグルを使って、HIPAA機能を無効化することもできます。サポートチームがリクエストを確認後、HIPAA機能は無効になります。
利用条件の変更
Zohoは利用条件を変更する権利を有します。利用条件の変更は、当該変更の公開後にZoho DataPrepを利用した時点で有効となります。
免責事項: 本内容は法的助言として解釈されるものではありません。これは、Zoho DataPrep が組織にHIPAA準拠のための管理方法を提供するためのガイドラインです。HIPAAの適用範囲や組織への影響、準拠に必要なプロセスについては、必ず法務アドバイザーにご相談ください。
関連情報