Zoho DataPrepとHIPAA準拠

Zoho DataPrepとHIPAA準拠

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。



医療保険の携行性と責任に関する法律(HIPAA)(プライバシールール、セキュリティルール、違反通知ルール、医療情報技術経済臨床健康法を含む)は、カバードエンティティおよび法人アソシエイトに対し、個人を特定できる健康情報を保護するための措置を講じることを求めています。また、個人に対して一定の権利も付与しています。

Zohoは、HIPAAで保護されている健康情報を自社の目的で収集、使用、保存、または管理していません。ただし、Zoho DataPrepは、以下に記載する機能を提供し、顧客がDataPrepをHIPAA準拠で利用できるようサポートしています。HIPAAでは、カバードエンティティが法人アソシエイトと法人関連付け契約(BAA)を締結する必要があります。弊社のBAAテンプレートをご希望の場合は、legal@zohocorp.comまでメールでご依頼ください。

Zoho DataPrepはSOC2+HIPAAタイプ2に準拠しています。Zoho DataPrepは、顧客がDataPrepをHIPAA準拠で利用するための以下の機能を提供しています。

個人情報および電子的保護対象医療情報(ePHI)データの設定

Zoho DataPrepでは、個人情報および電子的保護対象医療情報(ePHI)データの設定変換を利用し、電子的保護対象医療情報(ePHI)データを含む列を指定できます。これにより、アクセス制御などの関連する管理や、エクスポート時にマスキングやトークン化といったセキュリティ対策を該当する列に適用できます。こちらをクリックして詳細をご覧ください。

ロールと共有権限

Zoho DataPrepでは、ユーザーの項目権限に基づいたロールが用意されています。つまり、DataPrepでのユーザーロールは、各項目(ワークスペース、データセットなど)へのアクセス権に基づいて決まります。DataPrepで利用可能なユーザーロールは以下の通りです。
  1. アカウント管理者
  2. 組織管理者
  3. 共有ユーザー

暗号化

電子的保護対象医療情報(ePHI)データの暗号化は、セキュリティ侵害による不正アクセスや改ざんを防ぐために推奨されます。Zoho DataPrepでは、すべてのユーザーデータ(電子的保護対象医療情報(ePHI)データを含む)は、保存時および転送時にデフォルトで暗号化されています。

監査

Zoho DataPrepでは、監査オプションを利用して、DataPrep組織内のすべてのデータ(電子的保護対象医療情報(ePHI)データを含む)へのアクセスおよび操作履歴の詳細なログを提供します。

アクセス監査 - このオプションは、組織内のエンティティへアクセスしたすべてのユーザーを監視します。詳細はこちら

操作監査 - このオプションは、組織内ですべてのユーザーによる操作を監視します。詳細はこちら

Notes
メモ: 監査ログへアクセスできるのは管理者のみです。

監査試用ログの保持期間

Zoho DataPrep では、ユーザーが過去2年間の活動や監査ログをエクスポートできます。管理者はエクスポートオプションを利用し、過去2年間の監査試用ログを登録済みメールアドレスへ送信されるリンクからダウンロードできます。

Notes
メモ: 監査ログは、アクセスや活動監査が有効となった時点からエクスポートできます。組織が作成された時点からではありません。

電子的保護対象医療情報(ePHI)データのアクセス制御

ユーザーは、コンプライアンス設定でHIPAA規制に準拠するため、健康関連の非公開データの処理方法を管理できます。



Notes
メモ: コンプライアンス設定は、組織内のアカウント管理者のみがアクセス可能です。
 
Zoho DataPrep では、電子的保護対象医療情報(ePHI)データの管理とアクセス制御のため、以下の機能を提供しています。

電子的保護対象医療情報(ePHI)データのZohoアプリへのエクスポート制限: このオプションを利用すると、電子的保護対象医療情報(ePHI)カラムを他のZohoアプリへのエクスポートから除外できます。

電子的保護対象医療情報(ePHI)データのサードパーティアプリへのエクスポート制限: このオプションを利用すると、電子的保護対象医療情報(ePHI)データカラムをサードパーティアプリへのエクスポートから除外できます。

エクスポート前に電子的保護対象医療情報(ePHI)カラムを保護: このオプションにより、組織内のユーザーがエクスポート前に電子的保護対象医療情報(ePHI)データを保護することができます。詳細はこちら

パスワード保護付きで電子的保護対象医療情報(ePHI)データをエクスポート: このオプションを利用すると、パスワード保護なしで電子的保護対象医療情報(ePHI)カラムを含むデータセットのエクスポートをユーザーに制限できます。DataPrepのその他の保護方法についてはこちら

HIPAA準拠機能の有効化方法

1. HIPAA準拠の有効化トグルをクリックして、BAAへの署名リクエストを送信し、HIPAA準拠機能を有効にします。

2. 有効化リクエストは当社サポートチームにメールで送信されます。

3. サポートチームがBAAのバックグラウンド確認を完了すると、貴社組織に対してHIPAA準拠機能が有効化されます。

Notes
メモ: HIPAA準拠の有効化トグルを使用して、HIPAA機能を無効化することもできます。サポートチームがリクエストを確認後、HIPAA機能は無効化されます。

利用規約の変更について

Zohoは利用規約を変更する権利を有します。利用規約の変更は、その変更が公開された後にZoho DataPrepを利用された時点で有効となります。

Alert
免責事項: 本内容は法的助言を目的としたものではありません。これは、Zoho DataPrepが組織に対してHIPAA準拠の管理を提供する方法に関するガイドラインです。HIPAAの適用範囲や貴社組織への影響、HIPAA準拠のために必要なプロセスについてご不明な点がある場合は、必ず法務アドバイザーにご相談ください。

関連情報