Zoho DataPrepとHIPAA準拠

Zoho DataPrepとHIPAA準拠

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。




医療保険の携行性と責任に関する法律(HIPAA)(プライバシールール、セキュリティルール、違反通知ルール、ならびに経済的・臨床的健康のための医療情報技術法を含む)は、カバードエンティティおよび法人アソシエイトに対して、個人を特定できる健康情報を保護するための特定の措置を講じることを義務付けています。また、個人に対して一定の権利も付与しています。

Zohoは自社の目的で、HIPAAにより保護される健康情報を収集、使用、保存、または管理しません。ただし、Zoho DataPrepは、以下に説明する特定の機能を提供しており、顧客がDataPrepをHIPAA準拠で利用できるようサポートします。HIPAAは、カバードエンティティが法人アソシエイトと法人関連付ける契約(BAA)を締結することを求めています。弊社のBAAテンプレートは、legal@zohocorp.comまでメールを送信いただくことでご請求いただけます。

Zoho DataPrepはSOC2+HIPAA 種類2に準拠しています。Zoho DataPrepは、顧客がDataPrepをHIPAA準拠で利用できるよう、次の機能を提供しています。

個人情報および電子的保護対象医療情報(ePHI)データの設定

Zoho DataPrepでは、個人情報および電子的保護対象医療情報(ePHI)データの設定変換を利用して、電子的保護対象医療情報(ePHI)を含む列を設定できます。また、これにより、アクセス制御などの関連コントロールや、エクスポート時のマスキングやトークナイゼーションなどのセキュリティ対策を、電子的保護対象医療情報(ePHI)データとしてマークされた列に適用できます。こちらをクリックして詳細をご確認ください。

ロールと共有権限

Zoho DataPrepでは、ユーザーごとに項目権限に基づいたロールがあります。つまり、DataPrepにおけるユーザーロールは、ワークスペースやデータセットなど各項目へのアクセス権限に基づいています。DataPrepで利用可能なユーザーロールは以下の通りです。
  1. アカウントadmin
  2. 組織admin
  3. ワークスペースの「Workspace admin」役割
  4. ワークスペースの「Data consumer」役割
  5. データセットの「Editor」役割
  6. データセットの「Data consumer」役割
DataPrepは、Data consumer(個人情報および電子的保護対象医療情報(ePHI)データなし)役割を利用することで、個人情報データや電子的保護対象医療情報(ePHI)データを共有することなく、組織内のエンティティを共有し、エンドユーザーと共同作業を行うことができます。これにより個人データの安全性が確保されます。

暗号化

電子的保護対象医療情報(ePHI)データのセキュリティ侵害やアクセス、不正改ざんを防ぐため、暗号化が推奨されます。Zoho DataPrepでは、すべてのユーザーデータ(電子的保護対象医療情報(ePHI)データを含む)は初期設定で保存時および転送時に暗号化されます。

監査

Zoho DataPrepでは、監査オプションを利用して、DataPrep組織内のすべてのデータ(電子的保護対象医療情報(ePHI)データを含む)へのアクセスや活動の詳細なログを提供しています。

アクセス監査 - このオプションでは、組織内のエンティティへアクセスしたすべてのユーザーを監視します。詳細はこちら

活動監査 - このオプションでは、組織内ですべてのユーザーが行った活動を監視します。詳細はこちら

Notes
メモ: 監査ログへアクセスできるのは管理者のみです。

監査試用ログの保持

Zoho DataPrepでは、ユーザーが過去2年間の活動およびアクセス監査ログをエクスポートできます。管理者はエクスポートオプションを利用して、過去2年分の監査試用ログをダウンロードできます。ダウンロードリンクは登録済みメールアドレスに送信されます。

Notes
メモ: 監査ログのエクスポートは、アクセス監査または活動監査が有効化された時点以降のデータのみ可能です。組織作成時点のデータは含まれません。

電子的保護対象医療情報(ePHI)データのアクセス制御

ユーザーは、コンプライアンス設定でHIPAA規則に準拠するための健康関連の非公開データの処理方法を管理できます。



Notes
メモ: コンプライアンス設定は、組織内のアカウント管理者のみアクセス可能です。
 
Zoho DataPrepでは、電子的保護対象医療情報(ePHI)データの管理とアクセス制御のために、以下の機能を提供しています。

電子的保護対象医療情報(ePHI)データのZohoアプリへの移行制限:このオプションを利用すると、電子的保護対象医療情報(ePHI)カラムを他のZohoアプリへのエクスポートから除外できます。

電子的保護対象医療情報(ePHI)データのサードパーティアプリへの移行制限:このオプションを利用すると、電子的保護対象医療情報(ePHI)データカラムをサードパーティアプリへのエクスポートから除外できます。

Secure 電子的保護対象医療情報(ePHI)列のエクスポート前保護: このオプションを有効にすると、組織内のユーザーが電子的保護対象医療情報(ePHI)データをエクスポートする前に保護を必須にできます。詳細はこちら

パスワード保護付きで電子的保護対象医療情報(ePHI)データをエクスポート: このオプションを有効にすると、電子的保護対象医療情報(ePHI)列を含むデータセットをパスワード保護なしでユーザーがエクスポートすることを制限できます。DataPrepの他の保護方法については詳細はこちら

HIPAA準拠機能の有効化方法

1. 有効にする HIPAA Complianceトグルをクリックして、BAA署名およびHIPAA準拠機能の有効化リクエストを送信します。

2. 有効化リクエストはサポートチームへメールで送信されます。

3. サポートチームによるBAAのバックグラウンド確認が完了後、組織でHIPAA準拠機能が有効になります。

Notes
メモ: 有効にする HIPAA Complianceトグルを使用して、HIPAA機能を無効化することも可能です。サポートチームがリクエストを確認後、HIPAA機能は無効になります。

利用規約の変更

Zohoは利用規約を変更する権利を有します。規約の変更は、その変更が公開された後にZoho DataPrepをご利用いただいた時点で適用されます。

Alert
免責事項: ここに記載された内容は法的助言を提供するものではありません。これはZoho DataPrepが組織にHIPAA準拠の管理機能を提供する方法についてのガイドラインです。HIPAAがどのように適用されるか、および組織や関連プロセスへの影響については、法務アドバイザーにご相談ください。

関連情報