Zoho DataPrepのHIPAA準拠

Zoho DataPrepのHIPAA準拠

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。




医療保険の携行性と責任に関する法(HIPAA)(プライバシールール、セキュリティルール、漏えい通知ルール、及び経済的・臨床的健康情報技術法を含む)は、対象事業者および法人関連事業者に対し、個人を特定できる健康情報を保護するための措置を講じることを求めています。また、個人に一定の権利を付与しています。

Zohoは自社の目的で、HIPAAにより保護された健康情報を収集、使用、保存、管理することはありません。ただし、Zoho DataPrepは下記の通り、顧客がDataPrepをHIPAA準拠で利用できるようにするための機能を提供しています。HIPAAでは、対象事業者が法人関連事業者と法人関連付け契約(BAA)を締結する必要があります。弊社のBAAテンプレートは、legal@zohocorp.com宛てにメールを送付いただくことでご請求いただけます。

Zoho DataPrepはSOC2+HIPAAタイプ2に準拠しています。Zoho DataPrepは、顧客がDataPrepをHIPAA準拠で利用できるよう、以下の機能を提供しています。

個人情報および電子的保護対象医療情報(ePHI)データの設定

Zoho DataPrepでは、個人情報および電子的保護対象医療情報(ePHI)データの設定トランスフォームを利用して、電子的保護対象医療情報(ePHI)データを含む列を設定できます。これにより、アクセス制御などの関連コントロールや、エクスポート時のマスキングやトークナイゼーションなどのセキュリティ対策を、ePHIデータとしてマークした列に適用することが可能です。詳細はこちらをクリックしてください。

ロールと共有権限

Zoho DataPrepでは、ユーザーの項目権限に基づきロールが割り当てられます。つまり、DataPrepのユーザーロールは、ワークスペースやデータセットなど各項目へのアクセス権に応じて決まります。以下は、DataPrepで利用可能なユーザーロールです。
  1. アカウント管理者
  2. 組織管理者
  3. ワークスペース管理者
  4. ワークスペースデータ利用者
  5. データセット編集者
  6. データセット利用者
DataPrepは、Data consumer(個人情報および電子的保護対象医療情報(ePHI)データなし)役割を利用して、個人情報や電子的保護対象医療情報(ePHI)データを共有することなく、エンティティを共有し、組織内のエンドユーザーとコラボレーションできます。これにより個人データの安全性が確保されます。

暗号化

電子的保護対象医療情報(ePHI)データのセキュリティ侵害や不正アクセス・改ざんを防ぐため、暗号化が推奨されます。Zoho DataPrepでは、すべてのユーザーデータ(電子的保護対象医療情報(ePHI)データを含む)が、初期設定で保存時および転送時の両方で暗号化されます。

監査

Zoho DataPrepは、監査オプションを利用して、DataPrep組織内のすべてのデータ(電子的保護対象医療情報(ePHI)データを含む)へのアクセスおよび活動の詳細な監査ログを提供します。

アクセス監査 - このオプションは、組織内のエンティティへアクセスしたすべてのユーザーを監視します。詳細はこちら

活動監査 - このオプションは、組織内でのすべてのユーザー活動を監視します。詳細はこちら

Notes
メモ: 監査ログへアクセスできるのは管理者のみです。

監査試用の保持

Zoho DataPrepでは、ユーザーが過去2年間の活動およびアクセス監査ログをエクスポートできます。管理者はエクスポートオプションを使い、過去2年間の監査試用ログをダウンロードできます。ダウンロードリンクは登録済みメールアドレス宛に送信されます。

Notes
メモ: 監査ログは、アクセスまたは活動監査が有効になった時点からエクスポート可能であり、組織作成時点からではありません。

電子的保護対象医療情報(ePHI)データのアクセス制御

ユーザーは、コンプライアンス設定でHIPAA規制に準拠するため、健康関連の非公開データの処理方法を管理できます。



Notes
メモ: コンプライアンス設定は、組織内のアカウント管理者のみがアクセスできます。
 
Zoho DataPrepは、電子的保護対象医療情報(ePHI)データのアクセス管理と制御のため、以下の機能を提供しています。

電子的保護対象医療情報(ePHI)データのZohoアプリへの移行制限:このオプションを利用すると、電子的保護対象医療情報(ePHI)カラムを他のZohoアプリへエクスポートすることを除外できます。

電子的保護対象医療情報(ePHI)データのサードパーティアプリへの移行制限:このオプションを利用すると、電子的保護対象医療情報(ePHI)データカラムをサードパーティアプリへエクスポートすることを除外できます。

Secure 電子的保護対象医療情報(ePHI)カラムをエクスポート前に保護: このオプションを利用すると、組織内のユーザーが電子的保護対象医療情報(ePHI)データをエクスポートする前に安全性を確保できます。詳細はこちら

パスワード保護付きで電子的保護対象医療情報(ePHI)データをエクスポート: このオプションは、パスワード保護なしでePHIカラムを含むデータセットをユーザーがエクスポートすることを制限します。DataPrepでの他の保護方法についてはこちら

HIPAA準拠機能の有効化方法

1. HIPAA Complianceを有効化トグルをクリックし、BAA署名およびHIPAA準拠機能の有効化リクエストを送信します。

2. 有効化リクエストはメールでサポートチームに送信されます。

3. サポートチームによるBAAのバックグラウンド確認が完了次第、HIPAA準拠機能が組織に対して有効化されます。

Notes
メモ: HIPAA Complianceトグルを使って、HIPAA機能を無効化することもできます。サポートチームがリクエストを確認後、HIPAA機能は無効化されます。

利用条件の変更

Zohoは利用条件を変更する権利を有します。利用条件の変更は、その変更が公開された後にZoho DataPrepを利用した時点で有効となります。

Alert
免責事項: ここに記載された内容は法的助言を目的としたものではありません。これはZoho DataPrepが組織のHIPAA準拠を支援するためのガイドラインです。HIPAAの適用範囲や組織への影響、準拠に必要な手続きについては、必ず法務担当者にご相談ください。

関連情報