Zoho Deskでの医療保険の相互運用性と説明責任に関する法律(HIPAA)への準拠

Zoho Deskでの医療保険の相互運用性と説明責任に関する法律(HIPAA)への準拠

はじめに
米国の医療保険の相互運用性と説明責任に関する法律(HIPAA)では、医療情報に関するプライバシー保護やセキュリティ確保のためのさまざまな規定が設けられています。この法律の適用対象となる医療サービスを提供する組織や、これらの組織と提携して医療情報を取り扱う組織は、個人を特定可能な医療情報(PHI:Protected Health Information、保護対象医療情報)を適切に管理、保護する必要があります。また、HIPAAでは、個人(顧客)が自身の診療情報や保険利用に関するデータを参照できる権利についても定められています。Zohoサービスは、HIPAAによって保護されている医療情報を直接的に収集、使用、保存、保持することはありません。ただし、Zoho Deskには、HIPAAの適用対象となる医療サービスを提供する組織向けに医療情報を管理するための機能が用意されています。このページでは、これらの機能について説明します。
 
HIPAAでは、この法律の適用対象となる医療サービスに対して、提携して医療情報を取り扱う組織と業務提携契約(BAA)を締結するように定められています。そのため、Zoho Deskを利用して個人を特定可能な医療情報(PHI:Protected Health Information、保護対象医療情報)を管理するには、Zohoと業務提携契約(BAA)を締結する必要があります。業務提携契約書のテンプレートを希望する場合は、legal@zohocorp.comにお問い合わせください。

HIPAAに関するZoho Deskの機能
顧客情報を適切に管理、保護するために、Zoho Deskでは次の操作を行うことができます:
  1. 特定の項目を電子的保護対象医療情報に設定し、他のデータと区別することができます
  2. 電子的保護対象医療情報として設定した項目に入力されたデータを暗号化することができます
  3. データを保護するために、役職権限を設定することができます
  4. 操作履歴のデータをエクスポートして、行われた操作内容を確認することができます

電子的保護対象医療情報への設定方法
項目に顧客の医療情報が含まれている場合、対象の項目を電子的保護対象医療情報として設定することができます。設定すると、管理者の画面やヘルプセンターで対象の項目に[ePHI]と表示されます。関連情報はこちら

項目を電子的保護対象医療情報に設定するには:
  1. [設定][カスタマイズ][レイアウトと項目]の順に移動します。
  2. 画面左上のドロップダウンで対象のタブ部門を選択します。レイアウトの一覧が表示されます。
  3. 対象のレイアウトを選択して、編集します。
  4. 対象の項目にマウスのカーソルを合わせて、[歯車]アイコンをクリックします。
  5. [詳細の編集]をクリックして、[電子的保護対象医療情報に設定する]を有効にします。
    メモ:電子的保護対象医療情報に設定すると、[項目の暗号化]の設定も自動で有効になります。不要な場合は手動で無効にすることができますが、データを安全に管理するために有効にすることをお勧めします。
  6. [更新]をクリックして、レイアウトを保存します。

電子的保護対象医療情報の項目データの暗号化
データをより安全に管理するために、個人の医療情報が含まれている項目を暗号化することができます。項目データの暗号化は必須ではありませんが、電子的保護対象医療情報への不正なアクセスを防ぐために有効にすることをお勧めします。項目データの暗号化に関する詳細については、こちらのヘルプをご参照ください。

役職と権限
Zoho Deskでは、ユーザーの役職権限を設定することができます。これにより、組織内での特定の情報へのアクセス権限を詳細に管理することが可能です。また、データ共有ルール項目単位での権限を設定することで、より詳細に権限を規定することもできます。

操作履歴のエクスポート
操作履歴は、不正利用や想定外のデータの変更など、不適切な操作が行われていないか確認するのに役立ちます。Zoho Deskでは、追加、更新、削除などに関する操作履歴のデータが、最大1年間システム側で保存されます。操作履歴のデータは、申請したユーザーにのみ共有されます。また、[設定][インポートとエクスポート]から、タブごとのデータを定期的にエクスポートするように設定することもできます。