Zoho FlowのHIPAAコンプライアンス
米国の医療保険の相互運用性と説明責任に関する法律(HIPAA)では、医療情報に関するプライバシー保護やセキュリティ確保のためのさまざまな規定が設けられています。この法律の適用対象となる医療サービスを提供する組織や、これらの組織と提携して医療情報を取り扱う組織は、個人を特定可能な医療情報(PHI/保護対象医療情報)を適切に管理、保護する必要があります。また、HIPAAでは、個人(顧客)が自身の診療情報や保険利用に関するデータを参照できる権利についても定められています。Zohoサービスは、HIPAAによって保護されている医療情報を収集、使用、保存、保持することはありません。Zoho Flowは、HIPAAによって保護されている医療情報を収集、使用、保存、保持することはありません。ただし、Zoho Flowには、には、HIPAAの適用対象となる医療サービスを提供する組織向けに医療情報を管理するための機能が用意されています。 。
HIPAAでは、この法律の適用対象となる医療サービスに対して、提携して医療情報を取り扱う組織と業務提携契約(BAA)を締結するように定められています。そのため、Zoho CRMを利用して個人を特定可能な医療情報(PHI/保護対象医療情報)を管理するには、Zohoと業務提携契約(BAA)を締結する必要があります。業務提携契約書のテンプレートを希望する場合は、、legal@zohocorp.comにお問い合わせください(英語対応)。
Zoho Flowは、顧客の医療情報を保護し、HIPAAに準拠するため、以下の機能が用意されています。
連携の共有または非共有化
Zoho Flowで作成されたアプリ連携は、初期設定では非公開です。連携を共有すると、組織の全メンバーが連携したアプリを利用することができます。メンバーたちはフローで連携を使用することで、データへのアクセス、作成、更新が可能です。連携の共有を解除すると、他のユーザーのアクセスが拒否され、再び非公開になります。連携を使用しているフローは、引き続きその連携を使用してデータにアクセスし、作成および更新を行います。
監査ログ(操作履歴)とタスク履歴のエクスポート
監査ログ(操作履歴)とは、組織全体の活動履歴です。これを使用すると、Flow組織内での活動を追跡することができます。組織の設立から現在までのすべての監査ログが利用可能で、このデータのエクスポートまたはダウンロード権限は組織の担当者や管理者に限られています。
タスク履歴とは、組織内のすべてのフロー実行のタスクの履歴です。特定の実行をクリックすると、フローのすべてのステップとその入力および出力の詳細を確認できます。このデータのエクスポートまたはダウンロード権限は、組織の担当者や管理者に限られています。
役割と権限
Zoho Flowでは、アプリケーションとデータへのアクセスを設定することができます。担当者、管理者、メンバーそれぞれの役割と権限は異なります。担当者や管理者は組織のメンバーを管理でき、メンバーは監査ログ(操作履歴)や自分で作成/共有していない連携へのアクセスを制限されています。
組織の担当者は、以下のような操作が可能です。
組織の名前を変更する
メンバーを追加または削除する
メンバーの役割を変更する
フローを作成、編集、削除する
アプリ接続を作成、テスト、削除、再接続する
監査ログ(操作履歴)とタスク履歴を閲覧およびエクスポートする
暗号化されたデータ
Zoho Flowの暗号化についての詳細はこちらをご覧ください。
注意:
- Zohoのコンプライアンスについての詳細はこちらをご覧ください。
このヘルプ記事に記載されている内容は法的助言ではありません。HIPAAが貴社に与える影響やHIPAAに準拠するための措置については、法律顧問に相談してください。