HIPAA準拠

HIPAA準拠

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

医療保険の携行性と責任に関する法律(HIPAA)(プライバシールール、セキュリティルール、違反通知ルール、ならびに経済的および臨床的健康法を含む)は、カバードエンティティおよび法人アソシエイトに対し、個人を特定できる健康情報を保護するための特定の措置を講じることを求めています。また、個人に特定の権利を付与しています。ZohoはHIPAAによって保護される健康情報を自社目的で収集、使用、保存、または維持することはありません。しかし、Zoho Marketing 自動化は、顧客がHIPAA準拠のもとで健康関連データを安全に管理できるよう機能を提供しています。
 
HIPAAでは、カバードエンティティは法人アソシエイトと法人関連付ける契約(BAA)を締結する必要があります。弊社のBAAテンプレートをご希望の場合は、legal@zohocorp.comまでメールにてご依頼ください。
 

Zoho Marketing 自動化でのHIPAA準拠の適用方法

Zoho Marketing 自動化の管理者は、以下の方法で、個人の健康情報のエクスポートを制限し、HIPAAガイドラインに準拠した取り扱いを行うことができます。
 
PHIを含む項目のマーク:個人健康情報(PHI)を含む項目をマークすることで、システムが該当項目を特定し、API経由でのアクセスを制限したり、これらの値のエクスポートを防ぐことができます。例えば、手術履歴、症状、服薬情報などを含む項目が該当します。
 
Info
PHI(保護対象健康情報)としてマークできるのはカスタム項目のみです。スタンダード項目はマークできません。
 
PHIとしてマークされたデータの制限設定:個人データがZoho Marketing 自動化外でアクセスされるのを制限するための設定は2つあります。どちらの設定も、組織の要件に応じて有効化できます。
  1. APIによるデータアクセスの制限:他のアプリケーションがAPIを利用してZoho Marketing 自動化と連携し、データが移動する可能性があります。API経由で個人健康データの転送を制限することで、顧客の個人健康データが他アプリケーションに共有されることを防ぐことができます。
  2. データのエクスポート制限:Zoho Marketing 自動化アカウントからデータをエクスポートする際、個人健康情報のエクスポートを防ぐためには、このオプションを有効にしてください。
  3. PHI項目の暗号化:個人健康情報を含む項目は、追加のセキュリティ対策として暗号化できます。項目暗号化はZoho Marketing 自動化で必須手順ではありませんが、不正アクセスを防ぐ最善策として、暗号化の有効化を強く推奨します。
Alert
カスタム項目は初期設定では暗号化されていません。手動で暗号化を行う必要があります。

HIPAA準拠の設定方法

Steps to enable HIPAA compliance

HIPAA準拠を設定するには:
  1. 設定 > Consent and Privacy > Compliance 設定に移動します。
    settings page
  2. HIPAA Complianceに移動します。
  3. HIPAA compliance 設定をオンに切り替えます。オンにすると、個人の健康データの制限を有効にするスイッチが表示されます。
  4. データエクスポートの制限またはAPI経由でのデータエクスポートの制限をオンに切り替えます。これにより、ユーザーによるデータ共有が制限されます。
    HIPAA settings

項目を個人データを含むものとして設定する方法

  1. ページ右上の設定を選択します。settings
  2. 連絡先 項目を一般の下から選択します。
  3. カスタム項目タブに移動します。
  4. 追加する カスタム項目ボタンをクリックします。
    add custom field
  5. 次のデータを入力します:
    a. 項目種類:その項目に保存されるデータの種類を示します。
    b. 項目ラベル:項目を特定する、または名前を付けるために使用します。
    c. 初期設定マージタグ値:ユーザーが項目を空白のままにした場合、初期値として使用されます。
  6. カスタム項目の詳細を入力した後、「Contains Personal health data」チェックボックスにチェックを入れます。また、既存の項目を編集して、個人データを含むかどうかを設定または解除することも可能です。クリック 作成   
    Contains Personal health data check box
                   

HIPAAコンプライアンスを無効にする方法

Disable HIPAA compliance

HIPAAコンプライアンスを無効にするには:
  1. 設定 > Consent and Privacy > Compliance設定へ移動します。
    settings page
  2. HIPAA Complianceに進みます。
  3. HIPAAコンプライアンス設定をオフに切り替えます。
    HIPAA settings
  4. オフに切り替えると、確認ダイアログが表示されます。はい、HIPAAコンプライアンスを無効にするをクリックします。
  5. HIPAAコンプライアンスを無効化すると、エクスポートや関連するその他の活動に対する制限が解除されます。

監査ログの取得

カバード項目として、ログを定期的にエクスポートし、所定の期間保存することが責任であり、推奨される運用です。そのための手段として、「監査ログのエクスポート」オプションを利用して、必要に応じてデータをエクスポートできます。Zoho Marketing自動化では、監査ログは初期設定で6か月間利用可能です。6か月を超えるデータが必要な場合は、サポート窓口へご連絡ください。