はじめに

米国の医療保険の相互運用性と説明責任に関する法律（HIPAA）では、医療情報に関するプライバシー保護やセキュリティ確保のためのさまざまな規定が設けられています。この法律の適用対象となる医療情報を取り扱う組織は、個人を特定可能な医療情報（PHI／保護対象医療情報）を適切に管理、保護する必要があります。また、HIPAAでは、個人（患者）が自身の診療情報や保険の利用状況を確認したり、管理したりする権利が保証されています。

Zohoサービスは、HIPAAによって保護されている医療情報を収集、使用、保存、保持することはありません。ただし、Zoho Peopleには、HIPAAの適用対象となる医療情報を管理するための機能が用意されています。

HIPAAでは、法律の適用対象となる医療情報を取り扱う組織と業務提携契約（BAA）を締結するように定められています。そのため、Zoho Peopleを利用して個人を特定可能な医療情報（PHI／保護対象医療情報）を管理するには、Zohoと業務提携契約（BAA）を締結する必要があります。業務提携契約書のテンプレートを希望する場合は、legal@zohocorp.comにお問い合わせください。

Zoho PeopleにおけるHIPAAコンプライアンスの機能

多くの組織では、Zoho Peopleのような人事管理システムを導入したり、クラウド上で従業員情報を共有したりしています。そのため、これらの組織においては、従業員の個人情報を安全に保護することが必要不可欠です。

1.項目を保護対象医療情報（ePHI）に設定

個人の健康情報を含む独自の項目は、保護対象医療情報として設定できます。1行テキスト、複数行テキスト、数値の独自の項目も、同様に設定可能です。

［設定］→対象のサービス→［拡張機能］→［フォーム］の順に移動し、該当するフォームを選択します。

［項目の詳細情報］に移動し、［保護対象医療情報に設定する］の項目にチェックを入れます。項目を保護対象医療情報に設定すると、監査と暗号化の機能が自動的に有効化されます。設定の詳細については、こちらをご参照ください。

2.保護対象医療情報の暗号化

フォーム内で、従業員の保護対象医療情報を含む項目を暗号化できます。また、すべてのファイルは保存時に暗号化されます。設定の詳細については、こちらをご参照ください。

3.保護対象医療情報の監査履歴

監査履歴機能を使用すると、保護対象医療情報を含む項目のデータに加えられた変更を追跡できます。この機能では、監査を有効にした項目に対するデータ変更が記録されます。フォーム上の独自の項目に対しても監査を有効化できます。また、監査履歴はエクスポートすることも可能です。設定の詳細については、こちらをご参照ください。

4.保護対象医療情報の操作履歴

操作履歴を使用すると、保護医療対象情報を含む項目に加えられた変更を追跡できます。操作履歴では、操作の日時、操作を実行した従業員の名前、操作に関するその他の詳細を確認できます。設定の詳細については、こちらをご参照ください。

5.保護対象医療情報のエクスポート履歴

保護対象医療情報のエクスポート履歴は、［設定］→［データ管理］→［エクスポート履歴］の順に移動して、表示できます。

6.保護対象医療情報へのアクセス管理

保護対象医療情報の項目およびデータの追加、編集、表示、削除が可能なユーザーを設定できます。設定の詳細については、こちらをご参照ください。

Zoho Peopleのその他のセキュリティ機能

1. アクセス制限
   
2. データのバックアップ
   
3. ISO認証