医療保険の相互運用性と説明責任に関する法律(プライバシールール、セキュリティルール、漏えい通知ルール、および経済的および臨床的健全性のための医療情報技術に関する法律を含む)(HIPAA)では、対象事業者および業務提携者に対し、個人を識別できる医療情報を保護するため、一定の措置を講じることを求めています。また、個人に一定の権利を付与しています。Zohoは、自社の目的でHIPAAにより保護される医療情報を収集、使用、保存、維持することはありません。ただし、Zoho Recruitでは、顧客がHIPAAに準拠した形でZoho Recruitを利用できるよう、以下に説明する特定の機能を提供しています。
医療機関によるRecruitの利用が進み、業務を円滑に進め、共有データベースに顧客情報を保存するようになる中で、個人の医療情報の機密性を確保できることが重要です。
Zoho Recruitでは、医療機関が個人の医療情報を保護し、そのエクスポートを制限するための方法を提供しています。
Recruitの管理者は、次の手順で設定できます。
[医療情報]タブを選択します。保護対象医療情報(PHI)を含むすべてのタブを選択する必要があります。Zoho Recruitのすべての有料プランでは、合計10件のタブを選択できます。これには、標準タブとカスタムタブの両方が含まれます。注意:Zoho Recruitの無料プランでは、HIPAA準拠機能は利用できません。
PHIを含む項目を指定します。タブには、PHIを含む項目が数個しかない場合があります。たとえば、手術歴、症状、薬剤の詳細などです。これらの項目をPHIとして指定すると、システムがこれらの項目を識別し、API経由でこれらの項目へのアクセスを制限して、これらの項目値のエクスポートを防ぐことができます。各タブで合計30件の項目を、PHIを含む項目として指定できます。
メモ:ルックアップ項目と自動番号項目は、PHIとして指定できません。
PHIとして指定したデータに制限を設定します。Zoho Recruitの外部からPHIにアクセスされることを制限するためのオプションは4つあります。これらのオプションは、組織の要件に応じて有効にできます。
[API経由でのデータアクセスを制限する]:他のアプリケーションはAPIを使用してZoho Recruitに接続でき、データを転送できます。API経由でその他のアプリケーションへの転送を制限することで、処理中にPHIが共有されないようにできます。
[データのエクスポートを制限する]:Zoho Recruitのアカウントからデータをエクスポートする際、このオプションを選択するとPHIがエクスポートされないようにできます。
[Zohoサービスへのデータ転送を制限する]:RecruitのアカウントがCRM、Workerly、Peopleなどの他のZohoサービスと連携している場合、データはRecruitからこれらのサービスに流れます。このオプションにより、PHIがその他のサービスに転送されるのを防止できます。
[外部サービスへのデータ転送を制限する]:Recruitのアカウントが業務上の理由で外部サービスと連携している場合、Recruitからこれらのサービスへデータが流れる可能性があります。このオプションにより、PHIがこれらのサービスに転送されるのを防止できます。
PHI項目を暗号化します。PHIを含む項目は、セキュリティ強化のために暗号化できます。Zoho Recruitでは項目の暗号化は必須ではありませんが、機密データへの不正アクセスを防ぐためのベストプラクティスであるため、暗号化を有効にすることを強くおすすめします。
[設定]→[コンプライアンス]→[HIPAA準拠]に移動します。
[HIPAA準拠設定を有効にする]ボタンを[オン]に切り替えます。
ドロップダウン一覧からタブを選択します。
タブは最大10件まで選択できます。
[個人の医療情報の取り扱い]で、[APIによるデータへのアクセスを制限する]、[エクスポート時のデータを制限する]、[Zohoアプリへのデータ転送を制限する]、[外部アプリへのデータ転送を制限する]を必要に応じて[オン]にします。
データ監査は、システムをセキュアに保ち、予期しない変更や利用傾向を監視するのに役立ちます。監査ログは60日間、活動ログは90日間保持されます。監査ログと活動ログは、[設定]→[データ管理]→[監査ログ/活動ログ]に移動してエクスポートできます。ダウンロードするには、[エクスポート]をクリックします。
次の表では、各種連携の詳細と、個人のデータが制限された場合の影響を確認できます。連携には必須の項目があります。たとえば、Zoho Campaigns連携では、メールが必須項目です。メールを個人項目としてマークすると、データはRecruitからCampaignsに送信されません。このような詳細は、以下の表で確認できます。
|
Zohoアプリとの連携 |
連携に必須の項目 |
個人データが制限されるとどうなりますか? |
|
Zoho Campaigns |
メール |
Zoho Recruitからデータは送信されません |
|
Zoho Cliq |
なし |
個人項目以外の詳細がZoho Cliq経由で共有されます。 |
|
Zoho CRM |
姓、商談名、ステージ、取引先名
|
Zoho Recruitからデータは送信されません
|
|
Zoho People |
名、姓、メール、電話番号
|
Zoho Recruitからデータは送信されません
|
|
Zoho Workerly |
姓、携帯電話、現在の役職
|
Zoho Recruitからデータは送信されません
|
|
Zoho Reports |
なし |
Zoho Recruitからデータは送信されません |
|
Zoho Survey |
なし |
なし |
|
Zoho Forms |
なし |
なし |
|
Zoho WorkDrive |
なし |
なし |
|
その他のサービスとの連携 |
連携に必須の項目 |
個人データが制限されるとどうなりますか? |
|
Microsoft Office 365 |
名 |
名は個人項目として設定できないため、連携は通常どおり機能します。 |
|
Microsoft Outlook |
名 |
名は個人項目として設定できないため、連携は通常どおり機能します。 |
|
Google 連絡先 |
名 |
名は個人項目として設定できないため、連携は通常どおり機能します。 |
Zoho Recruitが提供するその他のセキュリティ機能。