HIPAA準拠

HIPAA準拠

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

医療保険の相互運用性と説明責任に関する法律(プライバシールール、セキュリティルール、漏えい通知ルール、および経済的および臨床的健全性のための医療情報技術に関する法律を含む)(HIPAA)では、対象事業者および業務提携者に対し、個人を識別できる医療情報を保護するため、一定の措置を講じることを求めています。また、個人に一定の権利を付与しています。Zohoは、自社の目的でHIPAAにより保護される医療情報を収集、使用、保存、維持することはありません。ただし、Zoho Recruitでは、顧客がHIPAAに準拠した形でZoho Recruitを利用できるよう、以下に説明する特定の機能を提供しています。

 

HIPAAでは、対象事業者が業務提携者と業務提携者契約(BAA)を締結することを求めています。当社のBAAテンプレートは、 legal@zohocorp.com 宛てにメールを送信して依頼できます。

Zoho RecruitでのHIPAA準拠

医療機関によるRecruitの利用が進み、業務を円滑に進め、共有データベースに顧客情報を保存するようになる中で、個人の医療情報の機密性を確保できることが重要です。

Zoho Recruitでは、医療機関が個人の医療情報を保護し、そのエクスポートを制限するための方法を提供しています。

 

Recruitの管理者は、次の手順で設定できます。

  1. [医療情報]タブを選択します。保護対象医療情報(PHI)を含むすべてのタブを選択する必要があります。Zoho Recruitのすべての有料プランでは、合計10件のタブを選択できます。これには、標準タブとカスタムタブの両方が含まれます。注意:Zoho Recruitの無料プランでは、HIPAA準拠機能は利用できません。

  1. PHIを含む項目を指定します。タブには、PHIを含む項目が数個しかない場合があります。たとえば、手術歴、症状、薬剤の詳細などです。これらの項目をPHIとして指定すると、システムがこれらの項目を識別し、API経由でこれらの項目へのアクセスを制限して、これらの項目値のエクスポートを防ぐことができます。各タブで合計30件の項目を、PHIを含む項目として指定できます。
    メモ:ルックアップ項目と自動番号項目は、PHIとして指定できません。

  1. PHIとして指定したデータに制限を設定します。Zoho Recruitの外部からPHIにアクセスされることを制限するためのオプションは4つあります。これらのオプションは、組織の要件に応じて有効にできます。

    1. [API経由でのデータアクセスを制限する]:他のアプリケーションはAPIを使用してZoho Recruitに接続でき、データを転送できます。API経由でその他のアプリケーションへの転送を制限することで、処理中にPHIが共有されないようにできます。

    2. [データのエクスポートを制限する]:Zoho Recruitのアカウントからデータをエクスポートする際、このオプションを選択するとPHIがエクスポートされないようにできます。

    3. [Zohoサービスへのデータ転送を制限する]:RecruitのアカウントがCRM、Workerly、Peopleなどの他のZohoサービスと連携している場合、データはRecruitからこれらのサービスに流れます。このオプションにより、PHIがその他のサービスに転送されるのを防止できます。

    4. [外部サービスへのデータ転送を制限する]:Recruitのアカウントが業務上の理由で外部サービスと連携している場合、Recruitからこれらのサービスへデータが流れる可能性があります。このオプションにより、PHIがこれらのサービスに転送されるのを防止できます。 

  1. PHI項目を暗号化します。PHIを含む項目は、セキュリティ強化のために暗号化できます。Zoho Recruitでは項目の暗号化は必須ではありませんが、機密データへの不正アクセスを防ぐためのベストプラクティスであるため、暗号化を有効にすることを強くおすすめします。

 

詳細については、暗号化の設定と制限事項をご参照ください。また、 Zoho Encryptionホワイトペーパー で、暗号化プロセスとキーマネジメントの詳細を確認できます。

HIPAA準拠を設定するには

  1. [設定][コンプライアンス][HIPAA準拠]に移動します。

  2. [HIPAA準拠設定を有効にする]ボタンを[オン]に切り替えます。

  3. ドロップダウン一覧からタブを選択します。

  4. タブは最大10件まで選択できます。

  5. [個人の医療情報の取り扱い]で、[APIによるデータへのアクセスを制限する]、[エクスポート時のデータを制限する]、[Zohoアプリへのデータ転送を制限する]、[外部アプリへのデータ転送を制限する]を必要に応じて[オン]にします。

保護対象医療情報を含む項目をマークするには

  1. [設定]→[カスタマイズ]→[タブ]に移動します。
  2. タブを選択し、目的のレイアウトを選択するには、[その他]アイコンをクリックします。
    または、[その他]アイコンをクリックして、[レイアウトの編集]を選択します。
  3. 目的の項目に移動し、[設定]アイコンをクリックします。
  4. [詳細を編集する]をクリックし、[個人の医療情報を含む]チェックボックスを選択します。
    このオプションは、タブがHIPAA準拠の対象として選択されている場合にのみ表示されます。

HIPAA準拠の無効化

HIPAA準拠を無効にすると、保護対象医療情報としてマークされていた項目のマークが解除されます。管理者は、HIPAA準拠を再度有効にした際に、項目を再度マークできます。

データ内の個人データの表示

保護対象医療情報を含むものとしてマークされたすべての項目が、データの詳細ページに一覧表示されます。[データのプライバシー][個人のデータ]セクションで、[データのプライバシー]タブをクリックすると、保護対象医療情報を含む項目を表示できます。

保護対象医療情報の監査証跡

監査証跡では、保護対象医療情報の項目としてマークした項目の詳細の変更が記録されます。監査履歴はエクスポートすることもできます。

保護対象医療情報の活動ログ

活動ログでは、保護対象医療情報を含む可能性のあるエンティティに対するさまざまな変更を追跡できます。処理の日付と時刻、処理を実行したユーザー名、処理に関するその他の詳細は、活動ログで確認できます。

監査ログと活動ログのエクスポート

データ監査は、システムをセキュアに保ち、予期しない変更や利用傾向を監視するのに役立ちます。監査ログは60日間、活動ログは90日間保持されます。監査ログと活動ログは、[設定]→[データ管理]→[監査ログ/活動ログ]に移動してエクスポートできます。ダウンロードするには、[エクスポート]をクリックします。

 

次の表では、各種連携の詳細と、個人のデータが制限された場合の影響を確認できます。連携には必須の項目があります。たとえば、Zoho Campaigns連携では、メールが必須項目です。メールを個人項目としてマークすると、データはRecruitからCampaignsに送信されません。このような詳細は、以下の表で確認できます。

 

*注意:名と姓は個人項目としてマークできません。

Zohoアプリとの連携

Zohoアプリとの連携

連携に必須の項目

個人データが制限されるとどうなりますか?

Zoho Campaigns

メール

Zoho Recruitからデータは送信されません

Zoho Cliq

なし

個人項目以外の詳細がZoho Cliq経由で共有されます。

Zoho CRM

姓、商談名、ステージ、取引先名

 

Zoho Recruitからデータは送信されません

 

Zoho People

名、姓、メール、電話番号

 

Zoho Recruitからデータは送信されません

 

Zoho Workerly

姓、携帯電話、現在の役職

 

Zoho Recruitからデータは送信されません

 

Zoho Reports

なし

Zoho Recruitからデータは送信されません

Zoho Survey

なし

なし

Zoho Forms

なし

なし

Zoho WorkDrive

なし

なし

 サードパーティーアプリとの連携

その他のサービスとの連携

連携に必須の項目

個人データが制限されるとどうなりますか?

Microsoft Office 365

名は個人項目として設定できないため、連携は通常どおり機能します。

Microsoft Outlook

名は個人項目として設定できないため、連携は通常どおり機能します。

Google 連絡先

名は個人項目として設定できないため、連携は通常どおり機能します。

Notes
こちらに記載されている内容は、法律上の助言として解釈されるものではありません。HIPAA(米国の医療保険の携行性と説明責任に関する法律)が組織に与える影響や、HIPAAに準拠するために必要な対応については、法律顧問にお問い合わせください。

Zoho Recruitが提供するその他のセキュリティ機能。