HIPAA準拠

お知らせ：当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

プライバシールール、セキュリティールール、ブリーチ通知ルール、または健康情報技術の経済および臨床保健法を含む、健康保険移植および説明責任法（'HIPAA'）は、個人を特定できるあらゆる健康情報を保護するための特定の対策を実施するよう対象エンティティおよび法人関連者に義務付ける。さらに、HIPAAは個々の権利も定めている。Zohoは、自社の目的のためにHIPAAによって保護される健康情報を収集、使用、保存、または維持することはありませんが、Zoho Recruitは以下の詳細でその顧客がHIPAAに準拠した形でZoho Recruitを使用するのを支援する特定の機能を提供しています。

HIPAAは、対象エンティティがその法人関連者とともに法人関連者契約(BAA)を締結することを要求します。 legal@zohocorp.com までメールでBAAテンプレートをリクエストできます。

Zoho RecruitにおけるHIPAAへの対応

多数のヘルスケア組織がRecruitを使用してビジネスを合理化し、共有データベースに顧客情報を保存するため、個人の健康情報の機密性を保証できることが重要です。

Zoho Recruitでは、ヘルスケア組織が個人の健康情報のセキュリティを保証し、そのエクスポートを制限する方法を提供しています。

Recruitの管理者は以下の手順を実行することでこれを実現できます：

'health'タブを選択する:保護された健康情報('PHI')を含むすべてのタブが選択されている必要があります。Zoho Recruitのすべての支払い済みバージョンでは、最大10個のタブを選択できます。これにはデフォルトタブとカスタムタブの両方が含まれます。注：HIPAAコンプライアンス機能はZoho Recruitの無料エディションでは利用できません。

PHIを含む項目を特定する:タブ内には、PHIを含む項目が少数含まれているかもしれません。例えば、手術履歴、症状、薬の詳細などです。これらの項目をPHIとしてマークすると、システムがこれらの項目を認識し、APIを通じたこれらの項目へのアクセスを制限し、これらの項目の値のエクスポートを防ぎます。各タブ内でPHIを含む項目としてマークできる項目は合計30項目です。
メモ: ルックアップ項目および自動採番項目はPHIとしてマークすることはできません。

PHIとしてマークされたデータの制限を設定:Zoho Recruitの外部でアクセスされるPHIを制限するための4つの設定があります。これらの設定は組織のニーズに基づいて活性化できます:

APIを通じたデータアクセスの制限:他のアプリケーションはAPIを使用してZoho Recruitに接続し、データを移動することができます。APIを通じた他のアプリケーションへの移行を制限することで、PHIが共有されないことを保証できます。
エクスポートするデータの制限:Zoho Recruitアカウントからデータをエクスポートする際、このオプションを選択することで、PHIがエクスポートされるのを防ぐことができます。
Zohoアプリへのデータ移行の制限: RecruitアカウントがCRM、Workerly、Peopleなどの他のZohoアプリケーションと統合されている場合、データはRecruitからこれらのアプリケーションに流れます。このオプションを選ぶことで、PHIが他のアプリケーションに移動するのを阻止します。
サードパーティアプリへのデータ移行の制限: Recruitアカウントが企業目的のためのサードパーティアプリケーションと統合されている場合、データがRecruitからこれらのアプリケーションに流れる可能性があります。このオプションを選ぶことで、PHIが他のアプリケーションに移動するのを阻止します。

PHI項目の暗号化:PHIを含む項目は、追加のセキュリティのために暗号化することができます。Zoho Recruitでは項目の暗号化は必須の手順ではありませんが、機密データへの不正アクセスを防ぐベストプラクティスとして、暗号化を有効にすることを強くお勧めします。

詳細はこちら about how to 暗号化の設定とその制約を理解する方法については、こちらもご参考ください。 Zoho Encryption white paper を参照して、暗号化プロセスとキー管理を詳細に理解してください。

HIPAAの準拠を設定するには

次の場所に移動します：設定>コンプライアンス>HIPAA コンプライアンス。
切り替える theHIPAA Compliance 設定を有効にするボタンをオンにします。
ドロップダウンリストから差出人タブを選択します。
最大10個のタブを選択することができます。
Personal Health Data Handlingの下で、切り替えるAPIを通じたデータアクセスの制限、エクスポートする中のデータの制限、Zohoアプリへのデータ移行の制約、および/または必要に応じてサードパーティのアプリへのデータ移行を制限します。必要に応じて行ってください。

個人健康情報(PHI)を含む項目を識別する方法：

設定 > カスタマイズ > タブに進む。
タブを選択し、その他アイコンをクリックして標準のレイアウトを選択します。
または、その他アイコンをクリックし、レイアウトを編集するを選択できます。
希望の項目に移動し、設定アイコンをクリックします。
詳細を編集するをクリックし、Contains Personal Health Data 箱にチェックを入れます。

このオプションは、タブがHIPAA準拠のために選択されている場合にのみ表示されます。

HIPAA準拠を停止する

HIPAA準拠が停止されると、PHIとして識別された項目は非識別化されます。管理者は、HIPAA準拠を再度有効にするときに項目を再度識別することができます。

レコード内の個人データの表示

PHIを含むと識別された項目はすべて、データ詳細ページにリストされます。 データのプライバシー欄のPersonal Data部分で、データのプライバシータブをクリックして、PHIを含む項目を表示できます。

PHIの監査追跡

監査追跡は、あなたがPHI項目として特定した項目のプロパティ変更を文書化します。監査履歴はエクスポートも可能です。

PHIの活動記録

活動ログはPHIを含む可能性があるエンティティへの様々な変更を追跡するのに役立ちます。日付、操作の時間、操作を行ったユーザーの名前、操作に関するその他の詳細が活動ログに表示されます。

監査および活動ログのエクスポート

データ監査は、システムの保全と予期せぬ変更や使用傾向の監視に役立ちます。監査ログは60日間、活動ログは90日間保存されます。監査および活動ログは設定 > データ管理 > 監査ログ/活動ログに進むことでエクスポートすることができます。エクスポートするをクリックしてダウンロードします。

次の表には、さまざまな統合の詳細と個人データが制限された場合の影響について説明されています。統合に必須の項目が存在します。例えば、Zoho Campaignsの統合では、メールは必須項目です。メールを個人項目として特定すると、データはRecruitからCampaignsに送信されません。その他の詳細は下の表で確認できます。

*注：ファーストネームと姓は個人項目として特定できません。

Zohoアプリとの統合

Zohoアプリとの統合	統合に必要な項目	個人データが制限された場合にはどうなりますか？
Zoho Campaigns	メール	データはZoho Recruitから移動されません
Zoho Cliq	該当なし	個人の項目以外の詳細はZoho Cliqを通じて共有されます。
Zoho CRM	姓, 要件名, 段階, 勘定名	データは差出人 Zoho Recruit から移動されません
Zoho People	名前, 姓, メール, 電話番号	データは差出人 Zoho Recruit から移動されません
Zoho Workerly	姓, モバイル, 現在の件名	データは差出人 Zoho Recruit から移動されません
Zoho レポート	NA	データは移動済み差出人 Zoho Recruitではありません
Zoho Survey	NA	NA
Zoho Forms	NA	NA
Zoho Workdrive	該当なし	該当なし

第三者アプリとの統合

その他のアプリとの統合	統合に必要な項目	個人データの制限時に何が起こりますか?
Microsoft Office 365	名	名が個人の項目として識別できないため、統合は通常通り機能します。
Microsoft Outlook	名	名が個人項目として識別できない場合でも、統合は通常どおり機能します。
Google 連絡先	名	名が個人項目として識別できない場合でも、統合は通常どおり機能します。