医療保険の相互運用性と説明責任に関する法律(HIPAA)への準拠に関するZoho SalesIQの機能

医療保険の相互運用性と説明責任に関する法律(HIPAA)への準拠に関するZoho SalesIQの機能

米国の医療保険の相互運用性と説明責任に関する法律(HIPAA:Health Insurance Portability and Accountability Act)では、医療情報に関するプライバシー保護やセキュリティ確保のためのさまざまな規定が設けられています。この法律の適用対象となる医療サービスを提供する組織や、これらの組織と提携して医療情報を取り扱う組織は、個人を特定可能な医療情報(PHI:Protected Health Information、保護対象医療情報)を適切に管理、保護する必要があります。また、HIPAAでは、個人(顧客)が自身の診療情報や保険利用に関するデータを参照できる権利についても定められています。Zohoサービスは、HIPAAによって保護されている医療情報を収集、使用、保存、保持することはありません。ただし、Zoho SalesIQには、HIPAAの適用対象となる医療サービスを提供する組織向けに医療情報を管理するための機能が用意されています。

HIPAAでは、この法律の適用対象となる医療サービスに対して、提携して医療情報を取り扱う組織と業務提携契約(BAA:Business Associate Agreement)を締結するように定められています。そのため、Zoho SalesIQを利用して個人を特定可能な医療情報(PHI/保護対象医療情報)を管理するには、Zohoと業務提携契約(BAA)を締結する必要があります。業務提携契約書のテンプレートを希望する場合は、legal@zohocorp.comにお問い合わせください。

HIPAAに関するZoho SalesIQの機能

多くの医療機関または関連組織がZoho SalesIQを利用して顧客とコミュニケーションをとるようになりました。それにともない、Zoho SalesIQでは顧客の保護対象の電子的医療情報(ePHI)を安全に保つため、HIPAA準拠のための機能が用意されています。 
医療情報を保護し、操作履歴を管理できるため、不正利用や想定外のデータの変更といった不適切な操作が行われていないか確認することができます。Zoho SalesIQでは、保護対象の電子的医療情報(ePHI)である項目の追加、更新、削除などに関する操作履歴のデータが保存されます。

Zoho SalesIQにおける保護対象の電子的医療情報(ePHI)

Zoho SalesIQにおいて顧客の保護対象の電子的医療情報(ePHI)を保護するための仕組みは、さまざまな形で用意されています。 

チャット

HIPAAの適用対象となる医療サービスを提供する組織の場合、Zoho SalesIQで行ったチャットのメッセージの中に保護対象の電子的医療情報(ePHI)が含まれる場合があり得ます。その場合、すべてのチャットデータは保護対象の電子的医療情報(ePHI)と見なされ、操作履歴の記録対象となります。  

チャット前のフォーム

担当者とチャットを開始する際に表示されるフォームには、訪問者の名前、メール、電話番号などの情報が含まれます。これらの情報自体は保護対象の電子的医療情報(ePHI)に分類されませんが、チャット内容に関連付けられている場合はePHIと見なされます。そのため、SalesIQでは、初期設定のチャット前のフォームの場合、入力されたすべてのデータがePHI(電子医療情報)として取り扱われます。  

JS APIのカスタム項目

Zoho SalesIQでは、WebサイトのJS(JavaScript) API用のカスタム項目を使用してチャット前のフォームをカスタマイズできます。ニーズに合わせて訪問者の情報を追加的に取得できます。カスタム項目は、Webサイト側で実装する仕組みのため、Zoho SalesIQ側では入力されたデータを表示することしかできません。また、Zoho SalesIQからはその設定を変更できません。入力されたデータを表示することしかできないため、操作履歴のデータは収集されません。この場合、HIPPAに準拠した形でZoho SalesIQを利用することはできません。

訪問者から保護対象の電子的医療情報(ePHI)を収集する場合、JS API用のカスタム項目を使用しないでください。 
メモ: 
  1. JS API用のカスタム項目を使用して収集されたデータは、暗号化されます。 
  2. Zoho SalesIQのJS API用のカスタム項目を使用して収集したデータを変更することはできません。

操作履歴のエクスポートと保存

HIPAAへの準拠の一環として、重要な保護対象の電子的医療情報(ePHI)の操作履歴は保存されます。すべての操作履歴のデータは、最大1年間システム側で保存されます。操作履歴のデータは、申請に応じてポータルの担当者と訪問者に共有されます。 

1.チャットで送受信された添付ファイルのダウンロード操作の記録

Zoho SalesIQでは、チャットで送受信された添付ファイルをダウンロードすると、その操作履歴が記録され、保存されます。

2.チャットの削除操作の記録

Zoho SalesIQでは、チャット履歴を削除すると、その操作が記録され、保存されます。操作履歴には、訪問IDやチャットIDといった必要最低限の情報のみが含まれます。

3.名前、メールアドレス、電話番号の更新履歴などの訪問者情報

Zoho SalesIQは、チャット前のフォームを利用して入力された訪問者情報の操作履歴を保存します。  

4.データの暗号化

すべてのチャットおよび操作履歴のデータは暗号化されます。 Zoho SalesIQでは、Zohoのファイルストレージとデータベースにより、データは安全に保管されています。
  1. チャットメッセージや添付ファイルのような保護対象の電子的医療情報(ePHI)となり得るデータはすべて暗号化され、安全に保存されます。
  2. Zoho SalesIQでは、Zohoの暗号化基準に基づき、転送時と保存時の両方でデータが暗号化されます。
重要事項:
  1. 保護対象の電子的医療情報(ePHI)の対象となり得る機能はこちらのページに記載されたもの以外にありません。そのため、他の機能は操作履歴の管理対象になりません。 
  2. こちらのページに記載されている内容は、医療保険の相互運用性と説明責任に関する法律(HIPAA)に準拠するための機能に関する説明であり、準拠に関する法的助言ではありません。ご自身の組織におけるHIPAAの適用範囲やHIPAAの準拠における必要事項については、組織の法務担当者にお問い合わせください。