Zoho CliqのHIPAA準拠について

Zoho CliqのHIPAA準拠について

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

医療保険の相互運用性と説明責任に関する法律(プライバシー規則、セキュリティ規則、侵害通知規則、および医療の経済的・臨床的健康に関する技術促進法を含む)(以下「HIPAA」)は、 特定の個人を識別できる医療情報を保護するために、対象事業体(Covered Entities)および事業提携先(Business Associates)に対し、一定の措置を講じることを求めています。また、個人に対して一定の権利も付与しています。
Zoho は、自社の目的のために HIPAA により保護される医療情報を収集、利用、保存、または保持しません。Zoho Cliq は、以下に説明する機能を提供し、お客様が Cliq を HIPAA 準拠の方法で利用できるよう支援します。
 
HIPAA では、対象事業体が事業提携先とビジネスアソシエイト契約(BAA)を締結することが求められています。弊社の BAA テンプレートは、legal@zohocorp.com 宛にメールを送信してリクエストできます。
 
Cliq の設定で電子的保護対象医療情報(ePHI)を保護する 
アクセス制御を制限する
  1. ゲストチャット、拡張機能、外部チャンネルを無効にして、外部連絡先を禁止します。
  2. ユーザーごとに一意のログイン認証情報を付与し 、多要素認証(MFA:Multi-Factor Authentication)を通じて、電子的保護対象医療情報(ePHI)へは認証済みユーザーのみがアクセスできるようにします。
組織全体で既読通知を必須にする
  1. 既読通知を必須にすることで、メッセージの閲覧状況を監査できます。
編集されたメッセージの履歴を表示する
  1. メッセージが更新されると、グループチャット/チャンネル内で編集履歴が監査されます。これにより、電子的保護対象医療情報(ePHI)項目に対して行われた変更を追跡できます。
Cliq では、以下を電子的保護対象医療情報(ePHI)として扱います。
  1. メッセージ
  2. 添付ファイル
  3. 通話
  4. グループ通話
  5. 通話録音
  6. チャット件名
  7. ユーザーのカスタム項目(設定可能)
 
Cliq 内の電子的保護対象医療情報(ePHI)データは暗号化されています
ePHI 項目の暗号化:個人の医療情報を含む項目は、追加のセキュリティ対策として暗号化できます。項目の暗号化は Zoho Cliq において必須手順ではありませんが、機密データのセキュリティを強化するためのベストプラクティスとして、暗号化を有効にすることを強く推奨します。
 
グループチャット/チャンネル内でのユーザーの追加・削除は監査されます
チャンネルにユーザーが追加または削除されると、そのチャンネルの参加者は、誰が追加/削除されたか、また誰によって追加/削除されたかを示す通知を表示できます。
 
許可 IP を設定しデータ漏えいを防止する
監査データは Cliq 内で 6 か月間利用可能
  1. 監査データは、イベント発生日から 6 か月間、Cliq 内で利用できます。たとえば、チャンネルを作成したりユーザーアカウントを無効化した場合、そのチャンネルを作成した日またはユーザーアカウントを無効化した日から最長 6 か月間、監査データを利用できます。
  2. 組織管理者は、さらにこの リンク を使用して、データをダウンロードおよびバックアップすることもできます。