Zoho RPAにおけるHIPAA準拠

Zoho RPAにおけるHIPAA準拠

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

医療保険の携行性と説明責任に関する法律(プライバシールール、セキュリティルール、漏えい通知ルール、および経済的および臨床的健全性のための医療情報技術法を含む)(「HIPAA」)では、対象事業者および業務提携者に対し、個人を識別できる医療情報を保護するための特定の措置を講じることを求めています。また、個人に一定の権利を付与しています。
Zoho RPAは、HIPAAで保護される医療情報を自社の目的で収集、使用、保存、維持することはありません。ただし、Zoho RPAでは、お客さまがHIPAAに準拠した方法でZoho RPAを利用できるようにするための機能を提供しています。
HIPAAでは、対象事業者が業務提携者と業務提携者契約(BAA)を締結することを求めています。当社のBAAテンプレートは、legal@zohocorp.com宛てにメールを送信してリクエストできます。
Notes
なお、こちらに記載されている内容は、法的助言として解釈されるものではありません。HIPAAがお客さまの組織に与える影響や、HIPAAに準拠するために必要な対応については、法務アドバイザーにご相談ください。

Zoho RPAにおけるHIPAA準拠

医療業界は急速に進化しており、電子的保護対象医療情報を安全に管理し、個人の機微な医療情報を保護する必要性が高まっています。
Zoho RPAには、組織がHIPAAに準拠した自動化ワークフローを設計するために利用できる、さまざまな組み込みの制御機能とセキュリティ機能が用意されています。履歴ログ(実行履歴の入力データと出力データ)には、具体的なワークフローのユースケースによっては、電子的保護対象医療情報が含まれる場合があります。このデータは、コンプライアンスとデータ保護を確保するため、保存時に暗号化されます。以下では、Zoho RPAで所有者と管理者がHIPAA要件への準拠を維持するために利用できる機能を説明します。

役割と権限の管理

Zoho RPAでは、RPAフローとデータへのアクセスを制御できます。役割と権限は、所有者、管理者、メンバーによって異なります。所有者または管理者は、組織のメンバーを管理できます。メンバーには、監査証跡などの管理者機能や、自分で作成したものでも共有されたものでもない接続にアクセスする権限はありません。
組織の所有者は、次の操作を実行できます。
  1. 組織名の変更
  2. メンバーの追加または削除
  3. メンバーの役割の変更
  4. フローの作成、編集、削除
  5. アプリ接続の作成、テスト、削除、再接続
  6. 監査証跡とタスク履歴の表示およびエクスポート

監査証跡とタスク履歴のエクスポート

監査証跡は、組織全体の活動ログです。RPA組織で発生していることを追跡するために使用します。組織が作成された時点以降のすべての監査ログを利用できます。このデータをエクスポートまたはダウンロードするオプションは、組織の所有者または管理者のみが利用できます。監査ログは、組織が閉鎖されるまで保持されます。

履歴には、組織内のすべてのRPAフロー実行のタスク履歴が表示されます。特定の実行をクリックすると、フローのすべてのステップと、その入力および出力の詳細を確認できます。このデータをエクスポートまたはダウンロードするオプションは、組織の所有者または管理者のみが利用できます。実行履歴データは保存時に暗号化されます。

アプリ接続の共有/共有解除

アプリ接続は、Zoho RPAで作成され、Zoho Flowを基盤としています。すべての接続は、初期設定では非公開です。接続を共有すると、組織内のすべてのメンバーが利用できるようになります。メンバーは、フローでその接続を使用して、データにアクセスし、作成および更新できます。接続の共有を解除すると、他のすべてのユーザーのアクセスが拒否され、その接続は再び非公開になります。その接続を使用しているフローは、引き続きその接続を使用してデータにアクセスし、作成および更新します。

RPAエージェントへの安全なデータ転送

Zoho RPAエージェントは、RPAワークフローを正常に実行できるようにデスクトップ端末にインストールされるソフトウェアです。これらのエージェントはZoho RPAサーバーに安全に接続し、ワークフローのステップと必要なデータを取得します。取得したデータは、実行中のみローカルデータベースに一時的に保存されます。エージェントに一時的に保存されるすべてのデータは、転送中および保存時の両方で安全に暗号化され、エンドツーエンドのデータ保護が確保されます。
ワークフローの完了時、または実行に失敗した場合、すべてのステップと関連データはエージェントから自動的に削除されます。

データの暗号化

HIPAAセキュリティルールで対応可能な保護措置とされている暗号化については、データは初期設定で転送中および保存時に暗号化されます。