2013年4月、BoxはHIPAA法およびHITECH法をサポートすること、およびお客様とのHIPAA提携事業者契約 (BAA: Business Associate Agreements) に署名することを発表しました。 Boxは、HIPAA提携事業者契約 (BAA) に署名した数少ないクラウドベースのアプリケーションプロバイダの1つであり、これは、お客様に対するエンタープライズセキュリティ、コンプライアンス、および管理への進行中の投資を具体的に示すものです。
一般情報
HIPAAとは?
- HIPAA (Health Insurance Portability and Accountability Act) は、1996年に制定された医療保険の相互運用性と責任に関する法律のことです。
- HIPAAは、保護医療情報 (PHI) に関して特定のセキュリティおよびプライバシー保護を要求する連邦指令です。 HIPAAの詳細については、こちらを参照してください: http://www.hhs.gov/ocr/privacy/index.html
HITECH法および最終HIPAA総括規則とは何ですか?
- 米国で、医療情報技術の採用と有意義な使用を促進するため、経済的および臨床的健全性のための医療情報技術 (HITECH: Health Information Technology for Economic and Clinical Health) に関する法律が2009年に制定されました。
- 2013年に、最終HIPAA総括規則によってさらに法廷要件が制定され、患者のプライバシーの権利と保護が大きく向上しました。その中には、保護医療情報 (PHI) のすべての管理機関の維持、およびHIPAA事業提携者 (BA) が含まれ、HIPAAの対象事業者と同じセキュリティおよびプライバシー規則に従います。
Boxが、その顧客に対してHIPAAコンプライアンスを容易に実現する方法を教えてください。
- Box製品/プラットフォームは、HIPAA、HITECH、および最終HIPAA総括規則によって要求される義務を満たしています。
- Boxは、EnterpriseアカウントまたはEnterprise Plusアカウントを持ち、HIPAA準拠を希望する顧客に対してBAA補遺に署名します。 Boxに保護医療情報 (PHI) を格納する前に、Boxと顧客の間でBAAに署名する必要があります。
- 顧客は、HIPAAに準拠する方法でBoxを構成する責任があり、またHIPAAコンプライアンスを満足するように組織に対してポリシーを適用する責任があります。
HIPAAコンプライアンスをサポートすることを証明するために、Boxが受ける何らかの種類の業界認定がありますか?
- HIPAAコンプライアンスに関して、公式の政府または業界認定はありません。 HIPAAコンプライアンスをサポートするために、Boxは、HIPAA法を確認して、その製品、ポリシー、および手順を更新し、顧客がそのニーズに関してHIPAA準拠になるようサポートします。
- また、Boxは、独立したサードパーティの監査人によって評価されています。この監査人によって、評価レポート (HIPAA AUP) が発行されています。この評価レポートには、データプライバシーとセキュリティに関してHIPAA要件を満足するようにBoxが制定する管理の詳細が記述されています。
Box HIPAAコンプライアンスに対するサードパーティ監査レポートを入手する方法を教えてください。
- Box担当者にご連絡ください。
Boxが、その製品とプラットフォームでHIPAAコンプライアンスをサポートする方法を教えてください。
HIPAA提携事業者契約 (BAA) への署名に加えて、Boxは、その製品ポリシーおよび組織ポリシーに以下の機能を備えています。
- 移動時および保管時にデータを暗号化
- 運用サーバーに対する物理アクセスの制約
- 厳密に論理的なシステムアクセス制御
- 以下のために顧客に適用される設定可能な管理制御:
- 顧客のファイルに対して、ファイルの読み取り、ダウンロード、編集、ロック、およびパスワード保護を行うための明示的な承認を付与
- アクセスの監視
- ユーザーとコンテンツの両方に対するアカウント処理のレポートと監査証跡
- 公式に定義およびテストされた違反通知ポリシー
- セキュリティポリシーと管理に関する従業員の教育
- 顧客データファイルに対する従業員のアクセスを厳しく制約
- ミラーリングされたアクティブアクティブデータセンターによる災害状況の緩和
- 99.9%の実行可能時間のSLA
- SSAE 16 SOC1およびAT-101 SOC2 Type IIレポート
- さらに、BoxはISO 27001認定済み
HIPAA要件に関連して、Boxは、どの種類の顧客および管理者制御を行っていますか。
- 顧客がBoxに提供する手順と情報が、顧客とのBox利用規約の条文に従っていること、またはBoxと顧客の間で効力のある適用可能な他の契約または文書に従っていることを合理的に保証する制御。
- ユーザーエンティティの承認された個人だけが、Boxアプリケーションからの情報にアクセス、修正、および削除する能力を付与されることを、合理的に保証する制御。
- Boxのアプリケーションにアクセスするユーザーエンティティの方法が適切な論理セキュリティプロトコルで構成されていることを、合理的に保証する制御。
- ユーザーエンティティの機密情報の機密性が、ユーザーによって危険にさらされることがないことを、合理的に保証する制御。
- ユーザーエンティティで許可されたユーザーにアクセスを定義および付与することを、合理的に保証する制御。
- アカウントの無効化を含めて、ユーザーアカウントとアクセス権限が進行中の処理に正しく指定されることを、合理的に保証する制御。
Boxは、現在の顧客とのHIPAA提携事業者契約 (BAA) に署名しましたか?
- はい。Boxは、現在、いくつかのヘルスケアおよびライフサイエンスの顧客とのBAAに署名しています。
HIPAAに準拠可能なのは、どのBoxアカウントですか?
- Boxは、Personalアカウント、Starterアカウント、Businessアカウント、Enterpriseアカウント、またはEnterprise Plusアカウントのいずれであるかに関係なく、すべての顧客に対して同じセキュリティ制御とプライバシー制御を適用します。
- ただし、HIPAA対象事業者やHIPAA事業提携者など、法律によってHIPAAへの準拠を要求される顧客は、BoxでEnterpriseアカウントまたはEnterprise Plusアカウントを持つ必要があり、また提携事業者契約 (BAA) に署名する必要があります。 HIPAAに準拠するためには、顧客は、その組織内でHIPAA要件を満足するようにBoxを構成し、ポリシーを適用する必要があります。
BoxパートナーまたはOneCloudアプリケーションは、自動的にHIPAAに準拠しますか?
- HIPAA対象事業者やHIPAA事業提携者 (BA) に製品またはサービスを提供するBoxパートナー、または保護医療情報 (PHI) を取り扱うBoxパートナーは、顧客との提携事業者契約 (BAA) に署名する必要があり、さらに顧客はBoxとのBAAに署名する必要があります。 BoxパートナーのHIPAAコンプライアンスに関する情報については、そのウェブサイトを参照してください。
Boxは、ヘルスケア顧客 (例えば、対象事業者や他の事業提携者) とビジネスを行うパートナーとのHIPAA提携事業者契約に署名できますか?
- はい、Boxは、パートナーと直接提携事業者契約 (BAA) を結ぶことができます。また、必要に応じてパートナーの顧客とも直接結ぶことができます。
アプリ内からHIPAA提携事業者契約 (BAA) を要求できますか?
Enterprise管理者/共同管理者であれば、可能です。これを行うには、管理コンソールで [アカウントと請求] をクリックし、(必要に応じて) [HIPAAコンプライアンス] まで下にスクロールします。次に [HIPAA BAAをリクエスト] をクリックします。組織に関する情報、BAA署名者、Boxに保護医療情報 (PHI) を保存しているかどうか、HIPAA対象事業者 (CE) とHIPAA事業提携者 (BA) のどちらであるかについて入力を求めるフォームが表示されます。フォームに入力し、[続行] をクリックします。3~5営業日以内に、Boxの法務部門から補遺がメールで届きます。
基本的なHIPAAの用語と用語集
保護医療情報 (PHI) とは何ですか?
- PHI (Protected Health Information) は、保護医療情報とも呼ばれ、一般には、個人を特定して適切な介護を行うための、人口学的情報、病歴、テストおよび検査結果、保険情報、および医療従事者によって収集されるその他のデータを意味しています。
個人情報 (PII) とは何ですか?
- 個人情報 (PII) は、保護医療情報 (PHI) のサブセットであり、特定の個人を一意に識別する情報を意味しています。 保護医療情報 (PHI) は、医療および保健で固有に使用されるものです。
HIPAA対象事業者とは何ですか?
- HIPAA対象事業者 (CE) は、ヘルスケアまたは医療に対する支払いの過程において、患者に保護医療情報 (PHI) および個人情報 (PII)、またはそのいずれかを提供します。 HIPAA対象事業者 (CE) の例には、次のものがあります。
- 医師、外来診療所、精神分析医、歯科医、指圧療法士、介護施設、薬局が含まれます。これらは、アメリカ保健福祉省 (HHS) が標準として採用した取引に関連する電子形式で任意の情報を伝送します。
- 健康保険企業、HMO、企業のヘルスプラン、ヘルスケアに対する支払いを行う政府プログラム (メディケアやメディケイドなど)
- 別のエンティティから受け取った非標準のヘルス情報を、標準 (標準電子形式またはデータコンテンツ) に変換する処理、または逆の処理を行うエンティティ。
- ヘルスケアプロバイダ
- ヘルスプラン
- ヘルスケア情報センター
HIPAA事業提携者 (BA) とは何ですか?
- HIPAA事業提携者 (BA) は、HIPAA対象事業者 (CE) とビジネスを行い、患者の代わりに対象事業者が対処する保護医療情報 (PHI) または個人情報 (PII) を取り扱う個人または組織を意味しています。
- 事業提携者 (BA) には、HIPAA対象事業者 (CE) とビジネスを行うベンダーやサービスが含まれます。 例としては、HIPAA対象事業者 (CE) と契約する組織またはベンダーが含まれます。それらは、電子カルテ (EHR)、請求処理、データ分析、医療適正審査、請求、法律業務、保険数理サービス、会計サービス、コンサルティングサービス、データ統合、適格性認定サービス、金融サービスなどのソフトウェアを提供します。 HIPAA事業提携者 (BA) になるためには、組織の業務で保護医療情報 (PHI) および個人情報 (PII)、またはそのいずれかの使用または開示を直接取り扱う必要があります。
HIPAA提携事業者契約 (BAA) とは何ですか?
- HIPAA提携事業者契約 (BAA) は、HIPAA事業提携者 (BA) がHIPAA対象事業者 (CE) と結ぶ法的文書です。
HITECH法とは何ですか?
- 米国で、医療情報技術の採用と有意義な使用を促進するため、経済的および臨床的健全性のための医療情報技術 (HITECH) に関する法律が、2009年米国再生・再投資法の一部として2009年2月17日に制定されました。
HITECH法は、HIPAAまたは患者のプライバシーとどのような関係がありますか?
- HITECH法の条項Dは、HIPAA規則の民事執行と刑事執行を強化するいくつかの条文により、ヘルス情報の電子伝送に関連するプライバシーとセキュリティの懸念事項に対処します。
最終総括規則とは何ですか? また、HIPAAにどのよう適用されますか?
- 最終総括規則は、HITECH法の法規変更に基づいており、2009年米国再生・再投資法 (ARRA) の一部として制定されました。 この規則は、1996年にHIPAAプライバシーおよびセキュリティ規則が最初に制定されて以降、最も抜本的な変更となりました。
- この総括規則は、患者のプライバシーの権利と保護を大きく拡張するとともに、2008年制定の遺伝情報差別禁止法 (GINA: Genetic Information Nondiscrimination Act) を含みます。 また、情報をHIPAA対象事業者 (ヘルスプラン、ヘルスケアプロバイダ、または小売薬局) が所有しているか、HIPAA事業提携者であるサードパーティ契約企業の1つが所有しているかに関係なく、HIPAAプライバシーおよびセキュリティ保護を執行する政府の権限を強化しました。
さらに詳しい情報はどこで入手できますか?
- Boxのヘルスケア発表ブログの投稿: http://blog.box.com/?p=26102
- Box for Healthcareに関する詳細情報: https://www.box.com/ja-jp/industries/healthcare
- Boxのヘルスケアパートナー統合に関する詳細情報: https://cloud.box.com/apps
- Boxのセキュリティリーダーシップに関する詳細情報: https://cloud.box.com/s/1m10ey3oh5m4mov4fop7
tech_writers_swarm_kb