Dropbox と HIPAA/HITECH
HIPAA/HITECH とは?
HIPAA/HITECH とは、医療保険の携行性や責任に関する法律(HIPAA)(1996)、経済的および臨床的健全性のための医療情報技術に関する法律(HITECH)(2009)に関する 2 つの法律です。
こうした法律は医療情報のセキュリティやプライバシーを保護しながら、医療業界における技術の拡散を推奨します。病院、診療所、歯科医院などの組織および保護医療情報(PHI)に関与する個人は HIPAA/HITECH の対象者となる可能性があります。またそのような対象事業者の代理として PHI に関与する企業も対象になる場合があります。
HIPAA/HITECH の主な規約
保護医療情報(PHI)
個人の過去、現在、将来に関与する個人情報:
- 病状または精神状態
- 医療サービスの提供
- 医療サービスの支払い
対象事業者
対象事業者とは医療保険、医療情報センター、医療機関を意味します。これには病院、クリニック、医者、その他 PHI の作成、受理、伝達を行う機関も含まれます。対象事業者と PHI の関係により、こうした事業者は HIPAA/HITECH に基づき情報のプライバシーおよびセキュリティの責任を担います。
事業提携者
事業提携者とは対象事業者の代理となり PHI を作成、受理、管理、伝達する組織を意味するため、HIPAA/HITECH 規定の対象になります。
事業提携契約書(BAA)
BAA は対象事業者が HIPAA の必須要件を遵守するための事業提携者による契約保証です。同契約は対象事業者から事業提携者へ PHI が転送される以前に行う必要があります。
Dropbox は HIPAA/HITECH の認定を受けていますか?
公式の HIPAA/HITECH 認証というものは存在しません。ただし、Dropbox が HIPAA/HITECH に基づく責務をどのように果たしているのかをご理解いただくために、HIPAA/HITECH のセキュリティ規則、プライバシー規則、違反行為に関する通知規則を Dropbox がどのように遵守しているのかや、Dropbox Business をご利用のお客様が HIPAA/HITECH セキュリティおよびプライバシー規則に準拠できるようにすることを目的とした社内慣行や推奨事項の対応付けを評価した第三者機関による保証報告書をご請求いただけます。
HIPAA/HITECH の規定に準拠する方法で Dropbox Business を使用するには?
Dropbox ではユーザーがアカウントを安全に維持しながら法律上の規制に準拠できる方法をできる限りわかりやすく理解できるように努めています。規制義務を遵守していることを確実にするための責任は最終的にユーザー自身にありますが、Dropbox ではデータやアカウントを安全に維持するための推奨方法をご提供しています。
まず、PHI などのデータを安全に維持するためのアカウント設定方法に関するヒントを記載した HIPAA スタート ガイドをご覧ください。次のように様々なトピックの推奨方法をご提供しています。
- 共有権限を設定するには
- 完全削除を無効にするには
- アカウントのアクセスとアクティビティを監視するには
- サードパーティ製アプリの役割について
Dropbox は Dropbox Business の HIPAA/HITECH におけるセキュリティ、プライバシー規則に応じることを意図する顧客への内部実施の内容や推奨内容のマッピングをリクエストをいただいた場合にご提供します。
HIPAA/HITECH の対象となるお客様は、PHI を Dropbox アカウントに移行する前に必ず BAA を完了してください。Dropbox Business のご購入に関する詳細は Dropbox セールス担当にお問い合わせください。Dropbox Business チームの管理者は管理コンソールの[アカウント]ページで電子署名により BAA にご署名いただけます。
注:
- 管理コンソール経由で BAA に電子署名することができるのは、米国内のお客様に限られています。
- お客様のチームが事業提携契約書(BAA)に署名すると、リセラー サポートを有効にすることはできません。
- 「リセラー サポートを有効にする」と「パートナー リセラー プログラム」の詳細をご覧ください。
Dropbox で事業提携契約を設定するには?
Dropbox Business のご購入に関する詳細は Dropbox セールス担当へお問い合わせください。Dropbox Business チームの管理者は管理コンソールの[アカウント]ページで電子署名により BAA にご署名いただけます。
サードパーティ製アプリと統合は Dropbox Business の BAA 対象になりますか?
Dropbox Business アカウントにリンク可能なサードパーティ製アプリの堅固なエコシステムを利用して、追加機能をご利用になれます。セキュリティ情報イベント管理(SIEM)、情報漏洩防止(DLP)、ID 管理のようなサービスを提供するインテグレーションは、既存のセキュリティ対策を一層強化するパワフルなツールとなります。
こうしたサードパーティ製アプリと統合はアカウントを管理する上で優れた補足機能となりますが、これらは Dropbox サービスの一部ではない点にご留意ください。そのため、Dropbox で署名した BAA を含む Dropbox の利用規約の対象にはなりません。こうしたアプリがお客様の法的要件および規則上の要件と一致するものであるか、その判断はお客様の責任となります。アプリには管理者がチーム全体とリンクするもの以外に、個人アカウントとリンクするアプリもある点にご注意ください。