Dropbox と HIPAA/HITECH
この記事の情報は、Dropbox Standard、Dropbox Advanced、Dropbox Enterprise、Dropbox Education、Dropbox Business、Dropbox Business Plus、Dropbox Sign の特定のチームに適用されます。
HIPAA/HITECH とは?
HIPAA/HITECH は以下の 2 つの法律を指します。
- 米国の医療保険の携行性や責任に関する法律(1996 年)
- 米国の経済的および臨床的健全性のための医療情報技術に関する法律(2009 年)
こうした法律は医療情報のセキュリティやプライバシーを保護しながら、医療業界における技術の拡散を推奨します。病院、診療所、歯科医院などの組織および保護医療情報(PHI)に関与する個人は HIPAA/HITECH の対象者となる可能性があります。またそのような対象事業者の代理として PHI に関与する企業も対象になる場合があります。
HIPAA/HITECH の主な規約
保護医療情報(PHI)
個人の過去、現在、将来に関与する個人情報:
- 病状または精神状態
- 医療サービスの提供
- 医療サービスの支払い
対象事業者
対象事業者とは医療保険、医療情報センター、医療機関を意味します。これには病院、クリニック、医者、その他 PHI の作成、受理、伝達を行う機関も含まれます。対象事業者と PHI の関係により、こうした事業者は HIPAA/HITECH に基づき情報のプライバシーおよびセキュリティの責任を担います。
事業提携者
事業提携者とは対象事業者の代理となり PHI を作成、受理、管理、伝達する組織を意味するため、HIPAA/HITECH 規定の対象になります。
事業提携契約書(BAA)
BAA は対象事業者が HIPAA の必須要件を遵守するための事業提携者による契約保証です。同契約は対象事業者から事業提携者へ PHI が転送される以前に行う必要があります。
Dropbox は HIPAA/HITECH の認定を受けていますか?
公式の HIPAA/HITECH 認証というものは存在しません。HIPAA/HITECH に基づく責任と要件を Dropbox がどのように満たしているかを理解するには、Dropbox トラスト センターをご覧ください。ここでは、これから Dropbox をご利用いただくお客様と既にご利用いただいているお客様にセキュリティや信頼性、プライバシー、コンプライアンスに関する重要なドキュメントをセルフサービス形式で提供しており、必要な情報すべてが集まっています。
Dropbox トラスト センターにアクセスする方法
注:Dropbox のログイン ID を使用してDropbox トラスト センターにアクセスすることはできません。
すべてのレポートとドキュメントにアクセスするには、ログインする必要があります。アクセスをリクエストするには:
- trust.dropbox.com にアクセスします。
- 右上にある[アクセスする]をクリックします。
- ビジネス用メール アドレスを入力し、[続行]をクリックします。
- 詳細を入力し、[リクエストを送信]をクリックします。
登録すると、非公開および公開のレポートやドキュメントにアクセスできるようになります。
注:特定の非公開ドキュメントにアクセスするには、秘密保持契約書に署名しなければならない場合がありますが、署名はトラスト センター内で簡単に行えます。
HIPAA/HITECH の規定に準拠する方法で Dropbox Business を使用するには?
Dropbox ではユーザーがアカウントを安全に維持しながら法律上の規制に準拠できる方法をできる限りわかりやすく理解できるように努めています。規制義務を遵守していることを確実にするための責任は最終的にユーザー自身にありますが、Dropbox ではデータやアカウントを安全に維持するための推奨方法をご提供しています。
Dropbox の社内慣行と、HIPAA/HITECH におけるセキュリティ、プライバシー規則に応じることを希望するお客様向けの推奨事項の詳細については、Dropbox トラスト センターをご覧ください。
PHI などのデータを安全に維持するためのアカウント設定方法に関するヒントも併せてご覧ください。以下のような様々なトピックの推奨方法をご提供しています。
- 共有権限を設定するには
- 完全削除を無効にするには
- アカウントのアクセスとアクティビティを監視するには
- サードパーティ製アプリの役割について
HIPAA/HITECH の対象となるお客様は、PHI を Dropbox アカウントに移行する以前に必ず BAA を完了してください。チーム用 Dropbox プランのご購入に関する詳細は Dropbox セールス担当にお問い合わせください。
Dropbox チーム アカウントの管理者は管理コンソールの[アカウント]ページで電子署名により BAA にご署名いただけます。
注:
- 管理コンソール経由で BAA に電子署名することができるのは、米国内のお客様に限られています。
- お客様のチームが事業提携契約書(BAA)に署名すると、リセラー サポートを有効にすることはできません。
- 「リセラー サポートを有効にする」と「パートナー リセラー プログラム」の詳細をご覧ください。
Dropbox で事業提携契約を設定するには?
チーム用 Dropbox プランのご購入に関する詳細は Dropbox セールス担当にお問い合わせください。Dropbox チーム アカウントの管理者は管理コンソールの[アカウント]ページで電子署名により BAA にご署名いただけます。
サードパーティ製アプリと統合はチーム用 Dropbox の BAA 対象になりますか?
Dropbox チーム アカウントにリンク可能なサードパーティ製アプリの堅固なエコシステムを利用して、追加機能をご利用になれます。セキュリティ情報イベント管理(SIEM)、情報漏洩防止(DLP)、ID 管理のようなサービスを提供するインテグレーションは、既存のセキュリティ対策を一層強化するパワフルなツールとなります。
こうしたサードパーティ製アプリと統合はアカウントを管理する上で優れた補足機能となりますが、これらは Dropbox サービスの一部ではない点にご留意ください。そのため、Dropbox で署名した BAA を含む Dropbox の利用規約の対象にはなりません。こうしたアプリがお客様の法的要件および規則上の要件と一致するものであるか、その判断はお客様の責任となります。アプリには管理者がチーム全体とリンクするもの以外に、個人アカウントとリンクするアプリもある点にご注意ください。