アトラシアンの組織の詳細を見る
Atlassian Cloud 製品の管理は初めてですか? アトラシアンの組織について、および組織の管理者になるとはどういうことかをご確認ください。
このガイドは、HIPAA に準拠した方法でアトラシアンの製品を使用する方法について必要な知識を提供するために作成されました。このガイドは、アトラシアンと Business Associate Agreement (BAA) を締結している、または BAA を締結する予定のお客様を対象としています。
BAA は、Jira、Jira Service Management、Confluence の Standard プラン、Premium プラン、Enterprise プランで締結できます。Free プランとトライアル プランは BAA の締結対象ではありません。BAA の締結方法をご確認ください。
HIPAA への準拠をサポートするために、アトラシアンでは自己制御型の構成を提供しています。そのため、確実に HIPAA に準拠した形でアトラシアン製品を使用するかどうかはお客様の責任となります。お客様側で入力されたデータをアトラシアンで監視したり分析したりすることはないため、すべてのユーザーがコンプライアンスを漏らさず順守するのに必要な手順をお客様側で整えていただく必要があります。
アトラシアン製品と統合されたすべてのサードパーティ アプリも、HIPAA に準拠した形で運用する必要があります。つまり、関連するすべてのサードパーティ アプリで Business Associate Agreement (BAA) を締結する必要があります。
お客様がアトラシアンと締結した BAA では、該当する アトラシアン製品のみが対象となります。当社のガイドラインで特に明記されていない限り、コア製品に含まれていない、または追加のオプトインが必要なその他の製品または機能が自動的に BAA の対象になることはありません。これには、Atlassian Analytics、Atlassian Intelligence、アトラシアン Rovo、およびトライアルまたはアーリー アクセス プログラムに含まれる製品や製品機能が含まれます。
Protected Health Information (PHI) をサードパーティと共有する前に、まず BAA やその他のデータ プライバシーおよびセキュリティ保護が必要かどうかを確認する必要があります。
HIPAA 要件を満たすように Atlassian アカウントを設定するには、次の手順に従います。
PHI 向けのアトラシアン サービスを利用するには、アトラシアンと BAA を締結する必要があります。BAA の締結に関する詳細をご確認ください。
製品にタグを付けて HIPAA を有効化します。製品へのタグ付けに関する詳細をご確認ください。
この組織内のすべてのアトラシアン製品の Atlassian Intelligence を無効にします。 今後、この組織の下で新しいアトラシアン製品を作成するときは、それらの製品の Atlassian Intelligence も無効にする必要があります。 Atlassian Intelligence を無効化する方法をご確認ください。
次のフィールドには PHI を入力しないようにします。
Jira および Jira Service Management | Confluence | 全製品 |
---|---|---|
|
|
|
4. 次のセクションに従って、各製品の通知設定を行います。
Confluence 設定でプッシュ通知をオフにする必要があります。
プッシュ通知を無効にする方法。
Confluence に移動し、[設定] を選択します。
[設定] > [詳細設定] を選択します。
編集を選択します。
[プッシュ通知] チェックボックスを選択解除します。
[更新] を選択して変更を保存します。
アトラシアンは現在、PHI が含まれる可能性のあるコンテンツを含まないメール通知テンプレートをサポートしているので、メール通知を有効のままにしておくことができます。
Jira 設定では、メールとプッシュ通知の両方を有効にしておくことができます。アトラシアンは現在、PHI が含まれる可能性のあるコンテンツを含まない通知テンプレートをサポートしています。
限られた情報を含むプッシュ通知をオンにするには:
Jira で [設定] に移動します。
[システム] > [一般設定] を選択します。
[Edit settings] を選択します。
[プッシュ通知 (Android、iOS)] をオンにします。
[更新] を選択して変更を保存します。
限られた情報を含むメール通知をオンにして、自動化ルールを有効にするには:
メール通知をオンにすると、通知には限られた情報しか含まれず、PHI データが保護されます。メール通知をオンにすると、Jira Service Management などの他の Jira 製品から送信されるメールもすべてオンになります。
Jira で [設定] に移動します。
[システム] > [送信メール] を選択します。
[送信メールを有効にする] を選択します。
メール通知をトリガーする自動化ルールを有効にします。[設定] > [システム] > [グローバル自動化] > [すべてのルール] に移動し、ルールを有効にします。
プロジェクト管理者が各自のプロジェクトの自動化ルールを作成して管理できるようにします。そのためには、[設定] > [システム] > [グローバル自動化] > [...] > [グローバル設定] に移動し、[Allow project administration (プロジェクト管理を許可する)] チェックボックスを選択します。
管理者は、PHI データを含むメール通知を送信するように自動化ルールが設定されることを防止しなければなりません。
Jira Service Management で安全な顧客通知をオンにするには:
Jira Service Management で、[設定] に移動します。
[製品] > [コンプライアンス設定] を選択します。
安全な顧客通知をオンにします。
HIPAA への準拠はアトラシアンとお客様の共同責任である点にご注意ください。これらの手順を実行しても、HIPAA への準拠が自動的に保証されるわけではありません。必ず HIPAA のベスト プラクティスにも従う必要があります。
本ガイドは、法律や規制の変更、もしくはアトラシアンの製品やサービスの変更によって随時更新または改訂される場合があります。アトラシアンは、所有者または管理者を通じて、重要な変更の通知や更新されたコピーをお客様に提供します。
このドキュメントには、現時点において上述されたアトラシアン製品内で、お客様が PHI を保護するための最低限の製品設定に関するアトラシアンの推奨事項が記載されています。このドキュメントは、そのようなデータをすべて制御するための網羅的なテンプレートや法的助言を制定するものではありません。アトラシアンのお客様は、各自の特定の状況に適用される HIPAA コンプライアンス義務に関して、独自に法的助言を求め、独自のレビューとリスク分析に従い、このドキュメントで説明されている設定のセキュリティと矛盾したり、損なわれたりしない限り、セキュリティ設定に追加の変更を加える必要があります。
この内容はお役に立ちましたか?