HIPAA 実装ガイド
この操作を実行できるユーザー |
このガイドは、HIPAA に準拠した方法で Atlassian アプリを使用する方法について必要な知識を提供するために作成されました。このガイドは、アトラシアンと Business Associate Agreement (BAA) を締結している、またはアトラシアンと BAA を締結する予定のアトラシアン カスタマーを対象としています。
We can sign BAAs for Standard, Premium, and Enterprise plans for Jira, Jira Service Management, and Confluence. Free and trial plans are not eligible to sign BAAs. Sign a Business Associate Agreement (BAA)
HIPAA に準拠した Atlassian アプリの使用
HIPAA への準拠をサポートするために、アトラシアンではお客様が制御できる構成を提供しています。これにより、Atlassian アプリを HIPAA に準拠した方法でご利用いただくことは、お客様の責任となります。お客様側で入力されたデータをアトラシアンで監視したり分析したりすることはないため、すべてのユーザーがコンプライアンスを漏らさず順守するのに必要な手順をお客様側で整えていただく必要があります。
また、Atlassian アプリと統合されているすべての関連サードパーティ アプリについて、HIPAA コンプライアンスの要件を特定し、構成することもお客様の責任となります。これには、関連するすべてのサードパーティ アプリで Business Associate Agreement (BAA) を締結することも含まれます。
お客様がアトラシアンと締結した BAA では、該当する Atlassian アプリのみが対象となります。コア アプリに含まれていない、または後述の機能、または追加のオプトインが必要なその他のアプリまたは機能は、自動的に BAA の対象にはなりません。これには、Atlassian Analytics、AI、Rovo、およびトライアルまたはアーリー アクセス プログラムに含まれるアプリやアプリ機能が含まれます。
Protected Health Information (PHI) をサードパーティと共有する前に、まず BAA やその他のデータ プライバシーおよびセキュリティ保護が必要かどうかを確認する必要があります。
Atlassian アカウントを設定する
To configure your Atlassian account to meet HIPAA requirements, you must:
1. Enter into a Business Associate Agreement (BAA) with Atlassian; required to use Atlassian services for PHI. Sign a Business Associate Agreement (BAA)
2. Tag your apps to enable HIPAA. Tag apps to enable HIPAA
3. Deactivate AI for all the Atlassian apps within this organization. Deactivate AI in apps
このサイトに新しい Atlassian アプリを追加するときは、それらのアプリの AI も無効にする必要があります。サイト内の Atlassian アプリで AI が有効になっていないことを確認する必要があります。
このサイトで Service Collection のサブスクリプションを利用している場合は、Customer Service Management アプリを無効化する必要があります。
Select "How can we help: Other" and follow the instructions.
4. 次のフィールドには PHI を入力しないようにします。
Jira および Jira Service Management | Confluence | すべてのアプリ | アトラシアン サポート |
|---|---|---|---|
|
|
|
|
5. 次のセクションに従って、各アプリの通知設定を構成します。
Confluence
Confluence 設定でプッシュ通知をオフにする必要があります。
プッシュ通知を無効にする方法。
Confluence に移動し、[設定] を選択します。
[設定] > [詳細設定] を選択します。
[編集] を選択します。
[プッシュ通知] チェックボックスを選択解除します。
[更新] を選択して変更を保存します。
アトラシアンは現在、PHI が含まれる可能性のあるコンテンツを含まないメール通知テンプレートをサポートしているので、メール通知を有効のままにしておくことができます。
Jira および Jira Service Management
Jira 設定では、メールとプッシュ通知の両方を有効にしておくことができます。アトラシアンは現在、PHI が含まれる可能性のあるコンテンツを含まない通知テンプレートをサポートしています。
プッシュ通知
限られた情報を含むプッシュ通知をオンにするには:
Jira で [設定] に移動します。
[システム] > [一般設定] を選択します。
[Edit settings] を選択します。
[プッシュ通知 (Android、iOS)] をオンにします。
[更新] を選択して変更を保存します。
メール通知
限られた情報を含むメール通知をオンにして、自動化ルールを有効にするには:
メール通知をオンにすると、通知には限られた情報しか含まれず、PHI データが保護されます。メール通知をオンにすると、Jira Service Management などの他の Jira アプリから送信されるメールもすべてオンになります。
Jira で [設定] に移動します。
[システム] > [送信メール] を選択します。
[送信メールを有効にする] を選択します。
メール通知をトリガーする自動化ルールを有効にします。[設定] > [システム] > [グローバル自動化] > [すべてのルール] に移動し、ルールを有効にします。
スペース管理者が各自のスペースの自動化ルールを作成して管理できるようにします。そのためには、[設定] > [システム] > [グローバル自動化] > [...] > [グローバル設定] に移動し、[Allow space administration (スペース管理を許可する)] チェックボックスを選択します。
管理者は、PHI データを含むメール通知を送信するように自動化ルールが設定されることを防止しなければなりません。
Jira Service Management での安全な顧客通知と HIPAA 準拠のアラート通知
Jira Service Management での安全な顧客通知と HIPAA 準拠のアラート通知を有効にする手順は次のとおりです。
Jira Service Management で、[設定] に移動します。
[アプリ] > [コンプライアンス設定] を選択します。
安全な顧客通知をオンにします。
HIPAA 準拠のアラート通知をオンにします。
HIPAA への準拠はアトラシアンとお客様の共同責任である点にご注意ください。これらの手順を実行しても、HIPAA への準拠が自動的に保証されるわけではありません。必ず HIPAA のベスト プラクティスにも従う必要があります。
免責事項
法律や規制の変更、または Atlassian アプリやサービスの変更により、このガイドは随時更新または改訂される場合があります。アトラシアンは、所有者または管理者を通じて、重要な変更の通知や更新されたコピーをお客様に提供します。
このドキュメントには、Atlassian アプリ内で上述した Atlassian アプリ内の PHI を保護する、カスタマー向けの最低限有効なアプリ設定に関する現時点でのアトラシアンの推奨事項が記載されています。このドキュメントは、そのようなデータをすべて制御するための網羅的なテンプレートや法的助言を制定するものではありません。各アトラシアン カスタマーは、各自の特定の状況に適用される HIPAA コンプライアンス義務に関して、独自に法的助言を求め、独自のレビューとリスク分析に従って、このドキュメントで説明されている設定のセキュリティと矛盾したり、損なわれたりしない限り、セキュリティ設定に追加の変更を加える必要があります。
この内容はお役に立ちましたか?