HIPAA 実装ガイド
Who can do this? |
このガイドは、HIPAA に準拠した方法で Atlassian アプリを使用する方法について必要な知識を提供するために作成されました。このガイドは、アトラシアンと Business Associate Agreement (BAA) を締結している、またはアトラシアンと BAA を締結する予定のアトラシアン カスタマーを対象としています。
BAA は、Jira、Jira Service Management、Confluence の Standard プラン、Premium プラン、Enterprise プランで締結できます。Free プランとトライアル プランは BAA の締結対象ではありません。BAA の締結方法をご確認ください。
HIPAA に準拠した Atlassian アプリの使用
HIPAA への準拠をサポートするために、アトラシアンでは自己制御型の構成を提供しています。これにより、Atlassian アプリを HIPAA に準拠した方法でご利用いただくことは、お客様の責任となります。お客様側で入力されたデータをアトラシアンで監視したり分析したりすることはないため、すべてのユーザーがコンプライアンスを漏らさず順守するのに必要な手順をお客様側で整えていただく必要があります。
Atlassian アプリと統合されたすべてのサードパーティ アプリも、HIPAA に準拠した形で運用する必要があります。つまり、関連するすべてのサードパーティ アプリで Business Associate Agreement (BAA) を締結する必要があります。
お客様がアトラシアンと締結した BAA では、該当する Atlassian アプリのみが対象となります。当社のガイドラインで特に明記されていない限り、コア アプリに含まれていない、または後述の機能、または追加のオプトインが必要なその他のアプリまたは機能は、自動的に BAA の対象にはなりません。これには、Atlassian Analytics、Atlassian Intelligence、Atlassian Rovo、およびトライアルまたはアーリー アクセス プログラムに含まれるアプリやアプリ機能が含まれます。
Protected Health Information (PHI) をサードパーティと共有する前に、まず BAA やその他のデータ プライバシーおよびセキュリティ保護が必要かどうかを確認する必要があります。
Atlassian アカウントを設定する
HIPAA 要件を満たすように Atlassian アカウントを設定するには、次の手順に従います。
1. To use Atlassian services for PHI you'll need to enter into a BAA with us. Learn more about signing a BAA
2. アプリにタグを付けて HIPAA を有効にします。アプリのタグ付けに関する詳細をご確認ください。
3. この組織内のすべての Atlassian アプリで Atlassian Intelligence を無効にします。Atlassian Intelligence を無効化する方法をご確認ください。
このサイトに新しい Atlassian アプリを追加するときは、それらのアプリの Atlassian Intelligence も無効にする必要があります。サイト内の Atlassian アプリで AI が有効になっていないことを確認する必要があります。
4. Ensure that you don't input PHI into any of the following fields:
Jira および Jira Service Management | Confluence | すべてのアプリ |
|---|---|---|
|
|
|
5. 次のセクションに従って、各アプリの通知設定を構成します。
Confluence
Confluence 設定でプッシュ通知をオフにする必要があります。
プッシュ通知を無効にする方法。
Confluence に移動し、[設定] を選択します。
[設定] > [詳細設定] を選択します。
[編集] を選択します。
[プッシュ通知] チェックボックスを選択解除します。
[更新] を選択して変更を保存します。
アトラシアンは現在、PHI が含まれる可能性のあるコンテンツを含まないメール通知テンプレートをサポートしているので、メール通知を有効のままにしておくことができます。
Jira および Jira Service Management
Jira 設定では、メールとプッシュ通知の両方を有効にしておくことができます。アトラシアンは現在、PHI が含まれる可能性のあるコンテンツを含まない通知テンプレートをサポートしています。
プッシュ通知
限られた情報を含むプッシュ通知をオンにするには:
Jira で [設定] に移動します。
[システム] > [一般設定] を選択します。
[Edit settings] を選択します。
[プッシュ通知 (Android、iOS)] をオンにします。
[更新] を選択して変更を保存します。
メール通知
限られた情報を含むメール通知をオンにして、自動化ルールを有効にするには:
メール通知をオンにすると、通知には限られた情報しか含まれず、PHI データが保護されます。メール通知をオンにすると、Jira Service Management などの他の Jira アプリから送信されるメールもすべてオンになります。
Jira で [設定] に移動します。
[システム] > [送信メール] を選択します。
[送信メールを有効にする] を選択します。
メール通知をトリガーする自動化ルールを有効にします。[設定] > [システム] > [グローバル自動化] > [すべてのルール] に移動し、ルールを有効にします。
プロジェクト管理者が各自のプロジェクトの自動化ルールを作成して管理できるようにします。そのためには、[設定] > [システム] > [グローバル自動化] > [...] > [グローバル設定] に移動し、[Allow project administration (プロジェクト管理を許可する)] チェックボックスを選択します。
管理者は、PHI データを含むメール通知を送信するように自動化ルールが設定されることを防止しなければなりません。
Jira Service Management での安全な顧客通知
Jira Service Management で安全な顧客通知をオンにするには:
Jira Service Management で、[設定] に移動します。
Select Apps > Compliance settings.
安全な顧客通知をオンにします。
HIPAA への準拠はアトラシアンとお客様の共同責任である点にご注意ください。これらの手順を実行しても、HIPAA への準拠が自動的に保証されるわけではありません。必ず HIPAA のベスト プラクティスにも従う必要があります。
免責事項
法律や規制の変更、または Atlassian アプリやサービスの変更により、このガイドは随時更新または改訂される場合があります。アトラシアンは、所有者または管理者を通じて、重要な変更の通知や更新されたコピーをお客様に提供します。
このドキュメントには、Atlassian アプリ内で上述した Atlassian アプリ内の PHI を保護する、カスタマー向けの最低限有効なアプリ設定に関する現時点でのアトラシアンの推奨事項が記載されています。このドキュメントは、そのようなデータをすべて制御するための網羅的なテンプレートや法的助言を制定するものではありません。各アトラシアン カスタマーは、各自の特定の状況に適用される HIPAA コンプライアンス義務に関して、独自に法的助言を求め、独自のレビューとリスク分析に従って、このドキュメントで説明されている設定のセキュリティと矛盾したり、損なわれたりしない限り、セキュリティ設定に追加の変更を加える必要があります。
この内容はお役に立ちましたか?