HIPAA 実装ガイド

このガイドは、HIPAA に準拠した方法でアトラシアンの製品を使用する方法について必要な知識を提供するために作成されました。このガイドは、アトラシアンと Business Associate Agreement (BAA) を締結している、または BAA を締結する予定のお客様を対象としています。

アトラシアンは、Jira Software、Jira Service Management、Confluence の Standard プラン、Premium プラン、Enterprise プランで BAA を締結できます。無料プランとトライアル プランは BAA の締結対象ではありません。BAA の締結方法をご確認ください。

HIPAA に準拠したアトラシアン製品の使用

HIPAA への準拠をサポートするために、アトラシアンでは自己制御型の構成を提供しています。そのため、確実に HIPAA に準拠した形でアトラシアン製品を使用するかどうかはお客様の責任となります。お客様側で入力されたデータをアトラシアンで監視したり分析したりすることはないため、すべてのユーザーがコンプライアンスを漏らさず順守するのに必要な手順をお客様側で整えていただく必要があります。

アトラシアン製品と統合されたすべてのサードパーティ アプリも、HIPAA に準拠した形で運用する必要があります。つまり、関連するすべてのサードパーティ アプリで Business Associate Agreement (BAA) を締結する必要があります。

お客様がアトラシアンと締結した BAA では、該当するアトラシアン製品のみが対象となります。当社のガイドラインで特に明記されていない限り、コア製品に含まれていない、または追加のオプトインが必要なその他の製品または機能が自動的に BAA の対象になることはありません。これには、Atlassian Analytics と Atlassian Intelligence、およびトライアルまたはアーリー アクセス プログラムに含まれる製品や製品機能などがあります。

Protected Health Information (PHI) をサードパーティと共有する前に、まず BAA やその他のデータ プライバシーおよびセキュリティ保護が必要かどうかを確認する必要があります。

Atlassian アカウントを設定する

HIPAA 要件を満たすように Atlassian アカウントを設定するには、次の手順に従います。

  1. PHI 向けのアトラシアン サービスを利用するには、アトラシアンと BAA を締結する必要があります。BAA の締結に関する詳細をご確認ください。

  2. 製品にタグを付けて HIPAA を有効化します。製品へのタグ付けに関する詳細をご確認ください。

  3. 次のフィールドには PHI を入力しないようにします。

Jira Software と Jira Service Management

Confluence

全製品

  • 課題の詳細:

    • タイプ (アイコンを含む)

    • ステータス

  • プロジェクト データ:

    • 名前

    • 鍵 (キー)

  • 設定:

    • ワークフロー スキーム

    • カスタム フィールド名

    • フィルター サブスクリプションのフィルターの名前

  • その他:

    • 管理者が (System -> Send email ページから) プロジェクト ユーザーとプロジェクト グループに送信したメール

  • スペースキー

  • スペース名

  • ページ タイトル

  • ホワイトボード

  • アンケート調査

  • カスタマー フィードバック

4. 次のセクションに従って、各製品の通知設定を行います。

Confluence

Confluence 設定でプッシュ通知をオフにする必要があります。

プッシュ通知を無効にする方法。

  1. Confluence に移動し、[設定] を選択します。

  2. [設定] > [詳細設定] を選択します。

  3. 編集を選択します。

  4. [プッシュ通知] チェックボックスを選択解除します。

  5. [更新] を選択して変更を保存します。

アトラシアンは現在、PHI が含まれる可能性のあるコンテンツを含まないメール通知テンプレートをサポートしているので、メール通知を有効のままにしておくことができます。

Jira Software と Jira Service Management

Jira 設定では、メールとプッシュ通知の両方を有効にしておくことができます。アトラシアンは現在、PHI が含まれる可能性のあるコンテンツを含まない通知テンプレートをサポートしています。

プッシュ通知

限られた情報を含むプッシュ通知をオンにするには:

  1. Jira Software で、[設定] に移動します。

  2. [システム] > [一般設定] を選択します。

  3. [Edit settings] を選択します。

  4. [プッシュ通知 (Android、iOS)] をオンにします。

  5. [更新] を選択して変更を保存します。

メール通知

限られた情報を含むメール通知をオンにして、自動化ルールを有効にするには:

メール通知をオンにすると、通知には限られた情報しか含まれず、PHI データが保護されます。メール通知をオンにすると、Jira Service Management などの他の Jira 製品から送信されるメールもすべてオンになります。

  1. Jira Software で、[設定] に移動します。

  2. [システム] > [送信メール] を選択します。

  3. [送信メールを有効にする] を選択します。

  4. メール通知をトリガーする自動化ルールを有効にします。[設定] > [システム] > [グローバル自動化] > [すべてのルール] に移動し、ルールを有効にします。  

  5. プロジェクト管理者が各自のプロジェクトの自動化ルールを作成して管理できるようにします。そのためには、[設定] > [システム] > [グローバル自動化] > [...] > [グローバル設定] に移動し、[Allow project administration (プロジェクト管理を許可する)] チェックボックスを選択します。

HIPAA 用の Jira Software グローバル設定

管理者は、PHI データを含むメール通知を送信するように自動化ルールが設定されることを防止しなければなりません。

Jira Service Management での安全な顧客通知

Jira Service Management で安全な顧客通知をオンにするには:

  1. Jira Service Management で、[設定] に移動します。

  2. [製品] > [コンプライアンス設定] を選択します。

  3. 安全な顧客通知をオンにします。

 

HIPAA への準拠はアトラシアンとお客様の共同責任である点にご注意ください。これらの手順を実行しても、HIPAA への準拠が自動的に保証されるわけではありません。必ず HIPAA のベスト プラクティスにも従う必要があります。

免責事項

本ガイドは、法律や規制の変更、もしくはアトラシアンの製品やサービスの変更によって随時更新または改訂される場合があります。アトラシアンは、所有者または管理者を通じて、重要な変更の通知や更新されたコピーをお客様に提供します。

このドキュメントには、現時点において上述されたアトラシアン製品内で、お客様が PHI を保護するための最低限の製品設定に関するアトラシアンの推奨事項が記載されています。このドキュメントは、そのようなデータをすべて制御するための網羅的なテンプレートや法的助言を制定するものではありません。アトラシアンのお客様は、各自の特定の状況に適用される HIPAA コンプライアンス義務に関して、独自に法的助言を求め、独自のレビューとリスク分析に従い、このドキュメントで説明されている設定のセキュリティと矛盾したり、損なわれたりしない限り、セキュリティ設定に追加の変更を加える必要があります。

その他のヘルプ