HIPAA 実装ガイド

アトラシアンはお客様の組織がコンプライアンス ニーズを満たすようにサポートして、お客様や顧客のデータを保護することに全力で取り組んでいます。さらにアトラシアンは、顧客のデータが安全であるだけではなく、法規制に準拠した方法で使用されていることを保証する必要性が高まっていることを理解しています。

このガイドは、アトラシアンとビジネス アソシエイト契約 (BAA) を締結している、またはビジネス アソシエイト契約 (BAA) を締結する予定のお客様を対象としています。このガイドは、HIPAA に準拠した方法でアトラシアンの製品を使用する方法について必要な知識を提供するために作成されました。

現在、アトラシアンは Enterprise プランのお客様を対象として、Jira Software と Confluence 用の BAA を締結できます。HIPAA の今後の計画に関する詳細についてご確認ください。

医療保険の携行性と責任に関する法律 (HIPAA) とは

医療保険の携行性と責任に関する法律 (HIPAA) は米国保健福祉省が策定した規制で、人々の保護医療情報 (PHI) のプライバシーとセキュリティを保護することを目的としています。HIPAA は、特定の取引、医療保険、医療情報センターに関連する医療情報を電子的に送信する医療提供者、ならびに対象事業体に代わって PHI を作成、受信、維持、または送信するその他の第三者 (「ビジネス アソシエイト」として知られる) に適用されます。

重要な用語

  • 対象事業体 - 特定の取引、医療保険、または医療情報センターに関連して医療情報を電子的に送信する医療提供者。

  • 保護医療情報 (PHI) - 対象事業体またはそのビジネス アソシエイトが、電子的、紙面、口頭を含む、あらゆる形式や媒体で送信または維持する、個人を特定できる健康情報。これらは次に関連します。

    • 個人の過去、現在、または将来の身体的/精神的健康状態

    • 個人による医療の提供、または

    • 過去、現在、将来における医療費の支払い。

  • ビジネス アソシエイト - PHI の使用または開示を伴う特定の機能または活動を、対象事業体に代わって行う個人または法人。ビジネス アソシエイトには、別のビジネス アソシエイトの代わりに PHI を作成、受信、維持、または送信する下請け業者も含まれる場合があります。

  • ビジネス アソシエイト契約 (BAA) - ビジネス アソシエイトから対象事業体または他のビジネス アソシエイトに対して、HIPAA の要件に従うことを保証する契約上の保証。PHI の保護と使用に関して、各当事者の責任を明記しています。この契約は、PHI がビジネス アソシエイトに移行される前に成立している必要があります。

HIPAA に準拠したアトラシアン製品の使用

アトラシアン製品を HIPAA に準拠した方法で使用していることを確認するのは、お客様の責任です。アトラシアンは、入力されたデータを監視または分析しません。アトラシアンでは自己制御型のセキュリティ機能を提供しています。すべてのユーザーがエンドツーエンドのコンプライアンスを遵守できるように、必要なプロセスと手順を用意することをお勧めします。

It’s also your obligation for ensuring all third-party applications integrated with Jira and Confluence are operated in a HIPAA-compliant way. The BAA that you sign with us only covers the applicable Atlassian products. You’ll need to determine if you require a BAA or any other data privacy and security protections before sharing any PHI with a third party.

HIPAA 要件を満たすように Atlassian アカウントを設定する方法

ステップ 1: PHI 向けアトラシアン サービスを使用するには、企業の規模に関係なく Enterprise プランが必要です。

Step 2: You need to enter into a Business Associate Agreement with us. For more information on the BAA, contact us

Step 3: Ensure that you don't input PHI into any of the following fields:

Confluence

Jira Software

その他

  • スペースキー

  • スペース名

  • ページ タイトル

  • 設定データ:

    • issues

    • プロジェクト名

    • プロジェクト キー

    • ワークフロー スキーム

  • アンケート調査

  • カスタマー フィードバック

ステップ 4: Enterprise プランをセットアップしたら、製品設定ですべてのメール通知とプッシュ通知をオフにする必要があります。

これらの設定を各製品で行う方法については、以下の表をご参照ください。

通知タイプ

Confluence

Jira

プッシュ

Settings -> Configuration -> Further Configuration

Confluence プッシュ通知設定

Settings -> System -> General Configuration -> Options -> Push notifications (Android, iOS, macOS)

Jira プッシュ通知設定

メール

Settings -> Configuration -> Further Configuration

Confluence メール通知設定
  1. メール通知:

Settings -> System -> Outgoing mail

メール通知をオフにすると、Jira Work Management などの他の製品から送信されるメールもすべてオフになります。

Jira スクリーンショット

2. メール通知をトリガーするルール:

Settings -> System -> Global automation -> All rules -> Enabled/Disabled

電子メール通知をトリガーするルールはすべて無効にする必要があります。

JSM スクリーンショット

How to configure Atlassian Analytics to meet HIPAA requirements

Atlassian Analytics lets you connect to both the Atlassian Data Lake and supported third-party data sources. If you use Atlassian Analytics, you’ll need to follow these instructions to ensure you’re using it in a HIPAA-compliant way.

The Atlassian Data Lake stores data you’ve input into Atlassian products. Atlassian Analytics allows you and your organization to query this data by creating connections to the Atlassian Data Lake. To use Atlassian Analytics in a HIPAA-compliant way, you must select Limited data in the Scope of data step when creating a new connection to the Data Lake. Learn more about connecting to the Atlassian Data Lake.

Data permissions for Atlassian Analytics to function in a HIPAA compliant manner.

If you choose to connect any third-party data sources, you must ensure that Atlassian Analytics does not have access to any PHI stored in the third-party data source.

Learn more about data sources in Atlassian Analytics.

セキュリティ監査

We undergo independent third-party audits, providing you with the assurance that we’re complying with current regulations and that your data is secure. Learn more about our compliance program

免責事項

本ガイドは、法律や規制の変更、もしくはアトラシアンや本サービスの変更によって随時更新または改訂される場合があります。アトラシアンは、所有者または管理者を通じて、重要な変更の通知や更新されたコピーをお客様に提供します。このドキュメントには、現時点において上述されたアトラシアン製品内で、お客様が PHI を保護するための最低限のセキュリティ設定に関するアトラシアンの推奨事項が記載されています。このドキュメントは、そのようなデータをすべて制御するための網羅的なテンプレートや法的助言を制定するものではありません。アトラシアンの各サブスクライバーは、各自の特定の状況に適用される HIPAA コンプライアンス義務に関して、独自に法的助言を求め、独自のレビューとリスク分析に従い、本ドキュメントで説明されている設定のセキュリティと矛盾したり、損なわれたりしない限り、セキュリティ設定に追加の変更を加える必要があります。

その他のヘルプ