セキュリティ ソリューションと標準を確認する
セキュリティに関心がおありですか? アトラシアンも関心があります。アトラシアンの取り組みと、お客様にもできることをご確認ください。
アトラシアンはお客様の組織がコンプライアンス ニーズを満たすようにサポートして、お客様や顧客のデータを保護することに全力で取り組んでいます。さらにアトラシアンは、顧客のデータが安全であるだけではなく、法規制に準拠した方法で使用されていることを保証する必要性が高まっていることを理解しています。
このガイドは、アトラシアンとビジネス アソシエイト契約 (BAA) を締結している、またはビジネス アソシエイト契約 (BAA) を締結する予定のお客様を対象としています。このガイドは、HIPAA に準拠した方法でアトラシアンの製品を使用する方法について必要な知識を提供するために作成されました。
現在、 対象製品の Enterprise プランを購入するお客様と BAA を締結できます。
HIPAA の将来の計画に関する詳細
医療保険の携行性と責任に関する法律 (HIPAA) は米国保健福祉省が策定した規制で、人々の保護医療情報 (PHI) のプライバシーとセキュリティを保護することを目的としています。HIPAA は、特定の取引、医療保険、医療情報センターに関連する医療情報を電子的に送信する医療提供者、ならびに対象事業体に代わって PHI を作成、受信、維持、または送信するその他の第三者 (「ビジネス アソシエイト」として知られる) に適用されます。
重要な用語
対象事業体 - 特定の取引、医療保険、または医療情報センターに関連して医療情報を電子的に送信する医療提供者。
保護医療情報 (PHI) - 対象事業体またはそのビジネス アソシエイトが、電子的、紙面、口頭を含む、あらゆる形式や媒体で送信または維持する、個人を特定できる健康情報。これらは次に関連します。
個人の過去、現在、または将来の身体的/精神的健康状態
個人による医療の提供、または
過去、現在、将来における医療費の支払い。
ビジネス アソシエイト - PHI の使用または開示を伴う特定の機能または活動を、対象事業体に代わって行う個人または法人。ビジネス アソシエイトには、別のビジネス アソシエイトの代わりに PHI を作成、受信、維持、または送信する下請け業者も含まれる場合があります。
ビジネス アソシエイト契約 (BAA) - ビジネス アソシエイトから対象事業体または他のビジネス アソシエイトに対して、HIPAA の要件に従うことを保証する契約上の保証。PHI の保護と使用に関して、各当事者の責任を明記しています。この契約は、PHI がビジネス アソシエイトに移行される前に成立している必要があります。
It’s your responsibility to ensure you’re using Atlassian products in a HIPAA-compliant way. We don’t monitor or analyze the data that you input. We have provided you with self-controlled configurations, and we recommend that you have the required processes and procedures in place to ensure all users adhere to end-to-end compliance.
It’s also your obligation for ensuring all third-party applications integrated with Atlassian products are operated in a HIPAA-compliant way. This includes your obligation to have a BAA in place with all such applicable third-party applications. The BAA that you sign with us only covers the applicable Atlassian products. Additional products or product features that are not included in the applicable core products, or require an additional opt-in, such as Atlassian Analytics and Atlassian Intelligence, are not covered by the BAA unless otherwise indicated by this guide. This includes products or product features that are part of a trial, alpha, beta, or early access offering. You’ll need to determine if you require a BAA or any other data privacy and security protections before sharing any PHI with a third party.
ステップ 1: PHI 向けアトラシアン サービスを使用するには、企業の規模に関係なく Enterprise プランが必要です。
ステップ 2: アトラシアンとビジネス アソシエイト契約を締結する必要があります。BAA の詳細については、お問い合わせください。
ステップ 3: 次のフィールドには PHI を入力しないようにします。
Confluence | Jira Software と | その他 |
---|---|---|
|
|
|
ステップ 4: Enterprise プランをセットアップしたら、製品設定ですべてのメール通知とプッシュ通知をオフにする必要があります。
これらの設定を各製品で行う方法については、以下の表をご参照ください。
通知タイプ | Confluence | Jira Software と |
---|---|---|
プッシュ | Settings -> Configuration -> Further Configuration | Settings -> System -> General Configuration -> Options -> Push notifications (Android, iOS, macOS) |
メール | Settings -> Configuration -> Further Configuration |
Settings -> System -> Outgoing mail メール通知をオフにすると、Jira Work Management などの他の製品から送信されるメールもすべてオフになります。 2. Automation rules that trigger email notifications: Settings -> System -> Global automation -> All rules -> Enabled/Disabled 電子メール通知をトリガーするルールはすべて無効にする必要があります。 3. The ability of the project admins to manage automation rules: Settings -> System -> Global automation -> [...] -> Global configuration The ability of the project admins to create and manage automation rules for their projects has to be disabled. To do this, uncheck the Allow project administrators to manage project rules checkbox. |
アトラシアンは独立したサードパーティによる監査を受けており、現行の規制を遵守していること、お客様のデータが安全であることを保証します。コンプライアンス プログラムの詳細をご確認ください。
Due to the changes in law or regulation or changes in Atlassian or the Services, we may update or revise this guide from time to time. We will provide you with notice of material changes and an updated copy through your owner or administrator. This document contains Atlassian’s recommendations for certain minimum effective product configurations for its customers' protection of PHI within the Atlassian products outlined above at this time. This document does not constitute an exhaustive template for all controls over such data nor does it constitute legal advice. Each Atlassian subscriber should seek its own legal counsel with regard to HIPAA compliance obligations applicable to their specific situations and should make any additional changes to its security configurations in accordance with its own independent review and risk analysis, so long as such changes do not conflict with or undermine the security of the configurations outlined in this document.
この内容はお役に立ちましたか?