HIPAA 実装ガイド

アトラシアンはお客様の組織がコンプライアンス ニーズを満たすようにサポートして、お客様や顧客のデータを保護することに全力で取り組んでいます。さらにアトラシアンは、顧客のデータが安全であるだけではなく、法規制に準拠した方法で使用されていることを保証する必要性が高まっていることを理解しています。

このガイドは、アトラシアンとビジネス アソシエイト契約 (BAA) を締結している、またはビジネス アソシエイト契約 (BAA) を締結する予定のお客様を対象としています。このガイドは、HIPAA に準拠した方法でアトラシアンの製品を使用する方法について必要な知識を提供するために作成されました。

現在、アトラシアンは Enterprise プランのお客様を対象として、Jira Software と Confluence 用の BAA を締結できます。HIPAA の今後の計画に関する詳細についてご確認ください。

医療保険の携行性と責任に関する法律 (HIPAA) とは

医療保険の携行性と責任に関する法律 (HIPAA) は米国保健福祉省が策定した規制で、人々の保護医療情報 (PHI) のプライバシーとセキュリティを保護することを目的としています。HIPAA は、特定の取引、医療保険、医療情報センターに関連する医療情報を電子的に送信する医療提供者、ならびに対象事業体に代わって PHI を作成、受信、維持、または送信するその他の第三者 (「ビジネス アソシエイト」として知られる) に適用されます。

重要な用語

  • 対象事業体 - 特定の取引、医療保険、または医療情報センターに関連して医療情報を電子的に送信する医療提供者。

  • 保護医療情報 (PHI) - 対象事業体またはそのビジネス アソシエイトが、電子的、紙面、口頭を含む、あらゆる形式や媒体で送信または維持する、個人を特定できる健康情報。これらは次に関連します。

    • 個人の過去、現在、または将来の身体的/精神的健康状態

    • 個人による医療の提供、または

    • 過去、現在、将来における医療費の支払い。

  • ビジネス アソシエイト - PHI の使用または開示を伴う特定の機能または活動を、対象事業体に代わって行う個人または法人。ビジネス アソシエイトには、別のビジネス アソシエイトの代わりに PHI を作成、受信、維持、または送信する下請け業者も含まれる場合があります。

  • ビジネス アソシエイト契約 (BAA) - ビジネス アソシエイトから対象事業体または他のビジネス アソシエイトに対して、HIPAA の要件に従うことを保証する契約上の保証。PHI の保護と使用に関して、各当事者の責任を明記しています。この契約は、PHI がビジネス アソシエイトに移行される前に成立している必要があります。

HIPAA に準拠したアトラシアン製品の使用

アトラシアン製品を HIPAA に準拠した方法で使用していることを確認するのは、お客様の責任です。アトラシアンは、入力されたデータを監視または分析しません。アトラシアンでは自己制御型のセキュリティ機能を提供しています。すべてのユーザーがエンドツーエンドのコンプライアンスを遵守できるように、必要なプロセスと手順を用意することをお勧めします。

さらに、Jira や Confluence と統合されたすべてのサードパーティ アプリが HIPAA に準拠した方法で運用されていることを確認するのも、お客様の義務となります。お客様がアトラシアンと締結した BAA は、該当するアトラシアン製品のみを対象とします。Atlassian Analytics などの追加製品、または該当するコア製品に含まれていない製品機能は、このガイドで特に明記されていない限り、BAA の対象外です。PHI をサードパーティと共有する前に、BAA またはその他のデータ プライバシーおよびセキュリティ保護が必要かどうかを判断する必要があります。

HIPAA 要件を満たすように Atlassian アカウントを設定する方法

ステップ 1: PHI 向けアトラシアン サービスを使用するには、企業の規模に関係なく Enterprise プランが必要です。

ステップ 2: アトラシアンとビジネス アソシエイト契約を締結する必要があります。BAA の詳細については、お問い合わせください

ステップ 3: 次のフィールドには PHI を入力しないようにします。

Confluence

Jira Software

その他

  • スペースキー

  • スペース名

  • ページ タイトル

  • 設定データ:

    • issues

    • プロジェクト名

    • プロジェクト キー

    • ワークフロー スキーム

  • アンケート調査

  • カスタマー フィードバック

ステップ 4: Enterprise プランをセットアップしたら、製品設定ですべてのメール通知とプッシュ通知をオフにする必要があります。

これらの設定を各製品で行う方法については、以下の表をご参照ください。

通知タイプ

Confluence

Jira

プッシュ

Settings -> Configuration -> Further Configuration

Confluence プッシュ通知設定

Settings -> System -> General Configuration -> Options -> Push notifications (Android, iOS, macOS)

Jira プッシュ通知設定

メール

Settings -> Configuration -> Further Configuration

Confluence メール通知設定
  1. メール通知:

Settings -> System -> Outgoing mail

メール通知をオフにすると、Jira Work Management などの他の製品から送信されるメールもすべてオフになります。

Jira スクリーンショット

2. メール通知をトリガーするルール:

Settings -> System -> Global automation -> All rules -> Enabled/Disabled

電子メール通知をトリガーするルールはすべて無効にする必要があります。

JSM スクリーンショット

セキュリティ監査

アトラシアンは独立したサードパーティによる監査を受けており、現行の規制を遵守していること、お客様のデータが安全であることを保証します。コンプライアンス プログラムの詳細をご確認ください。

免責事項

本ガイドは、法律や規制の変更、もしくはアトラシアンや本サービスの変更によって随時更新または改訂される場合があります。アトラシアンは、所有者または管理者を通じて、重要な変更の通知や更新されたコピーをお客様に提供します。このドキュメントには、現時点において上述されたアトラシアン製品内で、お客様が PHI を保護するための最低限のセキュリティ設定に関するアトラシアンの推奨事項が記載されています。このドキュメントは、そのようなデータをすべて制御するための網羅的なテンプレートや法的助言を制定するものではありません。アトラシアンの各サブスクライバーは、各自の特定の状況に適用される HIPAA コンプライアンス義務に関して、独自に法的助言を求め、独自のレビューとリスク分析に従い、本ドキュメントで説明されている設定のセキュリティと矛盾したり、損なわれたりしない限り、セキュリティ設定に追加の変更を加える必要があります。

その他のヘルプ