HIPAA 実装ガイド

アトラシアンはお客様の組織がコンプライアンスニーズを満たすようにサポートして、お客様や顧客のデータを保護することに全力で取り組んでいます。さらにアトラシアンは、顧客のデータが安全であるだけではなく、法規制に準拠した方法で使用されていることを保証する必要性が高まっていることを理解しています。

このガイドは、アトラシアンとビジネスアソシエイト契約 (BAA) を締結している、またはビジネスアソシエイト契約 (BAA) を締結する予定のお客様を対象としています。このガイドは、HIPAA に準拠した方法でアトラシアンの製品を使用する方法について必要な知識を提供するために作成されました。

現在、対象製品の Enterprise プランを購入するお客様と BAA を締結できます。
HIPAA の将来の計画に関する詳細

医療保険の携行性と責任に関する法律 (HIPAA) とは

医療保険の携行性と責任に関する法律 (HIPAA) は米国保健福祉省が策定した規制で、人々の保護医療情報 (PHI) のプライバシーとセキュリティを保護することを目的としています。HIPAA は、特定の取引、医療保険、医療情報センターに関連する医療情報を電子的に送信する医療提供者、ならびに対象事業体に代わって PHI を作成、受信、維持、または送信するその他の第三者 (「ビジネスアソシエイト」として知られる) に適用されます。

重要な用語

対象事業体 - 特定の取引、医療保険、または医療情報センターに関連して医療情報を電子的に送信する医療提供者。
保護医療情報 (PHI) - 対象事業体またはそのビジネスアソシエイトが、電子的、紙面、口頭を含む、あらゆる形式や媒体で送信または維持する、個人を特定できる健康情報。これらは次に関連します。
- 個人の過去、現在、または将来の身体的/精神的健康状態
- 個人による医療の提供、または
- 過去、現在、将来における医療費の支払い。
ビジネスアソシエイト - PHI の使用または開示を伴う特定の機能または活動を、対象事業体に代わって行う個人または法人。ビジネスアソシエイトには、別のビジネスアソシエイトの代わりに PHI を作成、受信、維持、または送信する下請け業者も含まれる場合があります。
ビジネスアソシエイト契約 (BAA) - ビジネスアソシエイトから対象事業体または他のビジネスアソシエイトに対して、HIPAA の要件に従うことを保証する契約上の保証。PHI の保護と使用に関して、各当事者の責任を明記しています。この契約は、PHI がビジネスアソシエイトに移行される前に成立している必要があります。

HIPAA に準拠したアトラシアン製品の使用

It’s your responsibility to ensure you’re using Atlassian products in a HIPAA-compliant way. We don’t monitor or analyze the data that you input. We have provided you with self-controlled configurations, and we recommend that you have the required processes and procedures in place to ensure all users adhere to end-to-end compliance.

It’s also your obligation for ensuring all third-party applications integrated with Atlassian products are operated in a HIPAA-compliant way. This includes your obligation to have a BAA in place with all such applicable third-party applications. The BAA that you sign with us only covers the applicable Atlassian products. Additional products or product features that are not included in the applicable core products, or require an additional opt-in, such as Atlassian Analytics and Atlassian Intelligence, are not covered by the BAA unless otherwise indicated by this guide. This includes products or product features that are part of a trial, alpha, beta, or early access offering. You’ll need to determine if you require a BAA or any other data privacy and security protections before sharing any PHI with a third party.

HIPAA 要件を満たすように Atlassian アカウントを設定する方法

ステップ 1: PHI 向けアトラシアンサービスを使用するには、企業の規模に関係なく Enterprise プランが必要です。

ステップ 2: アトラシアンとビジネスアソシエイト契約を締結する必要があります。BAA の詳細については、お問い合わせください。

ステップ 3: 次のフィールドには PHI を入力しないようにします。

Confluence	Jira Software と Jira Service Management	その他
スペースキースペース名ページタイトル	設定データ: issues プロジェクト名プロジェクトキーワークフロースキーム	アンケート調査カスタマーフィードバック

ステップ 4: Enterprise プランをセットアップしたら、製品設定ですべてのメール通知とプッシュ通知をオフにする必要があります。

これらの設定を各製品で行う方法については、以下の表をご参照ください。

通知タイプ	Confluence	Jira Software と Jira Service Management
プッシュ	Settings -> Configuration -> Further Configuration	Settings -> System -> General Configuration -> Options -> Push notifications (Android, iOS, macOS)
メール	Settings -> Configuration -> Further Configuration	メール通知: Settings -> System -> Outgoing mail メール通知をオフにすると、Jira Work Management などの他の製品から送信されるメールもすべてオフになります。 2. Automation rules that trigger email notifications: Settings -> System -> Global automation -> All rules -> Enabled/Disabled 電子メール通知をトリガーするルールはすべて無効にする必要があります。 3. The ability of the project admins to manage automation rules: Settings -> System -> Global automation -> [...] -> Global configuration The ability of the project admins to create and manage automation rules for their projects has to be disabled. To do this, uncheck the Allow project administrators to manage project rules checkbox.

通知タイプ

Confluence

Jira Software と
Jira Service Management

プッシュ

Settings -> Configuration -> Further Configuration

Settings -> System -> General Configuration -> Options -> Push notifications (Android, iOS, macOS)

メール

Settings -> Configuration -> Further Configuration

メール通知:

Settings -> System -> Outgoing mail

メール通知をオフにすると、Jira Work Management などの他の製品から送信されるメールもすべてオフになります。

2. Automation rules that trigger email notifications:

Settings -> System -> Global automation -> All rules -> Enabled/Disabled

電子メール通知をトリガーするルールはすべて無効にする必要があります。

3. The ability of the project admins to manage automation rules:

Settings -> System -> Global automation -> [...] -> Global configuration

The ability of the project admins to create and manage automation rules for their projects has to be disabled. To do this, uncheck the Allow project administrators to manage project rules checkbox.

セキュリティ監査

アトラシアンは独立したサードパーティによる監査を受けており、現行の規制を遵守していること、お客様のデータが安全であることを保証します。コンプライアンスプログラムの詳細をご確認ください。

免責事項

Due to the changes in law or regulation or changes in Atlassian or the Services, we may update or revise this guide from time to time. We will provide you with notice of material changes and an updated copy through your owner or administrator. This document contains Atlassian’s recommendations for certain minimum effective product configurations for its customers' protection of PHI within the Atlassian products outlined above at this time. This document does not constitute an exhaustive template for all controls over such data nor does it constitute legal advice. Each Atlassian subscriber should seek its own legal counsel with regard to HIPAA compliance obligations applicable to their specific situations and should make any additional changes to its security configurations in accordance with its own independent review and risk analysis, so long as such changes do not conflict with or undermine the security of the configurations outlined in this document.

この内容はお役に立ちましたか?

正確ではなかった

明確ではなかった

関係なかった

アトラシアンサポート