Smartsheet と HIPAA コンプライアンス

この記事は、法的助言を構成するものではなく、また意図するものではありません。むしろ、この記事で提供されるすべての情報は、ご自身の HIPAAコンプライアンス取り組みの一環として確認できるものです。

本書で使用される定義されていない用語は、HIPAAまたはSmartsheetのサブスクリプションベースのオンライン サービスの使用を規定する契約（サブスクリプション契約）。

HIPAA

HIPAA は連邦法で、医療保険制度、医療機関、医療提供者 (「対象事業者」) が「保護医療情報」または「PHI」と呼ばれる患者情報にアクセスし、それを使用、開示する方法について国の基準を規定しています。 

HIPAA の下で規定された国の基準は、対象事業者 (「事業提携者」) またはその下請業者 (「事業提携者の下請業者」) にサービスを提供し、そのために PHI に接する下請業者にも適用される場合があります。HIPAA は米国保健福祉省によって施行されています。

サービスの説明

Smartsheetは、HIPAA に基づく義務をお客様が遵守できるように設計された追加のセキュリティ対策を講じて、対象となるお客様に提供されるサブスクリプション ベースのオンライン サービスおよびアプリケーション（以下「サブスクリプション サービス」といいます）をお客様に提供します。

Smartsheetは、sans Institute、National Institute of Standards and Technology（NIST）、Center for Internet Security（CIS）の推奨事項、またはお客様が準拠できるように設計された業界で広く使用されている後継規格に沿ったアプローチの強化および構成要件を実装しています。 HIPAAに基づくお客様の義務。

お客様またはお客様のユーザーがオンライン サービスにアップロードまたは送信し、 Smartsheetがお客様のためにまたはお客様の代わりに処理するデータ、添付ファイル、テキスト、画像、レポート、個人情報、またはその他のコンテンツは、暗号化された形式で（転送中および残り）。お客様がオンライン サービスに提出したデータは、論理的分離と同等の保護を提供するセキュリティ管理によって、不正なアクセスから保護されています。

Smartsheetは、顧客データを処理する下請け業者とビジネス提携契約を締結しています。これにより、お客様は PHI を含む添付ファイルをサブスクリプション サービスに保存することができ、 HIPAA を遵守している必要があります。

お客様が第三者との統合または第三者を介して添付ファイルの保存を選択した場合は、お客様は、適切な管理を確保することに単独で責任を負います。 契約が締結されています。Smartsheetは、その取り扱いおよびお客様がサービスに提出するデータの種類または実態に関しては、データに依存しません。

Smartsheetは、お客様のデータの本質にのみアクセスまたは分析します。（a）サービスまたはサポートの提供を可能にするためにお客様が要求した場合。 （b） Smartsheetが必要に応じて、（i）適用法または法的手続きを遵守する、または（ii）サブスクリプション契約の不正使用、不正または違反の疑わしいものに対する調査、防止、または措置を行うこと。

第三者評価機関（3PAO）

 

Smartsheetは、第三者評価者（3PAO）を使用して、サブスクリプション サービスに関するセキュリティ対策の適切性を年次で検証しています。 この監査では、

（a）前の測定期間が終了してからの測定期間全体のテストが含まれます。

（b）AICPA SOC2 標準または AICPA SOC2 と実質的に同等のその他の代替標準に従って実施されること。

（c）Smartsheet の選択および経費による独立した第三者のセキュリティ専門家によって実行されます。そして

（d）監査レポートが作成されます（監査レポート）をSmartsheetが一般的に利用可能にするサブスクリプション サービスに関して使用します。

監査レポートは、お客様からの書面による要求に応じて、監査レポートに関する非開示条件について相互に合意したことを条件として、年に一度のみ、お客様に提供されます。疑義を避けるために明記すると、お客様に提供される監査レポートはすべてSmartsheetの秘密情報となります。

    お客様の責任。

PHI をオンライン サービスに保存するには、エンタープライズ（レガシーエンタープライズを除く）プランに登録し、Smartsheet のシートに入力する必要があります。ビジネス アソシエイト契約（ BAA ）。

HIPAA に基づく義務を満たすために必要なSmartsheetの機能を実装できるのは、エンタープライズのユーザーだけです。より詳細なユーザー監査機能が必要であると判断した場合は、イベント レポート作成または アクセスできるSmartsheet Advance。

共有責任モデル

Smartsheetでは、サービスとしてのソフトウェア（ SaaS（クラウド サービス） ）ユーザーとSmartsheetの間の責任共有モデル を使用しています。Smartsheetは、お客様が規制コンプライアンス要件を満たすことができるように、弊社のプラットフォームに対策を提供する責任があります。これらの対策には、以下の図 1 に概説されているように、保護、検出、および対応の機能を組み込むことによる情報システムの復旧が含まれます。特定の管理に関する指示と推奨事項については、お客様の責任に関する記事をご覧ください下の「セキュリティ設定の指定」セクションに移動します。

お客様には、 Smartsheetとのビジネス提携契約が必要かどうかを判断する責任があります お客様およびお客様のユーザーが、HIPAAに基づく義務コンプライアンスサブスクリプション サービスを使用するようにするため。これには、HIPAAコンプライアンス義務を満たすために必要と判断する、Smartsheet が提供するカスタマイズ可能なセキュリティ制御を理解し、実装することが含まれます。 

セキュリティ設定を構成するお客様の責任

Smartsheetでは、データを確実に保護するために設計されたカスタマイズ可能な設定を提供しています。これらの設定は、お客様がサブスクリプション サービスに送信する PHI が お客様の指示に従って、かつ/またはお客様とSmartsheet間のBAAによって許可された使用またはアクセス。お客様がオンライン サービスを使用することにより、お客様が HIPAA を遵守していることを確実にする義務は、お客様の責任のみです。

見てくださいエンタープライズプランのセキュリティ制御設定およびその他の関連するヘルプ記事。（詳細と手順については、こちら）をご覧ください。

その他のリソース

以下にリンクされたその他のリソースは、HIPAA 固有のものではありませんが、サブスクリプション サービスがプライバシー、機密性、およびデータの可用性を念頭に置いてどのように設計されているかを理解するのに役立ちます。

• Smartsheet プライバシー通知
• Smartsheet ヘルプ記事
• ヘルスケアでの Smartsheet の利用

このヘルプ記事は、情報提供のみを目的としたものです。お客様は各自、独自に評価する必要があります。法的コンプライアンス義務を遵守するために必要なサブスクリプション サービスの使用。Smartsheetは、本書の情報に関して、明示的、黙示的、または法令を問わず、いかなる保証も行いません。

 

HIPAA に関するサポートは、までご連絡ください。財務チーム