Smartsheet と HIPAA

このヘルプ記事では、改正後の医療保険の相互運用性と説明責任に関する法律 (HIPAA) (修正を含む) および経済的および臨床的健全性のための医療情報技術に関する法律 (HITECH) に基づくコンプライアンス義務を満たす形で、PHI 対象サービスが維持および保護される方法について概説します。

ご利用可能なユーザー

プラン:

  • Smartsheet

権限:

HIPAA に基づく義務を満たすために必要な Smartsheet の機能を利用できるのは、エンタープライズ ユーザーのみです。

この機能が Smartsheet リージョンまたは Smartsheet Gov に含まれているかどうかを確認してください。

Smartsheet は、サブスクリプションベースのオンライン サービス (サブスクリプション サービス) を提供しており、特定のプラン タイプが PHI 対象サービス (詳細は下記を参照) として指定されています。Smartsheet のお客様 (お客様) は、対象プランで PHI 対象サービスを利用して、保護対象保健情報 (PHI) を保存または処理できます。

お客様がサブスクリプション サービスに PHI をアップロードできるのは、(1) PHI 対象サービスを使用している場合、および (2) Smartsheet と提携事業者契約 (BAA) を締結している場合のみです。

本記事は法的助言を構成するものではなく、また法的助言を意図したものでもありません。この記事に記載されているすべての情報は、HIPAA コンプライアンスの取り組みの一環として確認するためのものです。ご質問がある場合、または Smartsheet との提携事業者契約 (BAA) の締結を希望される場合は、担当の Smartsheet アカウント マネージャーまでお問い合わせいただくか、Smartsheet for Healthcare (医療分野での Smartsheet の利用) のフォームにご記入ください。

PHI 対象サービス

  • Smartsheet エンタープライズ プラン (以下の制限の対象となります)

PHI 対象外サービス

  • Smartsheet トライアル、プロ プラン、ビジネス プラン
  • Smartsheet ファイル ライブラリ
  • プランの EAP メンバー
  • Brandfolder
  • Smartsheet University、コミュニティ、その他の Smartsheet サイト

プランの種類と含まれる機能の詳細については、Smartsheet プランのページをご覧ください。

サービスの説明

Smartsheet は、お客様が HIPAA (PHI 対象サービス) に基づく義務を遵守できるように設計された追加のセキュリティ対策、機能、特長を備えたサブスクリプションベースのオンライン サービスを提供しています。これらのセキュリティ対策は、Smartsheet が主要なコンプライアンス管理と目標を達成していることを示すために、AICPA SOC2 基準 (または実質的に同等の基準) に従って第三者の監査人によって毎年評価されています。

Smartsheet の SOC2 レポートの詳細、またはこのレポートのコピーをリクエストするには、コンプライアンス Trust Center にアクセスしてください。

Smartsheet は、SANS Institute、National Institute of Standards and Technology (アメリカ国立標準技術研究所/NIST)、Center for Internet Security (CIS) の推奨事項、もしくは業界で広く使用されている後継規格に準拠した形で、要塞化要件および構成要件を適用しています。 

お客様またはお客様のユーザーがオンライン サービスにアップロードまたは送信するデータ、添付ファイル/リンク、テキスト、画像、レポート、個人情報、またはその他のコンテンツは、転送中および保存中に暗号化された状態で保持されます。

PHI 対象サービスには、アクセス制御を含む構成可能な設定があり、お客様の指示および Smartsheet との BAA に従ってのみ使用またはアクセスされるように設定することができます。このようなデータは、論理的分離と同等の保護を提供する、お客様が構成可能なセキュリティ制御によって不正アクセスから保護されます。

データの安全性確保と保護について、詳しくは Trust Center「セキュリティ慣行」をご確認ください。

共同責任としてのセキュリティ

お客様がデータ保護に必要な対策を把握されていることを踏まえ、Smartsheet は Software-as-a-Service (SaaS) の共有責任モデルを採用し、お客様がコンプライアンスと規制のニーズを満たせるよう支援しています。つまり、データの保護に関しては、お客様と Smartsheet の双方が責任を担っているということです。

Smartsheet は、サブスクリプション サービスのセキュリティを確保し、サポートし、維持するための対策を提供する責任を負います。これらの対策には、下記の図 1 に概説されている保護、検出、および対応機能を組み込むことにより、情報システムを復元することが含まれます。

お客様は、適用法 (HIPAA を含む)、Smartsheet との BAA、および本記事の内容に従って、ご自身およびユーザーがサブスクリプション サービスを使用することを確実にする責任を負います。これには、法的およびコンプライアンスの義務を満たすために必要であると判断した、Smartsheet がサポートするカスタマイズ可能なセキュリティ制御の理解と実装が含まれます。Smartsheet は、お客様がサービスに送信するデータの処理と種類について中立的な立場にあるため、お客様に代わって特定のデータ処理を行うことはありません。

Measures for maintaining security as a shared responsibility

 

サブスクリプション サービスのカスタマイズおよび設定方法については、「共有セーフ ポリシーを構成する」およびその他の関連ヘルプ記事内の詳細と指示をご確認ください。 

第三者との統合や第三者を通じた添付ファイル/リンクの保存を選択された場合は、適切な管理および契約が整っていることを確認する責任はお客様が単独で負うものとします。

その他のリソース

以下にリンクされているリソースは、HIPAA 固有のものではありませんが、サブスクリプション サービスがプライバシー、機密性、データの可用性を考慮して設計されていることを理解するのに役立ちます。

このヘルプ記事は、情報提供のみを目的としたものです。各お客様は、法的コンプライアンス義務をサポートするために、必要に応じてサブスクリプション サービスの使用を個別に評価する必要があります。Smartsheet は、本ドキュメントの内容について、明示的、黙示的、または法令に基づく保証を一切行いません。

PHI 対象サービスをご利用のお客様で、Smartsheet との BAA の締結が必要な方は、Smartsheet アカウント マネージャーまでご連絡いただくか、Smartsheet for Healthcare (医療分野での Smartsheet の利用) でフォームを提出してセールス チームまでご連絡ください。