適用対象

Smartsheet

Smartsheet と HIPAA

PLANS

  • Smartsheet

このヘルプ記事は、 Smartsheet のサブスクリプション サービスを使用して、保護された健康情報 (「PHI」) を医療保険の相互運用性と説明責任に関する法律 (「HIPAA」) の、経済的および臨床的健全性のための医療情報技術に関する法律 (HITECH) を含む、修正版における義務を遂行することができる方法で保存または処理を行う資格を持つ、Smartsheet をご使用のお客様のセキュリティ担当者、コンプライアンス担当者、IT 管理者、およびその他の従業員向けです。

この記事は法的な助言ではなく、これを意図したものでもありません。 この記事で提供するすべての情報は、ユーザーの HIPAA コンプライアンスへの取り組みの一部として確認するためのものです。 この記事で用いられている大文字の用語で、定義されていない用語は、HIPAA または Smartsheet のサブスクリプションベースのオンライン サービスの利用規約 (「サブスクリプション契約」) の定義を用います。

HIPAA

HIPAA は、医療計画、医療クリアリングハウス、および医療提供者 (「対象事業体」) が「保護された医療情報」(「PHI」) と呼ばれる患者情報にアクセス、使用、または開示する方法に関する国内基準を定めた連邦法です。 HIPAA に基づいて定められた国内基準は、対象事業体の代理として PHI にアクセスし、対象事業体にサービスを提供する協力会社 (「ビジネス アソシエイト」) またはその協力会社 (「ビジネス アソシエイトの協力会社」) にも適用されます。 HIPAA は、アメリカ合衆国保健福祉省によって施行されています。

サービスの説明

Smartsheet は、HIPAA に基づく義務を遵守できるように設計された高度なセキュリティ対策を備え、対象のお客様に提供されるサブスクリプションベースのオンライン サービスおよびアプリケーション (まとめて「サブスクリプション サービス」) をお客様に提供します。 Smartsheet は、SANS Institute、米国国立標準技術研究所 (NIST)、および Center for Internet Security (CIS) の推奨事項、または業界で広く使用されている、HIPAA に基づく義務を遂行するための後継の基準に準拠するように設計された手法に沿った強化および構成要件を実装しています。 お客様またはお客様のユーザーがオンライン サービスにアップロードまたは送信し、Smartsheet がお客様のために、またはお客様に代わって処理するデータ、添付ファイル、テキスト、画像、レポート、個人情報、またはその他のコンテンツは、転送中および保管中は暗号化された形式で維持されます。 オンライン サービスに送信したデータは、論理的分離と同等の保護を提供するセキュリティ制御によって不正アクセスから保護されます。 Smartsheet は、お客様のデータを処理する協力会社とビジネス アソシエイト契約を締結しているか、締結する予定です。そのため、HIPAA の義務を果たすことができる方法で、PHI を含む添付ファイルをサブスクリプション サービスに保存できます。 サードパーティを介して添付ファイルを統合または保存する場合、適切な管理と合意が実施されていることを確認する責任はユーザーが単独で負うものとします。 Smartsheet は、サービスに送信するデータの取り扱いおよび種類または内容に関して、データに依存しません。 Smartsheet は、(a) サービスまたはサポートの提供を可能にするためにお客様から要求された場合、 および (b) Smartsheetが (i) 適用される法律または法的手続きを遵守するため、または (ii) 乱用、詐欺、またはサブスクリプション契約の違反の疑いに対して調査、防止、または措置を講じるために必要な場合にのみ、お客様のデータの内容にアクセスまたはデータの内容を分析します。

サードパーティ評価機関 (3PAO)

 

Smartsheet は、サードパーティの査定人 (3PAO) により、サブスクリプション サービスを取り巻くセキュリティ対策の適切性を毎年検証します。 この監査では以下のように行います。 (a) 前の測定期間が終了した以降の測定期間全体の試験を含めます。 (b) AICPA SOC2 基準、または AICPA SOC2 と実質的に同等であるその他の代替基準に従って実施します。 (c) Smartsheet の選択内容と費用で、独立したサードパーティのセキュリティ専門家が実施します。 (d) Smartsheet によって一般に利用可能なサブスクリプション サービスに関する監査レポート (「監査レポート」) を生成します。

監査レポートは、書面による要求に応じて、年に1回のみ入手できます。ただし、監査レポートを対象とする相互に合意した機密保持条件に基づきます。 誤解を避けるため、お客様が利用できるそのような監査レポートは、Smartsheet の機密情報になります。

お客様の責任

PHI をオンライン サービスに保存するには、エンタープライズ (レガシ エンタープライズを除く) プランに参加しており、Smartsheet のビジネス アソシエイト契約 (「BAA」) を締結している必要があります。 HIPAA に基づく義務を果たすことができる方法で、Smartsheet を使用するために必要な機能を導入できるのはエンタープライズ ユーザーのみです。 より詳細なユーザー監査機能が必要であると判断した場合は、イベント レポートを利用するか、Smartsheet Advance を使用することをお勧めします

責任分担モデル

Smartsheet では、お客様と Smartsheet の間で Software-as-a-Service (「SaaS」) 責任分担モデルを採用しています。 Smartsheet は、規制コンプライアンス要件への適合を実現する手段をプラットフォームに提供する責任があります。 これらの手段には、以下の図 1 に示すように、保護、検出、および対応機能を組み込むことによって提供する情報システムの復元が含まれます。 具体的な管理手順と推奨事項については、以下の「セキュリティ設定を構成するためのお客様の責任」セクションをご覧ください。

お客様は、Smartsheet とのビジネス アソシエイト契約が必要かどうかを判断する責任およびお客様とお客様のユーザーが HIPAA に基づくお客様の義務に従ってサブスクリプション サービスを使用することを保証する責任があります。 これには、HIPAA コンプライアンスの義務を果たすために必要と思われる、Smartsheet が提供するカスタマイズ可能なセキュリティ制御の理解と実装が含まれます。

Smartsheet の SaaS 向け責任分担モデル

セキュリティ設定を構成するためのお客様の責任

Smartsheet は、データのセキュリティを保護するためのカスタマイズ可能な設定を用意しています。 これらの設定は、サブスクリプション サービスに送信するすべての PHI が、指示に従って、および/または BAA によって許可されているとおりに使用および/またはアクセスされるように設計されています。 オンライン サービスの使用により HIPAA の義務を確実に果たす責任はお客様が負います。 詳細と手順については、「エンタープライズ プランのセキュリティ制御設定」およびその他の関連するヘルプ記事をご覧ください。

その他のリソース

以下にリンクされているその他のリソースは、HIPAA 固有の内容ではありませんが、サブスクリプション サービスがどのようにしてプライバシー、機密性、およびデータの可用性を念頭に置いて設計されていることを理解するのに役立ちます。 また、詳細については「ヘルスケアでの Smartsheet の利用」ページを参考にしたり、当社の保健医療チームにお問い合わせください。

このヘルプ記事は参考です。 お客様ごとに、法令遵守義務を果たすために、必要に応じてサブスクリプション サービスの使用を独自に評価する必要があります。 Smartsheet は、この文書の情報に関して、明示的、黙示的、または法的な保証は行いません。

この記事はお役に立ちましたか?
はいいいえ