CatalystにおけるHIPAAコンプライアンス

# CatalystにおけるHIPAAコンプライアンス

## はじめに

{{%link href="https://www.hhs.gov/hipaa/index.html"%}}HIPAA{{%/link%}}（医療保険の相互運用性と説明責任に関する法律）は、医療分野における情報の配布を管理する米国政府によって制定された法律です。電子メディアを通じた送信、使用、または維持を含む特定の事前定義された基準と条件に基づいてHIPAA規制によって保護される個人識別可能な健康情報（IIHI）および個人識別情報（PII）は、**保護対象医療情報（PHI）**として分類されます。

このようなPHI識別子の例には、氏名、住所、電話番号などの個人情報や連絡先情報、医療記録番号（MRN）やメディケア受給者識別子（MBI）を含む病歴や医療情報、社会保障番号や車両識別子などの身元情報が含まれますが、これらに限定されません。

Catalystは、個人の許可がない場合にePHIを保護するための認められたセキュリティ慣行を実装する必要がある対象事業体に対して適用される基準を遵守しています。これらの規制への準拠により、PHIに該当するすべてのエンドユーザーデータの完全性、機密性、セキュリティを保護する機能がCatalyst開発プラットフォームで提供されることが保証されます。これは、Catalyst上に構築されたすべてのアプリケーション、マイクロサービス、ソリューションが、HIPAAによって適用される必要な基準とガイドラインに完全に準拠できることを示しています。

{{%note%}}{{%bold%}}注意:{{%/bold%}} Catalystアプリケーション開発者は、Catalystでソリューションを開発、テスト、デプロイする際に提供されるHIPAAコンプライアンス機能を活用し、ePHIおよびその他の機密ユーザーデータを扱う際に、該当するすべてのプライバシーおよびデータ保護法を遵守する必要があります。{{%/note%}}

## CatalystにおけるHIPAAコンプライアンスの実装

Catalystは、最新のHIPAAガイドラインへの準拠を可能にするために、エンドユーザーのPHIを保存、処理、または取り扱う設定やコンポーネントのいくつかの機能をアップグレードしました。このカテゴリに該当するCloud Scaleコンポーネントには以下が含まれます：

* Data Store
* File Store

{{%note%}}{{%bold%}}注意:{{%/bold%}} データおよびファイルストレージコンポーネントの延長として、Cloud Scale Event ListenersおよびDevOps LogsもHIPAAコンプライアンスの範囲内に含まれます。{{%/note%}}

Catalystアカウントメンバーがさまざまなプロファイルに付与できるコンポーネントアクセス権限を指定できる{{%link href="/ja/getting-started/set-up-a-catalyst-project/profiles-and-permissions/"%}}Profiles and Permissions{{%/link%}}設定も、これらのコンポーネントの変更に伴いアップグレードされました。

同様に、プロジェクトで実行されたアクティビティのログを表示する{{%link href="/ja/getting-started/set-up-a-catalyst-project/audit-logs/"%}}Audit Logs{{%/link%}}機能も、機密および保護されたユーザーデータを取り扱えるよう刷新されました。

これらの変更の詳細を見ていきましょう。

### Data StoreおよびFile StoreでのePHIの保存

Cloud ScaleのData StoreおよびFile Storeコンポーネントは、それぞれテーブルまたはファイルとしてユーザーデータを保存できます。HIPAA準拠の方法でePHIデータの保存を可能にするために、これらのコンポーネントのカラムおよびフォルダに対して**PII/ePHI Validator**が追加されました。

カラムの作成時または任意の時点でカラムを編集する際に、このバリデータを有効にすることで、テーブル内のカラムを保護情報を含むものとしてマークできます。

さらに、必要なカラムのデータ型として**Encrypted text**を選択することで、テーブルに機密データを保存できます。これにより、保護されたデータを含む長文テキストを暗号化できます。

同様に、フォルダの作成時または任意の時点でフォルダを編集する際に、このバリデータを有効にすることで、File Store内のフォルダを保護情報を含むものとしてマークできます。

このバリデータがカラムまたはフォルダに対して有効になると、必要な権限を持つ{{%link href="/ja/getting-started/set-up-a-catalyst-project/collaborators/"%}}Catalystアカウント管理者およびプロジェクトメンバー{{%/link%}}のみが、これらのカラムまたはフォルダ内のデータを表示またはアクセスできます。

### Profiles and PermissionsでのePHIアクセスの定義

Catalyst管理者は、Data Store、File Store、およびその延長としてEvent ListenersおよびLogsコンポーネントへのアクセスを、きめ細かい方法で割り当てられるようになりました。つまり、作成する各カスタムプロファイルの各アクセスタイプについて、これらのコンポーネントのそれぞれへの個別アクセスを、必要とする特定のプロファイルにのみ付与できます。その後、プロジェクトメンバーに適切なプロファイルを割り当てることができます。

これらの権限を有効にするための条件、およびEvent ListenersとLogsにアクセスするための個別権限の必要性の詳細については、{{%link href="/ja/getting-started/set-up-a-catalyst-project/profiles-and-permissions/"%}}Profiles and Permissionsヘルプページ{{%/link%}}を参照してください。

### Audit LogsでのePHIの保存と表示

設定のAudit Logsに、Data StoreおよびFile StoreコンポーネントのePHIに関連するアプリケーションレベルで実行されたアクティビティのログを表示する{{%link href="/ja/getting-started/set-up-a-catalyst-project/audit-logs/#application-logs"%}}Application Logs{{%/link%}}が含まれるようになりました。したがって、これらのログには以下が表示されます：

* Data StoreでePHIバリデータが有効なカラムの行の作成、更新、または削除
* File StoreでePHIバリデータが有効なフォルダ内のファイルの作成または削除

{{%note%}}{{%bold%}}注意:{{%/bold%}} プロジェクトメンバーのAudit Logsへのアクセスには、Profiles and Permissionsで付与できる専用の権限が必要になりました。これは、ePHIを含む可能性のあるストレージコンポーネントのアプリケーションログを権限のある個人のみが表示できるようにするためでもあります。{{%/note%}}

Catalystでは、コンソールからエクスポートすることで、最大**6年前**のログを取得できるようになりました。HIPAA規制への準拠をさらに確保するため、アプリケーションログのエクスポートとローカルシステムへのダウンロードは、Catalystアカウント管理者のみが実行できます。プロジェクトメンバーはこの操作を実行できません。

これらすべての変更がCatalyst開発プラットフォームに組み込まれたことにより、HIPAA規制に完全に準拠したアプリケーションやマイクロサービスを簡単に構築できるようになりました。

はじめに

HIPAA（医療保険の相互運用性と説明責任に関する法律）は、医療分野における情報の配布を管理する米国政府によって制定された法律です。電子メディアを通じた送信、使用、または維持を含む特定の事前定義された基準と条件に基づいてHIPAA規制によって保護される個人識別可能な健康情報（IIHI）および個人識別情報（PII）は、**保護対象医療情報（PHI）**として分類されます。

注意: Catalystアプリケーション開発者は、Catalystでソリューションを開発、テスト、デプロイする際に提供されるHIPAAコンプライアンス機能を活用し、ePHIおよびその他の機密ユーザーデータを扱う際に、該当するすべてのプライバシーおよびデータ保護法を遵守する必要があります。

CatalystにおけるHIPAAコンプライアンスの実装

Data Store
File Store

注意: データおよびファイルストレージコンポーネントの延長として、Cloud Scale Event ListenersおよびDevOps LogsもHIPAAコンプライアンスの範囲内に含まれます。

Catalystアカウントメンバーがさまざまなプロファイルに付与できるコンポーネントアクセス権限を指定できるProfiles and Permissions設定も、これらのコンポーネントの変更に伴いアップグレードされました。

同様に、プロジェクトで実行されたアクティビティのログを表示するAudit Logs機能も、機密および保護されたユーザーデータを取り扱えるよう刷新されました。

これらの変更の詳細を見ていきましょう。

Data StoreおよびFile StoreでのePHIの保存

Cloud ScaleのData StoreおよびFile Storeコンポーネントは、それぞれテーブルまたはファイルとしてユーザーデータを保存できます。HIPAA準拠の方法でePHIデータの保存を可能にするために、これらのコンポーネントのカラムおよびフォルダに対してPII/ePHI Validatorが追加されました。

さらに、必要なカラムのデータ型としてEncrypted textを選択することで、テーブルに機密データを保存できます。これにより、保護されたデータを含む長文テキストを暗号化できます。

このバリデータがカラムまたはフォルダに対して有効になると、必要な権限を持つCatalystアカウント管理者およびプロジェクトメンバーのみが、これらのカラムまたはフォルダ内のデータを表示またはアクセスできます。

Profiles and PermissionsでのePHIアクセスの定義

これらの権限を有効にするための条件、およびEvent ListenersとLogsにアクセスするための個別権限の必要性の詳細については、Profiles and Permissionsヘルプページを参照してください。

Audit LogsでのePHIの保存と表示

設定のAudit Logsに、Data StoreおよびFile StoreコンポーネントのePHIに関連するアプリケーションレベルで実行されたアクティビティのログを表示するApplication Logsが含まれるようになりました。したがって、これらのログには以下が表示されます：

Data StoreでePHIバリデータが有効なカラムの行の作成、更新、または削除
File StoreでePHIバリデータが有効なフォルダ内のファイルの作成または削除

注意: プロジェクトメンバーのAudit Logsへのアクセスには、Profiles and Permissionsで付与できる専用の権限が必要になりました。これは、ePHIを含む可能性のあるストレージコンポーネントのアプリケーションログを権限のある個人のみが表示できるようにするためでもあります。

Catalystでは、コンソールからエクスポートすることで、最大6年前のログを取得できるようになりました。HIPAA規制への準拠をさらに確保するため、アプリケーションログのエクスポートとローカルシステムへのダウンロードは、Catalystアカウント管理者のみが実行できます。プロジェクトメンバーはこの操作を実行できません。

最終更新日 2026-02-23 18:09:41 +0530 IST

Yes

Thank you for your feedback!

Send your feedback to us

Skip

Submit

Zoho HIPAAコンプライアンス