医療保険の相互運用性と説明責任に関する法令 (HIPAA) プライバシー規則は、対象の実体によって保有されている個人医療情報 (PHI) に対する連邦の保護を提供し、その情報に関する一連の権利を患者に与えます。
HIPAA 規制は、対象の実体および実体の仕事関係者 (この場合、クラウド サービスを含むサービスを対象の実体に提供する際の Esri) が、それらの仕事関係者が十分に PHI を保護することを保証するための契約を結ぶことを要求します。 これらの契約または BAA (Business Associate Agreement) は、仕事関係者が PHI を処理することができる方法を明確にして制限し、HIPAA および HITECH 法令に示されたセキュリティおよびプライバシーの条項への各関係者の順守を規定します。
現在、HIPAA または HITECH 法令順守の公式の認定は存在しません。代わりに、以下の Esri サービスが、HIPAA セキュリティ規則の規格に対応する NIST 800-53 セキュリティ制御を利用して FedRAMP Moderate 機関によって認定されています。
Esri の対象サービス
ArcGIS Online HIPAA サービス
Esri の初期の ArcGIS Online HIPAA Eligible サービスは、具体的には、geocode.arcgis.com で利用できるジオコーディング サービスです。Esri は、顧客の要求に基づく適合に関して検証された、追加の HIPAA Eligible サービスをここで示します。 HIPAA Eligible ジオコーディング サービスに関連する現在の制限および要件は、United States Citizen Support Maintenance のみ、米国拠点の住所のジオコーディングのみ、API キー呼び出し無し (アプリのログインまたはユーザー アカウントのみは許容される) を含みます。 すべてのお客様に対して一貫性のあるマルチテナントの SaaS (Software-as-a-service) 製品として、Esri は、お客様に固有の要件に合わせて ArcGIS Online HIPAA BAA を変更しません。
EMCS Advanced Plus
EMCS (Esri Managed Cloud Services) Advanced Plus は、Esri Professional Services を通じたシングル テナントの ArcGIS Enterprise 製品です。 EMCS Advanced Plus は、組織の BAA 条件を交渉する機能を提供しますが、デフォルトでは Esri HIPAA BAA も利用します。
ArcGIS HIPAA の FAQ
ArcGIS および HIPAA に関するよくある質問を以下に示します。
組織が、特定の ArcGIS Online サブスクリプションに関して、Esri と HIPAA BAA (Business Associate Agreement) 契約を結ぶことができますか?
はい。 Esri は、資格のある企業または企業の供給業者に、HIPAA Eligible ArcGIS Online や、EMCS Advanced Plus サービスおよび関連する保守を対象にする BAA を提供します。 アカウント マネージャーを介して Esri の BAA を要求することができます。 これは、ほとんどの公共の保健機関、病院、健康保険会社に適用されますが、ArcGIS Online が FedRAMP Moderate 認証を取得するまで、米国連邦機関および米国防衛機関には Esri BAA の資格がありません。FedRAMP Moderate 認証の取得は、2022 年に予定されています。
Esri と BAA 契約を結んだ場合、ArcGIS Online 組織サイトでどのサービスを使用できますか?
HIPAA 組織アカウントの一部として指定された任意の ArcGIS Online サービスを使用できますが、それらのサービスは、BAA で定義された HIPAA Eligible サービスで、保護された医療情報 (PHI) を処理すること、保存すること、および送信することのみを行う必要があります。
Esri は、代わりに組織の BAA を使用することに同意しますか?
ArcGIS Online の場合は、いいえです。ArcGIS Online は、すべてのお客様に対して一貫性のあるマルチテナントの SaaS (Software-as-a-service) 製品であるため、Esri は、HIPAA BAA を変更することができません。 Esri は、すべてのユーザーについて、同じ手順に従う必要があります。 問題を最小限に抑えるために、Esri は、お客様および中規模から大規模の SaaS プロバイダーの BAA からの入力を確認し、すでに組み込んでいます。
EMCS Advanced Plus は、組織の BAA 条件を交渉する機能を提供しますが、デフォルトでは Esri HIPAA BAA も利用します。
お客様が自分自身の BAA を使用する必要があるか、Esri の BAA の大幅なカスタマイズを必要とする場合、プロフェッショナル サービス チームに連絡し、ArcGIS Enterprise のオンプレミスまたは EMCS Advanced Plus の配置を使用するなどの、ArcGIS Online 以外の特殊な必要性について検討することをお勧めします。
Esri と BAA 契約を結ぶということは、組織が HIPAA および HITECH 法令に適合しているということを示しますか?
いいえ、それだけでは適合を示しません。 HIPAA の順守は、対象の実体 (機密データを操作する保健機関) の複数の責任を伴います。 Esri は、BAA を提供することによって、HIPAA の順守を支援しますが、Esri のサービスを使用することは、それだけで順守を達成することにはなりません。 お客様は、十分なコンプライアンスプログラムおよび内部プロセスを所定の位置に持っているということ、そして Esri のサービスの特定の使用が HIPAA および HITECH 法令に適合しているということを保証する責任を負っています。 これは、単にソフトウェアやサービスにとどまらない、プライバシーの侵害を防ぐための全体的なプロセスです。
組織は、ArcGIS Online 構成のリスクをどのように評価することができますか?
まず、お客様は、秘密保持契約 (NDA) に従って、または connect.gov から FedRAMP 認定パッケージにアクセスして、Esri の FedRAMP 年次第三者評価レポートを取得することができます。 次に、お客様は、製品の技術的検証を実行するために、Esri セキュリティ評価契約 (SAA) の条件に従ってセキュリティ テストを実施することができます。 最後に、Esri は、組織の管理者が、赤色、黄色、緑色のサマリーにいつでもアクセスするために使用できる ArcGIS Security Advisor ツールを作成しました。
Esri のオンライン BAA では、どのサポートまたは保守を利用できますか?
電子個人医療情報 (ePHI) に関する米国の規制上の要件として、BAA に署名しているお客様は、最初に Esri の米国人限定のサポートを使用します。 このサポートは、要求に応じて、今後、標準的なグローバル サポートに拡大されるかもしれません。 標準的な条件下では、運用およびお客様サポートの両方のリソースは、ArcGIS Online のお客様データセットを表示しません。 お客様が、BAA が対象とする ArcGIS Online サブスクリプションに関連するデータセットに対してアクセス、ダウンロード、または表示を行うために Esri サポートの支援が必要であると判断した場合、アクセスの認証のために、Esri は、事前に識別されたお客様のプライバシー リソースに連絡します。
必要なサービスが現在 HIPAA Eligible でない場合、どうすればよいですか?
Esri は、HIPAA Eligible であるサービスを追加し続けており、HIPAA Eligible サービスのリストが増えるにつれて、このページが更新されます。 HIPAA Eligible でないサービスを直ちに使用する必要があるお客様は、オンライン サービスの必要性を補完するために、ArcGIS Enterprise 製品を使用することをお勧めします。
リソース
- GIS 医療情報の管理 (パブリック)
- Security Advisor ツールを使用したベスト プラクティスの検証 (Trust Center のパブリック ツール)
- HIPAA プライバシー規則のサマリー (パブリック)