HIPAA

Esri の対象サービス

• ArcGIS Online HIPAA Eligible サービス
• Esrii Managed Cloud Services (EMCS) Advanced
• EMCS (Esri Managed Cloud Services) Advanced Plus

ArcGIS Online HIPAA サービス

Esri の初期の ArcGIS Online HIPAA Eligible サービスは、具体的には、geocode.arcgis.com で利用できるジオコーディング サービスです。Esri は、顧客の要求に基づく適合に関して検証された、追加の HIPAA Eligible サービスをここで示します。 HIPAA Eligible ジオコーディング サービスに関連する現在の制限および要件は、United States Citizen Support Maintenance のみ、米国拠点の住所のジオコーディングのみ、API キー呼び出し無し (アプリのログインまたはユーザー アカウントのみは許容される) を含みます。 すべてのお客様に対して一貫性のあるマルチテナントの SaaS (Software-as-a-service) 製品として、Esri は、お客様に固有の要件に合わせて ArcGIS Online HIPAA BAA を変更しません。

EMCS Advanced と Advanced Plus

EMCS (Esri Managed Cloud Services) Advanced および Advanced Plus は、Esri Professional Services を通じたシングル テナントの ArcGIS Enterprise 製品です。 EMCS Advanced および Advanced Plus は、組織の BAA 条件を交渉する機能を提供しますが、デフォルトでは Esri HIPAA BAA も利用します。

ArcGIS HIPAA の FAQ

ArcGIS および HIPAA に関するよくある質問を以下に示します。

組織が、特定の ArcGIS Online サブスクリプションに関して、Esri と HIPAA BAA (Business Associate Agreement) 契約を結ぶことができますか？

はい。 Esri は、資格のある企業または企業の供給業者に、HIPAA Eligible ArcGIS Online や、EMCS Advanced および Advanced Plus サービスおよび関連する保守を対象にする BAA を提供します。 アカウント マネージャーを介して Esri の BAA を要求することができます。

Esri と BAA 契約を結んだ場合、ArcGIS Online 組織サイトでどのサービスを使用できますか？

HIPAA 組織アカウントの一部として指定された任意の ArcGIS Online サービスを使用できますが、それらのサービスは、BAA で定義された HIPAA Eligible サービスで、保護された医療情報 (PHI) を処理すること、保存すること、および送信することのみを行う必要があります。

Esri は、代わりに組織の BAA を使用することに同意しますか？

ArcGIS Online の場合は、いいえです。ArcGIS Online は、すべてのお客様に対して一貫性のあるマルチテナントの SaaS (Software-as-a-service) 製品であるため、Esri は、HIPAA BAA を変更することができません。 Esri は、すべてのユーザーについて、同じ手順に従う必要があります。 問題を最小限に抑えるために、Esri は、お客様および中規模から大規模の SaaS プロバイダーの BAA からの入力を確認し、すでに組み込んでいます。

EMCS Advanced および Advanced Plus は、組織の BAA 条件を交渉する機能を提供しますが、デフォルトでは Esri HIPAA BAA も利用します。

お客様が自分自身の BAA を使用する必要があるか、Esri の BAA の大幅なカスタマイズを必要とする場合、アカウント マネージャーに連絡し、ArcGIS Enterprise のオンプレミスまたは EMCS Advanced Plus の配置を使用するなどの、ArcGIS Online 以外の特殊な必要性について検討することをおすすめします。

Esri と BAA 契約を結ぶということは、組織が HIPAA および HITECH 法令に適合しているということを示しますか？

いいえ、それだけでは適合を示しません。 HIPAA の順守は、対象の実体 (機密データを操作する保健機関) の複数の責任を伴います。 Esri は、BAA を提供することによって、HIPAA の順守を支援しますが、Esri のサービスを使用することは、それだけで順守を達成することにはなりません。 お客様は、十分なコンプライアンスプログラムおよび内部プロセスを所定の位置に持っているということ、そして Esri のサービスの特定の使用が HIPAA および HITECH 法令に適合しているということを保証する責任を負っています。 これは、単にソフトウェアやサービスにとどまらない、プライバシーの侵害を防ぐための全体的なプロセスです。

組織は、ArcGIS Online 構成のリスクをどのように評価することができますか？

組織は、Esri が提供している複数のリソースとツールを活用して、ArcGIS Online 構成のリスクを評価できます。 Esri は、クラウド セキュリティ アライアンス (CSA) コンセンサス評価イニシアティブ調査票 (CAIQ) などのリソースや、Esri Trust Center で入手できる詳細情報などのリソースを提供します。これにより、Esri のセキュリティの実践と制御についての理解を深めることができます。 Esri のコンプライアンスを検証するために、組織は FedRAMP Marketplace で利用できる FedRAMP 認証を確認できます。 さらに、組織は、Esri セキュリティ評価契約 (SAA) の条件に従って各自のセキュリティ テストを実施することができ、ArcGIS Online 構成の技術的な検証が可能です。 進行中のセキュリティとプライバシーに関する知見の場合、Esri では ArcGIS Security Adviser ツールを提供しているため、組織の管理者は ArcGIS Online のセキュリティ環境をリアルタイムで評価でき、管理者は潜在的なセキュリティの問題をすばやく特定して対処できるようになります。

Esri のオンライン BAA では、どのサポートまたは保守を利用できますか？

電子保護対象保健情報 (ePHI) に関する米国の規制上の要件として、BAA に署名しているお客様は、最初に Esri の米国人限定のサポートを使用します。 このサポートは、要求に応じて、今後、標準的なグローバル サポートに拡大されるかもしれません。 標準的な条件下では、運用およびお客様サポートの両方のリソースは、ArcGIS Online のお客様データセットを表示しません。 お客様が、BAA が対象とする ArcGIS Online サブスクリプションに関連するデータセットに対してアクセス、ダウンロード、または表示を行うために Esri サポートの支援が必要であると判断した場合、アクセスの認証のために、Esri は、事前に識別されたお客様のプライバシー リソースに連絡します。

必要なサービスが現在 HIPAA Eligible でない場合、どうすればよいですか？

Esri は、HIPAA Eligible であるサービスを追加し続けており、HIPAA Eligible サービスのリストが増えるにつれて、このページが更新されます。 HIPAA Eligible でないサービスを直ちに使用する必要があるお客様は、オンライン サービスの必要性を補完するために、ArcGIS Enterprise 製品を使用することをおすすめします。

リソース

• GIS 医療情報の管理 (パブリック)
• Security Adviser ツールを使用したベスト プラクティスの検証 (Trust Center のパブリック ツール)
• HIPAA プライバシー規則のサマリー (パブリック)