このチャートは、HIPAA (医療保険の携行性と責任に関する法律) を遵守すべき組織が、HIPAA コンプライアンスをアトラシアンがどのようにサポートしているかを理解するためのものです。
既存のアトラシアンの契約がある、またはこれらの要件を組織にどのように適用できるかの詳細を知りたい場合は、お問い合わせください。
要件 | 説明 | この要件をどのように満たしているか |
|---|---|---|
| 説明 リスクと脆弱性を軽減して、環境または運用の変化に応じて技術および技術以外の面の評価を定期的に実施する | この要件をどのように満たしているか ギャップ評価を毎年実施してセキュリティ リスク分析を更新し、独立した認証機関から HIPAA 認証を取得します。 | |
| 説明 身元確認と適切な解雇手続き | この要件をどのように満たしているか 世界中の新規アトラシアン社員に対して、採用時点で身元確認を実施する必要があります。すべての新規採用者と独立請負業者に対して、包括的な一連の身元確認が自動で開始されて実行されます。 | |
| 説明 作業員に対する制裁措置 | この要件をどのように満たしているか オンボーディング中、すべての新入社員はアトラシアンの行動規範と倫理ポリシーを認識して、セキュリティ意識向上トレーニングを完了する必要があります。確立された情報セキュリティ ポリシーと手続きに従わない個人を対象とする正式な制裁措置が定められています。 | |
| 情報アクセス管理 | 説明 ePHI を利用する従業員のアクセス許可 | この要件をどのように満たしているか Active Directory ロール メンバーシップはユーザーの部門とチームに基づいて自動で割り当てられて、そのようなアクセスを必要とするユーザーに制限されます。ユーザーが別のチームに異動すると、必要に応じてフォローアップを開始してレガシー アクセスを削除するアラートが生成されます。システムまたはサービスの各所有者は、さまざまなシステムの Active Directory アクセス レベル内でユーザー アクセスを許可または変更する承認者として指定されています。
|
| 説明 適切なアクセス権の付与 (最小特権ベース) | ||
| 説明 事前に設定した非アクティブ時間の経過後にセッションを終了する | この要件をどのように満たしているか デスクトップとモバイルの各アプリケーションには、標準の操作手順に基づく最大ユーザー セッション タイムアウトがあります (デスクトップ セッションでは 8 ~ 24 時間、モバイル セッションでは 30 ~ 90 日)。 | |
| 説明 監査ログ記録/検出 (ログイン試行の監視を含む) | この要件をどのように満たしているか イベント ログを保持して紛失や改ざんを防ぎます。ログへのアクセスは定期的に確認されます。ログ記録を AWS 環境内で有効にして、そのログを Splunk に送信しています。既知と以前のセキュリティ イベントとインシデントに基づいて、AWS、HIPAA 認定クラウドの各イベントの自動アラートをデプロイしています。 | |
| 説明 疑わしいセキュリティ インシデントまたは既知のセキュリティ インシデントを特定してインシデントを軽減し、その結果を文書化する | この要件をどのように満たしているか アトラシアンはプログラムを担当するセキュリティ チームと協力して、次を含む組織全体のインシデント管理プロセスを導入しました。
| |
| セキュリティの責任 | 説明 HIPAA セキュリティ コンプライアンス プログラムの開発と実施の責任者を特定する | この要件をどのように満たしているか 専任の HIPAA セキュリティ担当者がいます。アトラシアンのセキュリティ担当者は、その責任、HIPAA セキュリティ規則、そしてその要件がアトラシアンの製品にどのように適用されるかを理解しています。 |
| プライバシーの責任 | 説明 HIPAA プライバシー コンプライアンス プログラムの開発と実施の責任者を特定する | この要件をどのように満たしているか 専任の HIPAA プライバシー担当者がいます。アトラシアンのプライバシー担当者は、その責任、HIPAA プライバシー規則、そしてその要件がアトラシアンの製品にどのように適用されるかを理解しています。 |
| セキュリティ意識向上とトレーニング | 説明 ユーザー意識向上トレーニング | この要件をどのように満たしているか アトラシアン セキュリティ意識向上プログラムの一環として、すべての従業員はトレーニングを毎年受ける必要があります。さらに、セキュリティ関連意識向上の演習問題と文書を年間を通じて不定期に配布しています。 |
| 説明 重要なビジネス プロセスの継続を可能にする手順 | この要件をどのように満たしているか ディザスター リカバリの実行手順を定義、レビュー、テストしました。このポリシーでは、目的、目標、範囲、目標復旧時間、目標復旧時点、役割/責任を大まかに説明します。正式なビジネス継続性計画とディザスター リカバリ計画を四半期ごとにテストしています。緊急時対応計画の各構成要素を裏付けるため、サービスとシステムの重要度を毎年評価しています。 | |
| ビジネス アソシエイト契約 | 説明 ビジネス アソシエイト契約には、お客様データがアトラシアンとサードパーティ サプライヤーによって適切に保護されるという十分な保証が含まれる。 | この要件をどのように満たしているか アトラシアンはお客様の情報を適切に保護して、お客様に代わって PHI を作成、受領、維持、または送信が許容または要求される場合のみ、お客様の情報を使用または開示することを保証します。これらの保証はお客様とのビジネス アソシエイト契約に記載されています。また、お客様情報を適切に保護していることを確認するために、お客様がアトラシアンのサービスを使用して構成する方法に関する指示をお客様に提供する実装ガイドを作成しました。 |
| 説明 物理的な施設や機器を改ざんや盗難から保護する | この要件をどのように満たしているか 施設への物理的なアクセスのために、すべてのスタッフと請負業者にはオンボーディング時にセキュリティ バッジが発行されます。人事情報システムのプロファイルを終了して閉じると、物理的なアクセスが自動で無効になります。 | |
| 説明 ePHI にアクセスするすべてのワークステーションに物理的な保護対策を実装する | この要件をどのように満たしているか アトラシアンは、管理プラットフォームに登録されている既知のデバイスからのみアクセスを許可するゼロトラスト ネットワークを実装しました。保存するデータと接続するシステムに応じて、アプリケーションをセキュリティ階層に配置しました。この階層型ネットワークは、高、低、オープンの各層です。デバイスの種類とセキュリティ体制が評価されて、アクセスできるアプリケーションが決定されます。 | |
| 説明 ePHI とそれが格納されているハードウェアの最終的な処分に関する手順 | この要件をどのように満たしているか 返却されたノートパソコンを再デプロイまたは廃棄される前に初期化します。データの盗難を防ぐために、紛失または盗難にあったノートパソコンの手続きも設定されています。 | |
| ポリシーと手順 | 説明 ドキュメントは作成日または最後に有効であった日から 6 年間保管する | この要件をどのように満たしているか すべてのポリシーは、指定のポリシー所有者によって少なくとも年に 1 回レビューされて無期限に保持されます。ポリシーのスナップショットについては、アトラシアンのセキュリティ & テクノロジー ポリシーをご覧ください。 |
| 説明 ePHI の不適切な改ざんを防ぐセキュリティ対策 | この要件をどのように満たしているか 当社は、HIPAA 認定クラウド製品のデータを保存時に暗号化しています。さらに、パブリック ネットワークを介して送信されるデータを暗号化して、データが意図した宛先に確実に届くようにします。 | |
| 説明 常に該当する場合に ePHI を暗号化する仕組み |
認定資格
現在、HIPAA に関連する認定資格はありません。健全なテクノロジーを認定する機関がソフトウェアを承認、または独立した認証機関がビジネス アソシエイトまたは対象エンティティに対して HIPAA 認証を付与する権限を与えません。したがって、HIPAA 準拠という公式の認定資格はありません。ただし、アトラシアンのクラウド製品は、セキュリティ、プライバシー、コンプライアンスの各管理の運用上の有効性について独立した検証を毎年受けています。独立した認証機関が監査を実施して、アトラシアンにはすべての HIPAA 規制を遵守していることを保証するために必要な管理とプラクティスを備えていることが確認されています。