健康データとアドビの本製品およびサービス

[最終更新日：2025年3月]

アドビはHealthcare Shieldを拡張し、適用される医療プライバシー法規制の対象となる可能性のある消費者の健康データを受け入れるHealth Data-Readyサービスを提供します。アドビの健康データ対応製品およびサービスを利用するお客様は、現在の保護対象健康情報（PHI）の提出に加えて、消費者の健康データの追加カテゴリーをアドビに提出できます。これらは1995年の医療保険の携行性と責任に関する法律（HIPAA）で規制されています。

アドビは、自社のニーズを評価したうえでユースケースに最適な製品を判断することをお客様に推奨してします。アドビのHIPAA対応サービスについて詳しくは、こちらを参照してください。

健康関連データ の取り扱い

アドビによるHealthcare Shieldの拡張により、必ずしもPHIと定義されていない消費者の健康データを提出することができるようになりました。

アドビは、消費者の健康データを扱うものの医療業界に属さないお客様向けに、消費者の健康データを受け入れることができるサービスを提供しており、これらを健康データ対応サービスと呼んでいます。健康データ対応サービスには、HIPAAで対象事業者または業務提携者と定義されていなくても消費者の健康データを扱う可能性のあるお客様が、適切なプライバシーおよびセキュリティ規制を遵守できるよう、追加の機能が備わっています。これらの追加機能により、ライセンスまたはサブスクリプション料金が上がる場合があります。

アドビは、健康データ対応サービスではないアドビの製品およびサービスで消費者の健康データを作成、受信、維持、または送信することをお客様に許可していません。これは、アドビがこれらのサービスをお客様およびアドビの健康データ規制に合わせて設計していないためです。

現在、健康データ対応サービスは米国を拠点とするお客様のみが利用できます。

現在の健康データ対応サービスには以下が含まれています。

Adobe Customer Journey Analytics（CJA） ¹
Adobe Journey Optimizer（AJO） ²
Adobe Real-Time Customer Data Platform（RTCDP）B2P（Consumer Audiences）Prime およびUltimateエディション ³
Adobe Real-Time Customer Data Platform（RTCDP）B2C PrimeおよびUltimateエディション ³

医療ビジネスシナリオにおけるAdobe Experience Cloudソリューションの活用方法について詳しくは、Adobe Trust Centerに掲載されているホワイトペーパー「Adobe Experience Cloud for Healthcare Solutions Overview」を参照してください。

¹CJA Labを除く。CJA Labは HIPAA対応CJAサービスではありません。詳しくは こちらを参照してください。
²連合オーディエンス構成を除く。連合オーディエンス構成はHIPAA対応AJOサービスではありません。
³イベント転送、連合オーディエンス構成を除く。これらはHIPAA対応または健康データ対応のRTCDPサービスではありません。

共有セキュリティ責任

アドビの健康データ対応サービスは、共有責任セキュリティモデルにもとづいています。このモデルでは、お客様とアドビがそれぞれ異なる責任を負い、消費者の健康データのセキュリティを維持します。アドビは、健康データに関する要件を遵守するために、お客様が管理する特定の設定の実装をお客様に委ねています。また、健康データ対応サービスを使用する際のコンプライアンス義務を満たすため、お客様向けに設定に関する推奨事項も提供しています。また、健康データ対応サービスを利用する際にお客様自身が遵守義務を果たせるよう、設定に関する推奨事項も提供しています。

共有責任セキュリティ

以下では、健康データに関する主要基準にアドビがどのように対応しているかを説明し、お客様の健康データ対応遵守を支援するための推奨事項をいくつか紹介します。

基準

技術的セーフガード

アクセス制御

アドビは、各ユーザーへの一意の識別子の割り当て（識別子の再利用を防止）、許可されたユーザーのみに健康データへのアクセスを制限、健康データへのアクセスが不要になった場合に終了、および緊急時の健康データの開示をおこなうための方針、手順、技術的管理を実施しています。また、お客様が自社ユーザーの健康データへのアクセスを制御するためのツールも提供しています。

暗号化と復号化

アドビは、公共ネットワーク上で送信される健康データおよび保存時の健康データの暗号化を提供しています。お客様は、健康データ対応サービスを使用して暗号化なしで健康データを送信または保存する場合、暗号化が合理的かつ適切でないと判断した理由を文書化する必要があります。

監査管理

アドビは、Real-time Customer Data Platformでのユーザーアクティビティへのアクセスとログ記録を管理しています。

セッションタイムアウト

アドビのシステムは、許可された担当者やユーザーが健康データにアクセスまたは通信する際、事前に定義された期間が経過した後、またはユーザーがセッションを終了した時点で、非アクティブなセッションを終了するよう設定されています。

完全性制御

アドビは、健康データが不適切に変更または破壊されないよう、技術的セキュリティ対策を実施しています。詳しくは、www.adobe.com/jpを参照してください。

基準

管理的セーフガード

リスク分析と管理

アドビは、リスクを合理的かつ適切なレベルに低減するための対策を実施しており、これには自社のリスク分析や、アドビが管理する健康データに関するリスク管理計画が含まれます。お客様には、健康データ対応サービスの使用を含む独自のリスク分析を実施すること、および健康データ対応サービスのセキュリティ機能を活用してセキュリティリスクを合理的かつ適切なレベルに低減することをお勧めします。

情報システム活動の確認

アドビは定期的にユーザーのアクセス権限を確認しています。お客様には、健康データ対応サービスを通じて利用可能な監査ログを使用し、ユーザーの健康データへのアクセスを定期的に確認することをお勧めします。

従業員のセキュリティ研修

アドビは、健康データを保護するための方針と手順について従業員を教育し、最新の情報を提供するセキュリティ意識向上プログラムを確立しています。これには、違反者への適切な制裁措置や、健康データを扱うシステムへのアクセス権限の剥奪も含まれます。お客様には、健康データ対応サービスで健康データを適切に取り扱うよう、ユーザーにトレーニングを実施することをお勧めします

緊急時対応計画

アドビは緊急時対応計画を策定し、定期的にテストを実施しています。これにより、緊急事態や災害、システム障害が発生した場合でも健康データを復元できます。お客様も独自の緊急時対応計画を策定し、健康データ対応サービスで管理されているPHIを緊急時に利用できるようにすることをお勧めします。

基準

物理的セーフガード

施設へのアクセスと管理

アドビは、ソフトウェアエンジニアや施設管理者を含め、健康データの受信、維持、送信をおこなう場所への物理的なアクセスを厳重に管理しています。また、不正アクセス、改ざん、盗難を防ぐための方針と手順を整備しています。お客様には、ユーザーが健康データ対応サービスにアクセスする施設の物理的なセキュリティ対策を講じることをお勧めします。

ワークステーションとデバイスの管理

アドビは、健康データへのアクセスを必要とする従業員に対して承認を義務付ける方針と基準を設けています。これには、立ち入り制限区域への物理的なアクセス、同区域内のワークステーション、プライバシースクリーン付きのワークステーションやモニターの配置などが含まれます。お客様には、健康データ対応サービスにアクセスするワークステーションのセキュリティ対策を講じることをお勧めします。

ハードウェアとインフラストラクチャのインベントリ管理

アドビは、健康データを取り扱う権限を持つ従業員のハードウェアとインフラストラクチャの完全なインベントリを管理しています。これには、メンテナンス記録や各アイテムの移動記録も含まれます。

廃棄

アドビは、健康データを適切に消去・削除するための実践的な手順を設けています。これには、機器の移動前の処分も含まれます。お客様には、健康データ対応サービスから健康データをダウンロードするデバイスを特定し、不要になった際に適切に処分することをお勧めします。

バックアップと復元

アドビは、健康データが不適切に変更または破壊されないよう、技術的なセキュリティ対策を実施しています。お客様には、健康データ対応サービスで管理している健康データのバックアップと復元が必要な範囲を特定することをお勧めします。

追加情報

HIPAA-Re対応サービスの設定については、Experience Leagueで公開されている製品ドキュメントを参照してください。

HIPAA対応サービスに関するアドビのBAA

HIPAA対応サービスに関するアドビのBAA（事業提携契約）の締結については、アドビの営業担当者またはカスタマーサクセスマネージャーにお問い合わせください。

免責事項

この情報は、事業提携者としてのアドビが、HIPAAセキュリティ規則の主要基準にどのように対応しているかを説明することを目的としています。法的助言として意図されたものではなく、そのように解釈されるべきではありません。お客様は、HIPAA対応サービスの特定の使用方法と、アドビのHIPAA対応サービスがコンプライアンス要件を満たしていることを確認する責任があります。