.

HIPAAとアドビの製品およびサービス

[最終更新日:2025年1月]

アドビは、医療業界に特有のプライバシーとセキュリティに関するニーズに応えるため、革新と変化を続けています。

医療保険の携行性と責任に関する法律

1996年に制定された医療保険の携行性と責任に関する法律(HIPAA)の行政簡素化の条文では、米国保健福祉省が特定の個人識別可能な健康情報のプライバシーとセキュリティを管理する基準を公布することを規定しています。HIPAAは2009年の医療情報技術の経済および臨床健康に関する法律(HITECH法)によって大幅に改正され、データ侵害通知要件の追加およびHIPAAの適用範囲拡大がおこなわれました。HIPAA のプライバシー、セキュリティ、および侵害通知規則は、HIPAA対象事業者または提携事業者によって作成、受信、維持、または送信される際の、保護健康情報(PHI)と呼ばれる個人識別可能な健康情報に対する重要な保護を確立しています。「対象事業者」とは、医療提供者、健康保険プラン、または医療クリアリングハウスを指します。「提携事業者」とは、対象事業者の従業員以外の事業体または個人で、PHIの作成、受信、維持、または送信を含む対象事業者のための機能や活動を実行したり、特定のサービスを提供したりする者を指します。

HIPAAのプライバシーおよびセキュリティ規則では、対象事業者が提携事業者から書面による保証を得ることを義務付けています。これは提携事業者契約(BAA)の形でおこなわれ、対象事業者のPHIのプライバシーとセキュリティの保護をことを提携事業者に求めます。

アドビへのPHI提供

アドビは、医療関連のお客様にPHIを受け入れることができるサービスを提供しており、これらを HIPAA対応サービス呼んでいます。これらのHIPAA対応サービスには、対象事業者または提携事業者であるお客様とアドビの双方が、それぞれのHIPAA義務を遵守できるようにする追加機能が備わっています。これらの追加機能により、ライセンスまたはサブスクリプション料金が上がる場合があります。

PHIを処理するためにHIPAA対応サービスのライセンスを取得するお客様は、アドビとの間で当該サービスに適用されるBAA(事業提携契約)を締結する必要があります。お客様は、アドビとの間で締結したライセンス契約およびBAAに従い、HIPAA対応サービスを通じてのみPHIを提供することができます。HIPAA対応サービス以外のアドビ製品およびサービスは、お客様およびアドビのHIPAA遵守をサポートするよう設計されていないため、PHIの作成、受信、維持、または送信に使用できません。

現在のHIPAA対応サービス一覧:

  • Adobe Acrobat Sign
  • Adobe Acrobat Sign for Government
  • Adobe Experience Manager Cloud Service
  • Adobe Workfront
  • Adobe Customer Journey Analytics 1
  • Adobe Journey Optimizer 2
  • Adobe Marketo(EngageおよびSales Connectのみ)
  • Adobe Experience Platform
  • Adobe Real-time CDP 3
  • Adobe Experience Manager Managed Services
  • Adobe Connect Managed Services
  • Adobe Commerce on Cloud
  • Adobe Commerceマネージドサービス版

医療ビジネスシナリオにおけるAdobe Experience Cloudソリューションの活用方法について詳しくは、Adobe Trust Centerに掲載されているホワイトペーパーAdobe Experience Cloud for Healthcare Solutions Overview」を参照してください。

HIPAAにおける共同責任

アドビのHIPAA対応サービスは、共同責任セキュリティモデルにもとづいており、PHIのセキュリティ維持に関してお客様とアドビがそれぞれ明確な責任を負います。このモデルでは、アドビはHIPAAセキュリティ規則の要件を満たすために、お客様が管理する特定の設定の実装をお客様に委ねています。また、HIPAA対応サービスを利用する際にお客様自身がHIPAA遵守義務を果たせるよう、設定に関する推奨事項も提供しています。

共同責任セキュリティモデル

以下では、電子保護健康情報(ePHI)に関するHIPAAセキュリティ規則の主要基準にアドビがどのように対応しているかを説明し、お客様のHIPAA遵守を支援するための推奨事項をいくつか紹介します。

CJA Labを除く。CJA Labは HIPAA対応CJAサービスではありません。詳しくは ちら参照してください。
2連合オーディエンス構成を除く。連合オーディエンス構成はHIPAA対応AJOサービスではありません。
3Real-Time CDP Collaboration、イベント転送、連合オーディエンス構成を除く。これらはHIPAA対応RTCDPサービスではありません。
4Adobe Commerce on CloudおよびAdobe Commerce on Managed Servicesを除く。これらは Adobe Commerce固有の共有責任セキュリティモデル対象となります。

基準
技術的セーフガード
アクセス制御
アドビは、各ユーザーへの一意の識別子の割り当て(識別子の再利用を防止)、許可されたユーザーのみにePHIアクセスを制限、ePHIアクセスが不要になった場合に終了、および緊急時のePHIの開示をおこなうための方針、手順、技術的管理を実施しています。また、お客様が自社ユーザーのePHIアクセスを制御するためのツールも提供しています。
暗号化と復号化
アドビは、公共ネットワーク上で送信されるePHIおよび保存時のePHIの暗号化を提供しています。お客様は、HIPAA対応サービスを使用して暗号化なしでePHIを送信または保存する場合、暗号化が合理的かつ適切でないと判断した理由を文書化する必要があります。
監査管理
アドビは、Real-time Customer Data Platformでのユーザーアクティビティへのアクセスとログ記録を管理しています。
セッションタイムアウト
アドビのシステムは、許可された担当者やユーザーがePHIにアクセスまたは通信する際、事前に定義された期間が経過した後、またはユーザーがセッションを終了した時点で、非アクティブなセッションを終了するよう設定されています。
完全性制御
アドビは、ePHIが不適切に変更または破壊されないよう、技術的セキュリティ対策を実施しています。詳しくは、www.adobe.com/jp参照してください。
基準
管理的セーフガード
リスク分析と管理
アドビは、リスクを合理的かつ適切なレベルに低減するための対策を実施しており、これには自社のリスク分析や、アドビが管理するePHIに関するリスク管理計画が含まれます。お客様には、HIPAA対応サービスの使用を含む独自のリスク分析を実施すること、およびHIPAA対応サービスのセキュリティ機能を活用してセキュリティリスクを合理的かつ適切なレベルに低減することをお勧めします。
情報システム活動の確認
アドビは定期的にユーザーの電子保護健康情報(ePHI)へのアクセスを確認しています。お客様にも、HIPAA対応サービスを通じて利用可能な監査ログを活用し、ユーザーのePHIアクセスを定期的に確認することをお勧めします。
従業員のセキュリティ研修
アドビは、ePHIを保護するための方針と手順について従業員を教育し、最新の情報を提供するセキュリティ意識向上プログラムを確立しています。これには、違反者への適切な制裁措置や、ePHIを扱うシステムへのアクセス権限の剥奪も含まれます。お客様には、HIPAA対応サービスでePHIを適切に取り扱うよう、ユーザーにトレーニングを実施することをお勧めします。
緊急時対応計画
アドビは緊急時対応計画を策定し、定期的にテストを実施しています。これにより、緊急事態や災害、システム障害が発生した場合でもePHIを復元できます。お客様も独自の緊急時対応計画を策定し、HIPAA対応サービスで管理されているPHIを緊急時に利用できるようにすることをお勧めします。
事業提携契約(BAA)
アドビのBAAは、お客様に対するアドビの責任を説明するもので、お客様がHIPAA対応サービスを導入する際に締結できます。また、アドビは下請業者とも同様のBAAを締結しています。
基準
物理的セーフガード
施設へのアクセスと管理
アドビは、ソフトウェアエンジニアや施設管理者を含め、ePHIの受信、維持、送信をおこなう場所への物理的なアクセスを厳重に管理しています。また、不正アクセス、改ざん、盗難を防ぐための方針と手順を整備しています。お客様には、ユーザーがHIPAA対応サービスにアクセスする施設の物理的なセキュリティ対策を講じることをお勧めします。
ワークステーションとデバイスの管理
アドビは、ePHIへのアクセスを必要とする従業員に対して承認を義務付ける方針と基準を設けています。これには、立ち入り制限区域への物理的なアクセス、同区域内のワークステーション、プライバシースクリーン付きのワークステーションやモニターの配置などが含まれます。お客様には、HIPAA対応サービスにアクセスするワークステーションのセキュリティ対策を講じることをお勧めします。
ハードウェアとインフラストラクチャのインベントリ管理
アドビは、ePHIを取り扱う権限を持つ従業員のハードウェアとインフラストラクチャの完全なインベントリを管理しています。これには、メンテナンス記録や各アイテムの移動記録も含まれます。
廃棄
アドビは、電子保護健康情報(ePHI)を適切に消去・削除するための実践的な手順を設けています。これには、機器の移動前の処分も含まれます。お客様には、HIPAA対応サービスからePHIをダウンロードするデバイスを特定し、不要になった際に適切に処分することをお勧めします。
バックアップと復元
アドビは、ePHIが不適切に変更または破壊されないよう、技術的なセキュリティ対策を実施しています。お客様には、HIPAA対応サービスで管理している保護健康情報(PHI)のバックアップと復元が必要な範囲を特定することをお勧めします。

追加情報

HIPAA対応サービスの設定に関する情報は、Experience League公開されている製品ドキュメントを参照してください。

HIPAA対応サービスに関するアドビのBAA

HIPAA対応サービスに関するアドビのBAA(事業提携契約)の締結については、アドビの営業担当者またはカスタマーサクセスマネージャーにお問い合わせください。

免責事項

この情報は、事業提携者としてのアドビが、HIPAAセキュリティ規則の主要基準にどのように対応しているかを説明することを目的としています。法的助言として意図されたものではなく、そのように解釈されるべきではありません。お客様は、HIPAA対応サービスの特定の使用方法と、アドビのHIPAA対応サービスがコンプライアンス要件を満たしていることを確認する責任があります。