このヘルプ記事は、保護された医療情報 (PHI) を保存または処理するために Smartsheet のサブスクリプション サービスを使用する資格がある、セキュリティ担当者、コンプライアンス担当者、IT 管理者、および Smartsheet のお客様 (お客様、お客様の従業員など) のその他の従業員が、経済的および臨床的健康のための医療情報技術 (HITECH) 法 (HITECH Act) を含む、改正された医療保険の相互運用性と説明責任に関する法律 (HIPAA) に基づく義務を果たすことを目的としています。

プラン

• Smartsheet

プラン タイプと含まれる機能の詳細については、 「Smartsheetプラン」ページを参照してください。

許可

Enterprise ユーザーのみが、HIPAA に基づく義務を果たすために必要なSmartsheet の機能を実装できます。

この機能がSmartsheetリージョンまたはSmartsheet Gov に含まれているかどうかを確認してください。

この記事は法的アドバイスを構成するものではなく、またそれを意図したものでもありません。代わりに、この記事で提供されるすべての情報は、HIPAA コンプライアンスへの取り組みの一環として確認することを目的としています。

ここで使用されているが定義されていない大文字の用語には、HIPAA または Smartsheet のサブスクリプション ベースのオンライン サービスの使用を管理する契約 (サブスクリプション契約) に基づいて割り当てられた定義が適用されるものとします。

HIPAA

HIPAA は、医療プラン、医療情報交換機関、および医療提供者 (対象事業体) が保護医療情報 (PHI) と呼ばれる患者情報にアクセス、使用、または開示する方法に関する国家基準を確立する連邦法です。

HIPAA に基づいて確立された国家基準は、対象事業体 (業務提携者) またはその下請け業者 (業務提携下請け業者) にサービスを提供し、彼らに代わって PHI と連絡を取る下請け業者にも適用される場合があります。 HIPAA は米国保健福祉省によって施行されます。

サービスの説明

Smartsheet は、顧客が HIPAA に基づく義務を遵守できるように設計された追加のセキュリティ対策を備えたサブスクリプション ベースのオンライン サービスとアプリケーション (まとめてサブスクリプション サービス) を顧客に提供します。

Smartsheet は、SANS Institute、National Institute of Standards and Technology (NIST)、および/または Center for Internet Security (CIS) の勧告、または HIPAA の下での義務を遵守できるように設計された業界で広く使用されている後継の標準と一致するアプローチで、ハードニングおよび構成要件を実装します。

お客様またはお客様のユーザーがオンライン サービスにアップロードまたは送信するデータ、添付ファイル、テキスト、画像、レポート、個人情報、またはその他のコンテンツで、お客様のためにまたはお客様のために Smartsheet が処理するものは、暗号化された形式 (転送中および静止時) で管理されます。お客様がオンライン サービスに提出するデータは、論理的分離と同等の保護を提供するセキュリティ管理により、不正アクセスから保護されます。

Smartsheet は、顧客データを処理する下請業者と業務提携契約を締結します。これにより、PHI を含む添付ファイルをサブスクリプション サービスに保存できるようになり、HIPAA 義務を果たすことができます。

サードパーティと統合したり、サードパーティを通じて添付ファイルを保存したりする場合は、適切な管理と契約が確実に実施されるようにすることは、お客様の単独の責任となります。 Smartsheetは、その処理およびサービスに送信するデータの種類または内容に関して、データに依存しません。

Smartsheet は、(a) サービスまたはサポートの提供を可能にするためにお客様から要求された場合、および (b) Smartsheet が (i) 適用される法律または法的手続きに従う場合、または (ii) 不正使用、詐欺、またはサブスクリプション契約の違反の疑いに対して調査、防止、または措置を講じる場合に必要な場合に限り、お客様のデータの実質にアクセスまたは分析します。

第三者評価機関（3PAO）

Smartsheet は、サードパーティ評価機関 (3PAO) を利用して、サブスクリプション サービスに関するセキュリティ対策の適切性を毎年検証しています。この監査は、

(a) 前回の測定期間が終了してからの全測定期間のテストが含まれます。

(b) AICPA SOC2 規格または AICPA SOC2 と実質的に同等の他の代替規格に従って実行されます。

(c) Smartsheet の選定と費用負担で、独立したサードパーティのセキュリティ専門家によって実行されます。そして、

(d) その結果、サブスクリプション サービスに関する監査レポート (監査レポート) が生成され、 Smartsheetによって一般に利用可能になります。

監査レポートは、書面による要求に応じて、監査レポートを対象とする機密保持条件に相互に同意することを条件として、年に 1 回のみ入手できます。誤解を避けるため、お客様が利用できる監査レポートは Smartsheet の機密情報となります。

顧客の責任

PHI をオンライン サービスに保存するには、Enterprise (レガシー Enterprise を除く) プランを利用しており、Smartsheet の業務提携契約 (BAA) を締結している必要があります。

Enterprise ユーザーのみが、HIPAA に基づく義務を果たすために必要なSmartsheet の機能を実装できます。より詳細なユーザー監査機能が必要であると判断した場合は、Event Reportingを利用するか、 Smartsheet Advanceにアクセスすることをお勧めします。

責任共有モデル

Smartsheet は、ユーザーとSmartsheetの間で Software-as-a-Service (SaaS) 責任共有モデルを採用しています。 Smartsheet は、お客様が規制遵守要件を満たすことを可能にする措置をプラットフォームに提供する責任を負います。これらの対策には、以下の図 1 に概説されている保護、検出、および対応機能を組み込むことによる情報システムの復元の提供が含まれます。具体的な制御手順と推奨事項については、以下の「セキュリティ設定を構成するお客様の責任」セクションを参照してください。

お客様には、 Smartsheetとの業務提携契約が必要かどうかを判断し、お客様とお客様のユーザーが HIPAA に基づく義務に従ってサブスクリプション サービスを使用することを保証する責任があります。これには、HIPAA コンプライアンス義務を満たすために必要と思われる、Smartsheet が提供するカスタマイズ可能なセキュリティ コントロールを理解して実装することが含まれます。

セキュリティ設定を構成するお客様の責任

Smartsheet には、データの安全性を確保するために設計されたカスタマイズ可能な設定が用意されています。これらの設定は、サブスクリプション サービスに送信した PHI が、ユーザーの指示に従って、および/またはユーザーとSmartsheetの間の BAA の許可に従って使用および/またはアクセスされるように設計されています。オンライン サービスの使用により HIPAA 義務を確実に履行できるようにする義務は、お客様のみが責任を負います。

詳細と手順については、「エンタープライズ プランのセキュリティ制御の構成」およびその他の関連ヘルプ記事を参照してください。

追加リソース

以下にリンクされている追加リソースは、HIPAA 固有ではありませんが、プライバシー、機密性、データの可用性を念頭に置いてサブスクリプション サービスがどのように設計されているかを理解するのに役立ちます。

• Smartsheet のプライバシーに関する通知

• Smartsheetのヘルプ記事

• ヘルスケア向けSmartsheet

このヘルプ記事は情報提供のみを目的としています。各顧客は、法的遵守義務をサポートするために適切なサブスクリプション サービスの使用を独自に評価する必要があります。 Smartsheet は、このドキュメントの情報について、明示的、黙示的、法定的を問わず、いかなる保証も行いません。

HIPAA に関するさらなるサポートについては、当社の財務チームまでご連絡ください。