HIPAA設定
この記事では、NotionワークスペースをHIPAAに準拠させるために必要なNotionの設定を紹介します 🏥
よくあるご質問(FAQ)に移動医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act、HIPAA)は、1996年に制定された米国連邦法であり、医療従事者、医療保険、医療クリアリングハウスなどの対象事業体とその業務関連会社に対して、保護対象保健情報(PHI)の保護と機密保持を義務付けるものです。
この記事では、NotionワークスペースをHIPAAに準拠させるために必要なNotionの設定を紹介します。
備考: Notionの業務提携契約(BAA)では、Notionサービスに保存される個人健康情報(PHI)の保護について規定されています。NotionとBAAを締結するには、エンタープライズプランにご登録いただく必要があります。
NotionカレンダーおよびNotionカレンダーの機能はBAAの対象外であるため、保護対象の健康情報を処理するような方法で使用、導入することはできません。
このページ上の文言とBAAの文言に矛盾がある場合は、BAAが優先されるものとします。
Notionでサポートされている設定 | |
|---|---|
アクセス管理 電子的に保護された医療情報を保持する電子情報システムに対して、アクセス権を付与された個人またはソフトウェアプログラムのみにアクセスを許可する技術的なポリシーと手順を導入すること。 | NotionのSAML SSOはSAML 2.0標準を基に構築されており、IDプロバイダー(IdP)とワークスペースを接続して、より簡単で安全なログイン体験を実現します。Notionは、Azure、Google、Gusto、Okta、OneLogin、Ripplingを使用したSAML SSOの公式設定をサポートしています。
• 追加のワークスペースをリンクする: SSOを使用して構成するワークスペースが複数ある場合は、team@makenotion.comにご連絡いただければ設定のサポートをいたします。 正しく設定されると、ワークスペースにサインインするメンバーは検証済みドメインのメールアドレスを使用し、指定のIDプロバイダーを介して認証を受けることになります。エンタープライズプランのワークスペースオーナーは、IdPやSAML SSOに障害が発生した場合に備えて、代わりに別のログイン方法を使用することができます。 |
一意のユーザーID ユーザーIDを識別し追跡するため、一意の名前や番号を割り当てること。 | NotionにはSCIM APIがあり、メンバーとグループのプロビジョニング、管理、プロビジョニング解除に使用できます。設定に必要なAPIキーを見つけるには、ワークスペースオーナーの権限で |
緊急アクセス手順 緊急時に必要な電子的な保護対象保健情報を取得する手順を確立し、必要に応じて導入すること。 | コンテンツ検索により、エンタープライズプランのワークスペースオーナーはワークスペースのコンテンツを可視化して、次のようにワークスペースのガバナンス強化やページアクセスの問題解決を行うことができます。 |
自動ログオフ 事前に設定した時間、非アクティブな状態が続いた後に電子セッションを終了する電子的手順を導入すること。 | カスタムのセッション時間を設定する: エンタープライズプランの管理対象ユーザーの場合、Notionのデフォルトのセッション時間は180日間です。ただし、ワークスペースオーナーは、このセッション時間を1時間から180日間の範囲でカスタマイズできます。 |
監査対応 電子的に保護された医療情報を含む、または使用する情報システムにおけるアクティビティを記録および調査するハードウェア、ソフトウェア、または手続き型メカニズムを導入すること。 | エンタープライズプランのワークスペースオーナーは、 この機能は、潜在的なセキュリティ上の問題の特定、疑わしい動作の調査、アクセスのトラブルシューティングなどにご活用いただけます。ワークスペースの監査ログはCSV形式でエクスポートできます。 エンタープライズのお客様は、当社のデータ損失防止(DLP)パートナーインテグレーションを利用して、Notion内の機密データを検出、分類、保護することもできます。 |
完全性の管理 電子的に保護された医療情報を不適切な変更や破壊から保護するためのポリシーと手順を導入すること。 | ページのWeb公開を無効にする: このワークスペースのすべてのページで、「共有」メニューの「Webで公開」オプションが無効になります。 |
個人またはエンティティの認証 電子的に保護された医療情報へのアクセスを求めている個人またはエンティティが、主張されている個人またはエンティティそのものであることを確認する手順を導入すること。 | プロフィールの変更を無効にする: なりすましを避けるため、管理対象ユーザーが自身のプロフィール情報を変更できないようにします。 |
データの保持と破棄 電子的なPHIや、電子的なPHIが保存されているハードウェアまたは電子媒体の、最終的な破棄に対処するためのポリシーと手順を導入すること。 | ゴミ箱を1回で完全に空にする方法はなく、個々のページを永久に削除するには、ゴミ箱の中での操作が必要となります。ゴミ箱から削除したページは、30日後にNotionのサーバーから削除されます。 弊社が保持するデータベースバックアップにより、必要に応じて過去30日分のコンテンツのスナップショットを復元することができます。 |
転送のセキュリティ 電子的な通信ネットワークを介して転送される電子的に保護された医療情報を不正アクセスから保護するための技術的なセキュリティ対策を導入すること。 | 保存中の暗号化: ユーザーデータは保存中、AES-256を使用して暗号化されています。ユーザーデータがNotionの内部ネットワーク上、クラウドストレージ、データベーステーブル、バックアップに保存されているときに、データは暗号化されています。 |
備考: エンタープライズプランのワークスペースオーナーは、IdPやSAML SSOに障害が発生した場合に備えて、代わりに別のログイン方法を使用することができます。
よくあるご質問(FAQ)
HIPAAコンプライアンスを有効にするための費用はどれくらいですか?
HIPAAコンプライアンスは、メンバーが100人を超えるエンタープライズプランのお客様に無償で提供されます。
お客様は、Notionの業務提携契約(BAA)に同意し、HIPAA、BAA、HIPAA製品設定ガイドに準拠した方法でNotionを利用する必要があります。
詳しくは、Notionチーム(team@makenotion.com)までお問い合わせください。
HIPAAコンプライアンスを有効にする場合、製品にはどのような制限がありますか?
患者、プランメンバー、その家族、雇用主とのコミュニケーションにNotionを使用することはできません。
ユーザーは、以下のフィールドまたは機能にPHIを含めることはできません:
ワークスペース名または組織名
チームスペース名
ファイル名
アカウント/ユーザープロフィール
ユーザーグループの名前
サポートリクエストおよびサポートリクエストの添付ファイルには、いかなるPHIも含めないでください。
Notion AIアドオンおよびNotion AIの機能は、BAAの対象ワークスペースで使用/導入することはできず、そのような機能はBAAにおけるNotionのコミットメントの対象ではありません。
CronおよびCronの機能はBAAの対象外であるため、保護対象の健康情報を収集または処理するような方法で使用/導入しないでください。
インテグレーションは引き続き利用できますか?
はい、以前に有効化されたアプリは引き続き有効です。管理者は、使用されている既存のインテグレーションをレビューし、準拠していることを確認する必要があります。管理者は、許可リストに登録されていない新しいインテグレーションの追加を無効にすることができます。
