m

HIPAA準拠とSurveyMonkey

HIPAAは自分に適用されますか?お客様が「被保険の団体」(HIPAAにより定義) であり、SurveyMonkeyを使用してPHI(一般に、個人的に受け取る医療情報にリンクする個人名や連絡先など、個人に関連する健康状況、医療の内容、医療費の支払いに関する情報)を収集し保存する場合、SurveyMonkeyの使用でHIPAAが提供されます。

Health Insurance Portability and Accountability Act of 1996(HIPAA:米国における医療保険の相互運用性と説明責任に関する法令)は、保護対象の健康情報(PHI)の収集と処理を規制する米国法です。「被保険の団体」という特定の組織とその事業提携者は、HIPAAに準拠する義務があります。

SurveyMonkeyでは、「HIPAA準拠」とは、被保険の団体がHIPPAに準拠した方法でアンケートからPHIを収集、管理できるサービスが提供されていることを意味します。このサービス提供の一環として、SurveyMonkeyでは、これらの法律と被保険の団体に対する事業提携者としてのSurveyMonkeyの役割に対応した形で運営を行っています。

アカウントまたはチームでHIPAA準拠機能を有効にするには、SurveyMonkeyと提携事業者契約(BAA)を結ぶ必要があります。SurveyMonkeyのサービス規約により、規制団体がPHIを収集できるのは、提携事業者契約(BAA)が締結されているときに、「HIPAA対応アカウント」を使って収集した場合に限られます。ただし、アンケートで収集するPHIに関して、HIPAAの規制対象外のお客様は、SurveyMonkeyと提携事業者契約を結ぶ必要はありません。

HIPAA機能

SurveyMonkeyの提携事業者契約

SurveyMonkeyには、HIPAAの要件を満たし、被保険の団体が各自のSurveyMonkeyアカウント内でアクセスできる 標準の提携事業者契約書があります。被保険の団体が提携事業者契約を承諾すると、団体に代わって署名を行う個人の名前と役職が、承諾日とともに記録されます。提携事業者契約のコピーは、[マイアカウント]ページからダウンロードしたり、今後の参照用に入手したりできます。提携事業者契約を結ぶと、アカウントはHIPAA対応アカウントに変換されます。

被保険の団体の中には、事業提携者との提携事業者契約内に特定の項目を含める必要がある場合があると当社では認識しています。当社では追加料金なしでHIPAA対応アカウントを提供しているため、カスタム形式の提携事業者契約書では交渉は行っていません。ただし、標準の提携事業者契約書に関しては、有料で交渉を行っています。

カスタム形式の提携事業者契約書の交渉に興味をお持ちの方は、以下のフォームを記入してください。提携事業者契約の交渉

SurveyMonkey採用しているHIPAAセキュリティ対策

HIPAAで定められているように、当社では、HIPAA対応アカウントに関して、被保険の団体に代わって受信、維持、および転送する電子保護対象の健康情報の機密性、完全性、および可用性を妥当かつ適切に保護する管理的、物理的、および技術的な手段を実装します。これらの手段には、次のようなセキュリティ規則で定められた手段が含まれます。

  • システムを定期的にリスク評価し、手段が関連性と効果を維持していることを確認する
  • セキュリティチームを割り当て、HIPAAのセキュリティ要件に準拠していることを確認する
  • お客様のPHIを取り扱うSurveyMonkeyスタッフの審査、承認、トレーニング
  • データのバックアッププラン
  • 災害リカバリープラン
  • システムの定期的な監視、更新、修正
  • 問題応答プラン(影響を受ける被保険の団体へのセキュリティ問題の報告を含む)
  • SSLで暗号化されたSurveyMonkeyサーバーとのあらゆる通信

詳細については、セキュリティについてを参照してください。

機能リスト

HIPAA準拠機能を有効にすると、HIPAAで定められた次の機能がアカウントで有効になります。これらの機能を使用すると、被保険の団体は各自のHIPAAの責務に準拠できます。

  • セキュリティリマインダー:当社では、PHIに関する特定の機密操作(サードパーティと共有される可能性のあるアンケートデータのエクスポートなど)を行うたびに表示される、インプロダクトメッセージを使って、ユーザーにHIPAAの責務についてリマインダーを送っています。
  • 自動ログオフ:ユーザーセッションは30分以上使用していないとタイムアウトします。
  • BAA:アカウント内のBAAのコピーをいつでも閲覧できます。
  • ログ記録:アンケートデータへのアカウントアクセス活動や変更内容を詳細に示したログ記録を表示します。HIPAA対応アカウントに関連したさまざまなイベントをタイムスタンプ、ID(IPアドレスやアカウントユーザー名)、イベントタイプごとにログに記録します。ログに記録するイベントタイプは次のとおりです。
    • アカウントへのログインの成功/失敗
    • アカウントの手動ログアウト
    • アカウントのパスワードのリセット要求
    • アカウントのユーザー名の要求
    • コレクターの削除と開閉
    • アンケート回答のエクスポート
    • アンケート回答の共有と共有解除
    • アンケート回答の削除
    • APIアプリケーションの承認と承認解除
    • 別のアカウントへのアンケートの移行
    • ユーザーまたはSurveyMonkey管理者がイベントを実施したかどうか

現時点では、オンラインアカウントからこれらのログにアクセスする方法はありません。ログを要求される場合は、お問い合わせください。

HIPAA機能の有効化

各プラチナプランまたはエンタープライズチームでHIPAA準拠機能を有効にするには、SurveyMonkeyと提携事業者契約(BAA)を結びます。

BAAを結ぶ手順は、プランタイプによって異なります。手順については、以下の関連セクションを選択してください。

各プラチナプラン

SurveyMonkeyとBAAを結ぶには、次の手順で操作します。

  1. プラチナアカウントで、右上のユーザー名をクリックします。
  2. マイアカウント]を選択します。
  3. ページ下部のHIPAAセクションで、[BAA(提携事業者契約)の締結]をクリックします。
  4. BAA(提携事業者契約)を確認します。
  5. フォームに記入します。BAA(提携事業者契約)が、組織からBAAを締結する権限を有するユーザーによってのみ許可されていることを確認します。つまり、BAA承諾書の「名前」フィールドには、アカウント保持者以外のユーザーの名前を入力しなければならない場合があります。
  6. 承諾]をクリックします。

BAAはマイアカウントページでいつでも表示することができます。

プラチナチーム

現時点では、アカウント内でプラチナチームのHIPAA準拠機能を有効にすることはできません。オプションについてご相談がある場合は、お問い合わせください

エンタープライズチーム

エンタープライズチームの代表管理者は、チームのHIPAA準拠機能を有効にできます。チーム内のすべてのアカウントがHIPAAに対応しています。つまり、すべてのアカウントを使って、アンケート内のPHIを収集することができます。

HIPAA準拠機能をチーム内の一部の個人アカウントに対してのみ有効にすることはできません。HIPAA準拠機能を有効にすると、チーム全体に適用されます。

SurveyMonkeyとBAAを結ぶには、次の手順で操作します。

  1. 代表管理者アカウントで、右上のユーザー名をクリックします。
  2. マイチーム](またはマイグループ)を選択します。
  3. [チーム詳細]の[BAA(提携事業者契約)の締結]をクリックします。
  4. BAAを確認し、フォームを記入し終えたら、[承諾]をクリックします。

チームメンバーは各自アカウントの[マイアカウント]ページからそのBAAのコピーを閲覧できます。

アカウントまたはチームでHIPAA準拠機能を有効にする操作は、一方向に限られたた操作です。つまり、アカウントでHIPAAをいったん有効にすると、元に戻すことはできません。BAAが終了すると、アカウントも閉じる必要があります。詳細については、以下の「ダウングレード」セクションを参照してください。

ダウングレード

ダウングレードがHIPAA対応アカウントでどのように機能するかについては、以下のよくある質問をご確認ください。

HIPAA対応アカウントまたはチームを今よりも低いプランタイプにダウングレードできますか?

できません。プラチナプランまたはエンタープライズチームHIPAA準拠機能をいったん有効にすると、通常のHIPAA非対応アカウントに戻すことはできません。

HIPAA準拠機能をアカウントから削除する、または今よりも低いプランに変更するには、新しいアカウントを作成する必要があります。HIPAA対応アカウントから通常のアカウントにアンケートを移行することは可能ですが、PHIを含んだアンケートを移行しないように細心の注意を払う必要があります(当社では、ユーザーが通常のアカウントでPHIを保存することを認めていません。また、通常のアカウントはBAAの適用外です)。

HIPAA対応アカウントまたはチームを更新しないとどうなりますか?

SurveyMonkeyを使用する必要がなくなり、HIPAA対応アカウントを更新しない場合、アカウントは保留状態に入ります。保留状態では、アカウント内のデータはすべて保持され、BAAに準拠した形で継続的に処理されます。ただし、アンケートデータまたはアカウントに直接アクセスすることはできなくなります(ただし、請求およびアカウント管理機能には限定的にアクセス可能)。

保留アカウントは提携事業者契約に記載された期間まで保持されます。その間はアカウントを更新することで、保留を解除することができます。保留期間が終了した時点で、SurveyMonkeyはお客様のアカウントとアカウントに付随するすべてのデータを閉鎖いたします。

アカウントが保留されている間、すべてのアンケートデータのエクスポートコピーを要求したり、アカウントを直ちに閉鎖する要求をしたりする場合は、お問い合わせください。

HIPAA対応アカウントを閉鎖したり、BAA(提携事業者契約)を終了するとどうなりますか?

HIPAA対応アカウントやチームを閉鎖すると、BAA(提携事業者契約)は終了します。

BAA(提携事業者契約)を終了すると、BAAの規約に基づいて、HIPAA対応アカウントまたはチームが閉鎖されます。当社の標準BAA(提携事業者契約)は、アカウントが閉鎖される前に、アンケートデータのコピーを常に保存できるように記述されています。

HIPAAセキュリティのヒント

アカウントまたはチームでHIPAA準拠アカウントを有効にした後、特定の操作を実行するときに以下のベストプラクティスに従うと、データを責任を持って安全に処理することができます。

操作
HIPAA セキュリティのヒント
アンケート結果のエクスポートもしお手持ちのコンピューターにアンケート結果をダウンロードする場合、ダウンロードされたファイルには保護対象の健康情報が含まれているので、その管理は適切に行ってください。安全のためファイルは暗号化し、暗号化された接続でのみ移行されることをお勧めします。
コラボレーターとのアンケートの共有他の誰かをコラボレーターとしてアンケートを共有した場合、そのユーザーは収集した回答も含めて、アンケートを閲覧したり編集したりできるようになります。この機能は HIPAA の責務と照らし合わせてご利用ください。アンケートに関わることを許可された人とだけ協力しましょう。
別のアカウントへのアンケートの移行別のSurveyMonkeyアカウントへアンケートを移行する場合は、受信アカウントが意図したものであるかどうか十分に気をつけてください。アンケートを移行するには、移行先のアカウントのユーザー名を正しく入力する必要があります。移行プロセスは受信アカウント保有者の操作がなければ取り消せません。

アンケートに保護対象の健康情報 (PHI) が含まれる場合、お客様の責任でその PHI が適切な受信者のみに開示されるようにしてください。PHI を他のアカウントへ移行するには、送信先のアカウントも HIPAA であることが重要です。
回答の収集アンケートで保護対象の健康情報 (PHI) を収集する場合は、Web リンク コレクターのご利用をお勧めします。さらに、アンケートで保護対象の健康情報を集めたり、HIPAA 準拠のアカウントをお持ちの場合は、常に SSL 暗号をオンにしておかなければなりません。SSL はアンケートとアンケート結果を暗号化することでセキュリティを高めます。

招待メールコレクターのご利用はお勧めしません。招待メールコレクターは、受信者のメールアドレスに結びついた固有のアンケートリンクでアンケートへの招待をメールします。もし回答者が自分の回答を編集できる場合、招待メールの受信者はアンケートの一部またはすべての回答を完了し、他の人に固有のアンケート リンクを転送できる可能性があります。これによって次の受信者は、PHI が含まれている可能性がある最初の受信者の回答を閲覧できます。
アンケート結果の共有アンケート結果には保護対象の健康情報が含まれている可能性があるので、アンケート結果の共有はHIPAAの責務と照らし合わせて行ってください。許可を受けた受信者にだけ結果を開示しましょう。
HIPAAは、保護対象の健康情報(PHI)の収集と処理を規制する米国法です。「被保険の団体」という特定の組織とその事業提携者は、HIPAAに準拠する義務があります。アカウントまたはチームでHIPAA機能を有効にすると、アンケートでPHIを収集することができます。

回答を得る