医療分野のPushwooshをご利用のお客様にとって、機密性の高い健康情報の取り扱いには最高レベルの保護と厳格な規制への準拠が求められます。
そのため、Pushwooshは保護医療情報(PHI)のセキュリティとプライバシーを守るため、HIPAAコンプライアンスを確保しています。Pushwooshは、Riskro Indiaが実施した厳格な独立評価を受け、HIPAAコンプライアンスへの取り組みが公式に認定されています。
Pushwooshなら、健康情報が最大限の注意と保護のもとで取り扱われることを確信していただけます。
HIPAAとは
Health Insurance Portability and Accountability Act(HIPAA)は、患者の同意や知識なく機密性の高い患者健康情報(PHI)が開示されることから保護するための全国基準を定めた米国連邦法です。
HIPAAのもとで、PHIの保護に責任を負う組織は主に2種類あります。
• 対象事業体(Covered entities):電子的に健康情報を送信する健康保険プラン、医療提供者、医療クリアリングハウスが含まれます。
• ビジネスアソシエイト(Business associates):対象事業体のためにサービスを提供し、PHIへのアクセス権を持つ個人や企業です。請求会社、ITプロバイダー、クラウドストレージベンダー、顧客エンゲージメントプラットフォームなどが該当します。
HIPAAにはプライバシールールとセキュリティルールが含まれています。
• プライバシールール(Privacy Rule):個人の識別可能な健康情報のプライバシーを保護します。
• セキュリティルール(Security Rule):対象事業体またはビジネスアソシエイトが作成、受信、使用、または維持する電子保護医療情報(ePHI)を保護するための全国基準を定めています。
HIPAAに準拠したメッセージング:顧客エンゲージメントプラットフォームとの安全なパートナーシップ
ヘルスアプリがPushwooshのようなHIPAAに準拠した顧客エンゲージメントプラットフォームと提携する場合、コンプライアンスに基づくいくつかのプロセスが自動的に確立されます。
• ビジネスアソシエイト契約(BAA): ヘルスアプリは対象事業体として、ビジネスアソシエイトとなるプラットフォームとBAAを締結します。
• セキュリティおよびプライバシーの保護措置: プラットフォームは電子PHI(ePHI)を保護するための管理的、物理的、技術的な管理策を適用します。これには暗号化、セキュアなアクセスプロトコル、アクティビティログ、データ整合性チェックが含まれます。
• HIPAAに準拠したメッセージ配信: 予約リマインダー、検査結果、投薬通知などのコミュニケーションは、HIPAAのプライバシーおよびセキュリティ要件を満たすワークフローとチャネルを使用して配信されます。
• エンドツーエンドのコンプライアンス保証: データ処理のあらゆる段階がHIPAAに準拠したプロトコルによってカバーされており、顧客エンゲージメントプロセス全体を通じて機密性の高い健康情報が保護されます。
HIPAAコンプライアンスの達成:Pushwooshの厳格なプロセスと独立した検証
当社の取り組みが厳格な要件を満たし、セキュリティ態勢への信頼を提供できることを確保するため、独立した第三者機関であるRiskpro Indiaによる包括的なエンドツーエンドのギャップ評価を受けました。
HIPAA要件に対する当社のプラットフォームとプロセスの徹底的な審査に基づき、評価ではいくつかの重要な強みが強調されました。
✅PushwooshはHIPAAおよび情報セキュリティ固有のポリシー、手順、技術的・管理的・物理的な保護措置を適切に実施し、アプリケーションによって処理される情報の機密性、完全性、可用性を保護しています。
✅Pushwooshは堅牢な情報セキュリティ管理システム(ISMS)を保有しています。
✅ ePHIにアクセスするシナリオを明確に特定・文書化し、透明性と明確な境界を確保しています。
PushwooshのHIPAAコンプライアンスは一度限りの認定ではなく、健康データを保護するための継続的なコミットメントです。
PHI保護の強化:暗号化タグ機能
特にPHIを扱うお客様向けに最高水準のデータセキュリティへの取り組みの一環として、Pushwooshは機密性の高いユーザーデータが安全に処理・保存されるよう設計された機能「暗号化タグ(Encrypted Tags)」を提供しています。
顧客セグメンテーションとパーソナライゼーションは、タグに保存されたユーザー属性に依存することが多く、これらの属性の一部はPHIに該当する場合があります(例:健康状態、治療詳細)。暗号化タグを使用することで、この機密情報をPushwooshプラットフォーム内で暗号化された形式で保存できます。
暗号化タグでは、指定されたタグに保存されたデータが保存時に暗号化されます。これらの暗号化タグの実際の値にアクセスするには、通常、特定の復号化キーまたはセキュアなAPI呼び出しが必要であり、ターゲティングや分析目的で保存された機密性の高いユーザー属性への無断平文アクセスを防止します。
これにより、技術的な保護措置の追加レイヤーが提供され、ユーザーベース内に保存されたPHIを保護することでHIPAAコンプライアンスをさらにサポートします。
____________________________________________________________
当社のコンプライアンス態勢についてさらに詳しくお知りになりたい方は、Riskpro IndiaによるHIPAAコンプライアンスの完全レポートをNDAのもとでご提供いたします。
コピーを入手するには、サポートチームにお問い合わせください。
HIPAAコンプライアンスを確保しながら医療コミュニケーションにPushwooshを使用することにご興味はありますか?Business Associate Agreementの締結や、当社のデータ保護についての詳細については、営業チームにお問い合わせください。
