HIPAAへの準拠 (Health Insurance Portability and Accountability Act; 医療保険の携行性と責任に関する法律) 

Genesys Cloudは、電子保護された健康情報(ePHI)を含む、お客様およびお客様の顧客情報のプライバシーを尊重することに尽力しています。 この取り組みの一環として、多くのGenesys Cloudサービスは、医療保険の携行性と責任に関する法律(HIPAA)に準拠しており、特に法律により義務付けられる管理上、物理的、技術的な保護措置に準拠しています。 ビジネスアソシエイト契約(バース)とサード含む特定のコンプライアンスに関する事項についての代表的な販売掲載相手コンプライアンス検証を。

HIPAAとは何ですか?

健康保険の携帯性と説明責任に関する法律(HIPAA) は、もともと1996年に可決された米国連邦法であり、それ以降の年に渡されたその後の追加を含みます。 HIPAA は米国の HIPAAは米国連邦法であるため、米国内の取引または事業体のみを管理し、国際法または規格 または 標準ではありません。 

HIPAAは、とりわけ、健康保険プラン(タイトルI)と健康情報のプライバシーとセキュリティ(タイトルII)の両方を規制するように設計されています。 タイトルIIのプライバシー規則は、保護された健康情報(PHI)の使用と開示を規制しています。 タイトル II のセキュリティ規則は、プライバシー規則を補完する形で、HIPAA で義務付けられている管理的、物理的および技術的な保護を規定しています。

ビジネスアソシエイトとBAAとは何ですか?

対象となる事業体。これには、医療提供者、医療保険提供者、および医療クリアリングハウスが含まれます。は、Genesys Cloudをビジネスアソシエイトの役割に採用し、医療活動や機能の実行を支援する場合があります。 ビジネスアソシエートには、保護された健康情報の作成、受信、維持、および/または送信など、対象となるエンティティに代わって機能または活動を実行する、あるいは特定のサービスを提供されるエンティティがあります。 

一般に、ビジネスアソシエイトのサービスを使用する対象エンティティには、各ビジネスアソシエイトとのBAAの書面が必要です。 BAAは、ビジネスアソシエートが保護された医療情報を適切に保護することを確実にするべきであり、またビジネスのアソシエートによる保護された医療情報の許容される使用および開示を明確にし制限するべきです。

Genesys CloudのHIPAA認定を受けていますか?

Genesys Cloudなどのクラウド・サービス・プロバイダのHIPAA認定はありません。 しかし、Genesys Cloudは、当社の管理、物理的、および技術的管理を検証する独立監査を受けています。  

対象となる事業体の潜在的なビジネスアソシエートとして、Genesys CloudはHIPAAコンプライアンスに必要な管理、物理的、技術的管理を実装する必要があります。 これらのコントロール、Genesys Cloudセキュリティプログラム、ネットワークセキュリティなどの詳細については、以下を参照してください。セキュリティとコンプライアンス.

Genesys Cloud HIPAAは準拠していますか?

Genesys Cloudの機能はHIPAAに準拠していますが、以下の例外があります。

  • ACDメール
  • SMSメッセージ
注意:   注意:ePHIの送信にHIPAAに準拠していないサービスを使用することは、Genesys Cloud BAAの条件の対象とはなりません。

何についてAppFoundryアプリケーション、第三相手の統合、および独自の技術・サービス・プロバイダーをもたらしますか? 

Genesys Cloudは、サードパーティプロバイダーがHIPAAに準拠していることを保証できません。 Genesys Cloud BAAは第三者プロバイダーとの通信を除外しませんが、当社のBAAはGenesys Cloudの範囲を超えていません。

一般に、保護された健康情報をGenesys Cloudとの間で通信するためにサードパーティのテクノロジーを使用している場合は、GenesysCloudとサードパーティのテクノロジープロバイダーの両方とのBAAが必要です。  たとえば、 Facebook、Twitter、WhatsAppなどのサードパーティチャネルを備えたサードパーティメッセージングプラットフォーム、Genesysを使用したBAAとサードパーティのメッセージングプラットフォームを使用したBAAの両方が必要です。  同様に、からのアプリケーションを使用する場合 AppFoundry そのような Google Dialogflow また アマゾンレックス Genesys Cloudとの間でePHIを通信するには、Genesysとサードパーティ、Google Dialogflow、またはAmazonLexの両方とBAAを使用する必要があります。

Genesys CloudはHIPAAコンプライアンスをどこでサポートしていますか?

HIPAAコンプライアンスは、 アマゾンウェブサービス(AWS) (AWS)米国東部および米国西部地域で利用できます。

Genesys CloudはAmazon Web Services(AWS)と業務提携契約を結んでいますか?

はい。 Genesys CloudとAWSの間のBAAは、GenesysCloudがAWSに保存する情報を対象としています。  この協定はあなたのカスタマーデータが完全に保護されることを確実にするのを助けます。

HIPAAコンプライアンスを有効にしたGenesys Cloudでは何が違いますか?

Genesys Cloudは、HIPAA準拠の組織に、HIPAA非準拠の組織と同様のユーザーインターフェイスとユーザーエクスペリエンスを提供します。 ただし、一部のGenesys Cloud機能は、HIPAA準拠の組織では動作が異なります。

また、お客様の組織でHIPAAコンプライアンスが有効になっている場合、Genesys Cloudは15分のアイドルタイムアウトを強制します。 このアイドルタイムアウトは、OAuthクライアントにも適用されます。 ただし、このアイドルタイムアウトは、Genesys Cloudのユーザーインターフェースなどのアプリケーションがユーザーに代わってリクエストを行うたびにリセットされます。たとえば、アプリケーションを最新の状態に保つためのデータの取得や、アプリケーションログの保存などです。 要求があれば、アイドルタイムアウトをリセットする。 従って、HIPAAに準拠する組織は、組織のポリシーに合わせて、ユーザーのワークステーションに非アクティブ時のタイムアウトを強制する必要があります。 組織のアイドルタイムアウトをカスタマイズするには、Set an automatic inactivity timeout を参照してください。 

メモ: 
  • 注:Genesys Cloudは、すべての組織に同じ高レベルのセキュリティを提供します。 HIPAA準拠組織と非HIPAA準拠組織は同等に安全です。
  • SMSメッセージはHIPAAに準拠していないため、ePHIの送信には使用しないでください。
  • メール通知で個人情報を許可するそしてボイスメールの文字起こしHIPAA がオンになっている場合、オプションは使用できません。

HIPAA準拠のGenesys Cloudに登録するにはどうすればよいですか?

すべてのHIPAA Genesys Cloud組織は、Genesys Cloudと有効なビジネスアソシエイト契約を必要とします。  ビジネスアソシエイト契約がすべての関係者によって署名されると、Genesys Cloudは組織のHIPAAトグルを設定します。

あなたが管理者である場合、あなたはあなたの組織のHIPAAコンプライアンス状況をチェックすることができます。 組織の管理ページ:設定タブ。 

設定方法 businessアソシエイト契約 どうでしょうか?

Genesys CloudからBAAを受け取るには、 dataprivacy@genesys.comBAAをお持ちで、HIPAAを有効にする必要がある場合は、Genesys Cloudカスタマーケア.

既存のGenesys Cloud組織でHIPAAコンプライアンスを有効にすることはできますか?

あなたが管理者である場合、あなたはあなたの組織のHIPAAコンプライアンス状況をチェックすることができます。 組織の管理ページ:設定タブ。 あなたがtを必要とする場合o HIPAAコンプライアンスを有効にし、 お問い合わせ

HIPAA準拠を有効にして、非準拠サービスを使用できますか?

はい。 ただし、HIPAAに準拠していないサービスを使用して電子的に保護された健康情報を送信することは、Genesys Cloud BAAの対象ではなく、HIPAA規制の違反となる可能性があります。 詳細については、 お問い合わせ

HIPAAに準拠した形でGenesys Cloudを使用する責任はありますか?

Genesys Cloudの顧客:

  • フルディスク暗号化を使用する必要があります。
  • お客様がGenesys Cloudで保護された健康情報を送信する際に使用する第三者プロバイダーとの書面によるBAAが必要です。
  • 組織の方針を満たすために、ユーザーのワークステーションに無活動タイムアウトを強制する必要があります。 

Genesys Cloud APIには、HIPAAアイドルタイムアウトがあります。 しかし、Genesys Cloudユーザーインタフェースを含むアプリケーションは、ユーザーがアイドル状態のときに、ユーザーに代わって要求を行うことができます。 これらの要求には、アプリケーションを最新の状態に保つためのデータの取得、またはアプリケーションログの保存が含まれます。 要求により、HIPAA API タイムアウトリセットされます。

Genesys Cloudウェブまたはデスクトップアプリケーションを使用する場合、ユーザーがAPIタイムアウトよりも長いアイドル状態である場合、再認証を求める次のメッセージが表示されます。

注意:   HIPAAが必要とする非タイムアウトを保証する唯一の方法は、 ユーザーワークステーションでのオペレーティングシステムレベルのロックアウトです。 Genesys Cloudでは、ユーザーワークステーションで15分間の非アクティビティタイムアウトを推奨しています。  

Genesys Cloudは、Genesys Cloudセッションが頻繁に閉じて再開されるブラウザに耐えられるように、クライアントデバイス上のローカルストレージにセッショントークンを保存する場合があります。

詳細については、 お問い合わせ

非アクティブタイムアウトに関する詳細情報

技術的保護手段に関する HIPAA 規制 (45 CFR 164.312) では、対象となる事業体または企業は、164.306 に従って、とりわけ、164.308(a)(4) で指定されているアクセス権を付与された人物またはソフトウェア プログラムのみにアクセスを許可する、電子情報システム (ePHI を管理する) に関する技術ポリシーと手順を実施する必要があると規定されています。 実装仕様書の164.312(a)(2)(iii)には、「一定時間非アクティブになった後に電子セッションを終了する電子手順を実装する」と記載されています。 法令、規制、HHS のいずれも、「所定の非活動時間」または何が「非活動」を構成するのかについての具体的な時間測定を確立していません。 システム内のユーザー インターフェイスは API 呼び出しに依存してデータを送受信するため、Genesys Cloud は、特に特定の API 呼び出し間の時間に基づいて電子セッション中の非アクティブ状態を判断します。 そのため、これらの API 呼び出しは通常、エージェントのアクティビティ、またはこの文脈ではユーザー インターフェイスの非アクティブを反映します。 Genesys Cloud は現在、電子セッションを終了し、つまりエージェントをログオフして、システム内の ePHI を不正アクセスから保護するための API 呼び出し間の合理的な「所定の非アクティブ時間」として、デフォルトのタイムアウト期間 15 分を利用しています。 タイムアウト期間は、顧客が最小 5 分に設定できます。