HIPAAに対応した安全なビジネスメール

  • 「医療保険の携行性と責任に関する法律」(HIPAA)(プライバシールール、セキュリティールール、違反通知ルール、「経済的および臨床的健全性のための医療情報技術に関する法律」を含む)により、対象企業や事業提携者は、個人を特定できる健康情報を保護する一定の措置を取ることが義務付けられています。また、個人にも一定の権利が認められています。Zohoは、自社の目的のためにHIPAAにより保護される医療情報を収集、使用、保存または維持しません。しかし、Zoho Mailには、HIPAAに対応した範囲内で管理者がメールを設定し使用するのに役立つ機能があります。

    HIPAAでは、対象企業に事業提携者と事業提携者契約(BAA)を締結することを義務付けています。当社のBAAテンプレートは、legal@zohocorp.comにメールを送信することで、入手できます(英語対応)。

    Zoho Mailでは、管理者が自分の組織でHIPAAに対応したメールサービスを実装できるようにするため、次の機能と制御が提供されています。

  • ユーザーの役割と権限

    Zoho Mailでは、役職別の管理パネルへのアクセス権限が提供されています。1人のユーザーにのみスーパー管理者の役割を割り当てることができ、さらにそのスーパー管理者のみが組織のメンバーに管理者の役割を割り当てることができます。

    管理者には、アカウント作成、セキュリティーポリシーの管理、監査ログの監視などを行う権限があります。ユーザーには管理コンソールにアクセスする権限がなく、管理者の機能を閲覧したりアクセスしたりすることはできません。役職と権限に関する詳しい情報は、こちらを参照してください。

  • セキュリティー管理

    Zoho Mailは、管理者が組織のセキュリティーポリシーを管理するための拠点となります。管理者は、組織のコンプライアンス要件に合わせて、次のポリシーの適用とカスタマイズを行うことができます。

    1. TFA/MFA
    2. パスワードポリシー
    3. アクセス制御
    4. IPベースの制限
    5. メールの制限

  • 暗号化

    メールは、Zoho Mailサーバーに暗号化形式で保存されます。データは断片化され、各断片は暗号化された状態でZohoのディスクに保存されます。暗号化に使われた鍵は、最高の安全性と信頼性で管理されます。POP/IMAP/SMTP経由でZoho Mailを使用する場合のデータ送信は、Transport Layer Security(TLS)プロトコルを使用して暗号化されます。メールの暗号化には、AES_CBC/AES_GCM 256ビット/128ビットキーなどの最新の安全な暗号も使用します。Webでのすべてのデータ転送は、セキュアモード(HTTPS)で行われます。これらにより、Zoho Mailデータは組織のドメイン内外において、不正なアクセス、開示、変更から確実に保護されます。

    Zoho Mailに保存されるサービスデータは、保存時に暗号化されます(EAR:Encrypted At Rest)。すべてのデータも転送中に暗号化されます。データセンターでの高度に安全な物理制御と、転送レベルの暗号化により、データは確実に保護されます。

    既定の暗号化の他に、SSL認証ベースの暗号化を使用するS/MIMEサポート経由で、暗号化レイヤーの追加を選択することもできます。

  • メールの削除

    Zoho Mailには、ユーザーが自身のデータを削除できる適切な機能がWebインターフェイスで提供されています。ユーザーは削除オプションを使用して、メールデータを削除できます。ただし、管理者がユーザーの保持とeDiscoveryを有効にしている場合、管理者が設定した保存期間に基づき、eDiscoveryポータルでメールのコピーが利用できるようになります。

    管理者がコントロールパネルからユーザーアカウントを削除すると、そのユーザーに関連付けられているデータは削除予約され、実際にユーザーを削除した日から30日以内に削除されます。

  • 監査証跡

    Zoho Mailは、広範囲な監査ログに対応し、管理パネルから活動を記録します。管理者の監査ログは、1年間利用できます。ユーザーのメールログは、Zoho Mailの管理パネルからも確認できます。メールログは、90日間利用できます。

    それ以外にも、管理者は必要に応じてコントロールパネルからログをエクスポートすることもできます。

  • データの保持

    管理者は、eDiscoveryプレミアムプランで利用可能)を有効にし、選択した条件に基づいてメールの完全バックアップを作成できます。この機能は、法的遵守を目的とし、要件に基づき、組織ごとに有効にできます。

    管理者は、eDiscoveryを使用して、あらかじめ設定した条件に基づき保持されるデータの保存期間を設定することができます。

    eDiscoveryは、Zoho Mailのプレミアムプランでのみ利用できます。一般的なバックアップとリカバリオプションは、Zoho Mailのすべてのプランで利用できます。管理者は、要件に基づきメールデータの定期的なバックアップを作成し、ローカルストレージに保存できます。重要なメールデータが削除された場合、削除から30日以内ならメールを復元できます。

  • 利用規約の変更

    Zohoは、本規約を変更する権利を留保します。本規約の変更は、お客さまが当該変更の発表後にZoho Mailを利用した時点で効力を生じます。

  • 免責条項:ここに記載されている内容は、法的助言と見なされるべきものではありません。この文書は、組織がHIPAAに対応するためにZoho Mailで提供される制御方法に関するガイドラインを記載するものです。HIPAAの適用方法、HIPAAが貴組織に及ぼす影響、およびHIPAAに準拠するためのプロセスについては、貴社の法律顧問にお問い合わせください。