Close
HIPAA のロゴ

このチャートは、HIPAA (医療保険の携行性と責任に関する法律) を遵守すべき機関が、HIPAA の要件をどのように満たしているかを理解するためのものです。

既存の Atlassian 契約がある、またはこれらの条件を契約にどのように適用できるかの詳細を知りたい場合は、お問い合わせください。

要件

説明

この要件をどのように満たしているか

リスク管理

説明

リスクと脆弱性を軽減して、環境または運用の変化に応じて技術および技術以外の面の評価を定期的に実施する

この要件をどのように満たしているか

ギャップ評価を毎年実施してセキュリティ リスク分析を更新し、独立した認証機関から HIPAA 認証を取得します。

アトラシアンは合意されたリスク選好および関連する法的および規制上の要件の範囲内で業務を遂行するために、特定、評価、割り当て、承認、修復、その他の関連する管理活動を含むリスク評価を実施します。統制環境の変更を推奨することを含め、アトラシアンは統制と緩和戦略の設計を継続的に評価します。アトラシアンは GRC (ガバナンス リスク コンプライアンス) ツールによってリスクと統制のマトリックスを管理しています。

作業員の安全保障

説明

身元確認と適切な解雇手続き

この要件をどのように満たしているか

世界中の新規アトラシアン社員に対して、採用時点で身元確認を実施する必要があります。すべての新規採用者と独立請負業者に対して、包括的な一連の身元確認が自動で開始されて実行されます。

機密情報にアクセスできる当社の従業員と請負業者は、解雇、雇用の変更、契約関係の終了後も情報セキュリティの責任と義務が有効であることを保証するために、雇用契約および機密保持証書によって拘束されます。

説明

作業員に対する制裁措置

この要件をどのように満たしているか

オンボーディング中、すべての新入社員はアトラシアンの行動規範と倫理ポリシーを認識して、セキュリティ意識向上トレーニングを完了する必要があります。確立された情報セキュリティ ポリシーと手続きに従わない個人を対象とする正式な制裁措置が定められています。

情報アクセス管理

説明

ePHI を利用する従業員のアクセス許可

この要件をどのように満たしているか

Active Directory ロール メンバーシップはユーザーの部門とチームに基づいて自動で割り当てられて、そのようなアクセスを必要とするユーザーに制限されます。ユーザーが別のチームに異動すると、必要に応じてフォローアップを開始してレガシー アクセスを削除するアラートが生成されます。システムまたはサービスの各所有者は、さまざまなシステムの Active Directory アクセス レベル内でユーザー アクセスを許可または変更する承認者として指定されています。

本番環境への特権アクセスは、承認された適切なユーザーのみに制限されます。

内部ネットワークとツールへのアクセスは、論理的なアクセス指標で承認されたユーザーに制限されています。各ユーザー アカウントは次の条件を満たす必要があります。

  • アクティブな Active Directory アカウントがあること
  • 適切な Active Directory グループのメンバーであること

説明

適切なアクセス権の付与 (最小特権ベース)

説明

事前に設定した非アクティブ時間の経過後にセッションを終了する

この要件をどのように満たしているか

デスクトップとモバイルの各アプリケーションには、標準の操作手順に基づく最大ユーザー セッション タイムアウトがあります (デスクトップ セッションでは 8 ~ 24 時間、モバイル セッションでは 30 ~ 90 日)。

スクリーンセーバーは macOS と Windows の両エンドポイントに適用されて、ロック解除するにはパスワードを入力する必要があります。

インシデント対応管理

説明

監査ログ記録/検出 (ログイン試行の監視を含む)

この要件をどのように満たしているか

イベント ログを保持して紛失や改ざんを防ぎます。ログへのアクセスは定期的に確認されます。ログ記録を AWS 環境内で有効にして、そのログを Splunk に送信しています。既知と以前のセキュリティ イベントとインシデントに基づいて、AWS、Jira、Confluence Cloud の各イベントの自動アラートをデプロイしています。

アラートを調整して最適化し、誤検知を排除するためのレビュー プロセスを実施します。アラートの開発とトリアージ プロセスを合理化する専任の自動化エンジニアがいます。

説明

疑わしいセキュリティ インシデントまたは既知のセキュリティ インシデントを特定してインシデントを軽減し、その結果を文書化する

この要件をどのように満たしているか

アトラシアンはプログラムを担当するセキュリティ チームと協力して、次を含む組織全体のインシデント管理プロセスを導入しました。

  • インシデントの管理時に、すべてのアクションをインシデント チケットからインシデント管理システムに記録する。レコードには次を含める必要があります。
    • インシデント開始時刻
    • インシデントの説明
    • 重大度
    • 影響を受けるサービス
    • 影響
    • 影響を受けるお客様の数
    • 根本原因
    • 実行したアクション
    • 影響を受ける SLO (影響を受ける機能)
  • 可能であれば問題を根本原因と関連付けて、親インシデントにまとめる
  • 重大または致命的なインシデントの後に PIR (インシデント後レビュー) を実施する

セキュリティの責任

説明

HIPAA セキュリティ コンプライアンス プログラムの開発と実施の責任者を特定する

この要件をどのように満たしているか

専任の HIPAA セキュリティ担当者がいます。アトラシアンのセキュリティ担当者は、その責任、HIPAA セキュリティ規則、そしてその要件がアトラシアンの製品にどのように適用されるかを理解しています。

プライバシーの責任

説明

HIPAA プライバシー コンプライアンス プログラムの開発と実施の責任者を特定する

この要件をどのように満たしているか

専任の HIPAA プライバシー担当者がいます。アトラシアンのプライバシー担当者は、その責任、HIPAA プライバシー規則、そしてその要件がアトラシアンの製品にどのように適用されるかを理解しています。

セキュリティ意識向上とトレーニング

説明

ユーザー意識向上トレーニング

この要件をどのように満たしているか

アトラシアン セキュリティ意識向上プログラムの一環として、すべての従業員はトレーニングを毎年受ける必要があります。さらに、セキュリティ関連意識向上の演習問題と文書を年間を通じて不定期に配布しています。

緊急時対応計画

説明

重要なビジネス プロセスの継続を可能にする手順

この要件をどのように満たしているか

ディザスター リカバリの実行手順を定義、レビュー、テストしました。このポリシーでは、目的、目標、範囲、目標復旧時間、目標復旧時点、役割/責任を大まかに説明します。正式なビジネス継続性計画とディザスター リカバリ計画を四半期ごとにテストしています。緊急時対応計画の各構成要素を裏付けるため、サービスとシステムの重要度を毎年評価しています。

アトラシアンの標準運用手順に従い、アトラシアンの資産に関連するアプリケーション、システム、構成のバックアップと復元を実行してテストしています。

ビジネス アソシエイト契約

説明

ビジネス アソシエイト契約には、お客様データがアトラシアンとサードパーティ サプライヤーによって適切に保護されるという十分な保証が含まれる。

この要件をどのように満たしているか

アトラシアンはお客様の情報を適切に保護して、お客様に代わって PHI を作成、受領、維持、または送信が許容または要求される場合のみ、お客様の情報を使用または開示することを保証します。これらの保証はお客様とのビジネス アソシエイト契約に記載されています。また、お客様情報を適切に保護していることを確認するために、お客様がアトラシアンのサービスを使用して構成する方法に関する指示をお客様に提供する実装ガイドを作成しました。

さらに、関連するサードパーティ サプライヤーにアトラシアンとのビジネス アソシエイト契約への署名を義務付けることによって、お客様の PHI を保護することを保証します。

物理的セキュリティとエンドポイント制御

説明

物理的な施設や機器を改ざんや盗難から保護する

この要件をどのように満たしているか

施設への物理的なアクセスのために、すべてのスタッフと請負業者にはオンボーディング時にセキュリティ バッジが発行されます。人事情報システムのプロファイルを終了して閉じると、物理的なアクセスが自動で無効になります。

現地サイト訪問者には一時的なバッジを発行します。訪問者は建物の出口でゲスト パスを返却する必要があります。カードが返却されない場合、そのバッジは自動で解除されます。

説明

ePHI にアクセスするすべてのワークステーションに物理的な保護対策を実装する

この要件をどのように満たしているか

アトラシアンは、管理プラットフォームに登録されている既知のデバイスからのみアクセスを許可するゼロトラスト ネットワークを実装しました。保存するデータと接続するシステムに応じて、アプリケーションをセキュリティ階層に配置しました。この階層型ネットワークは、高、低、オープンの各層です。デバイスの種類とセキュリティ体制が評価されて、アクセスできるアプリケーションが決定されます。

アトラシアンはすべての macOS と Windows の各ノートパソコンでディスクの暗号化、パスワード ロック、セキュリティ パッチ適用を管理しています。

アトラシアンが発行するすべての macOS と Windows の各マシンでは、USB 大容量ストレージ デバイスは読み取り専用として設定されています。

説明

ePHI とそれが格納されているハードウェアの最終的な処分に関する手順

この要件をどのように満たしているか

返却されたノートパソコンを再デプロイまたは廃棄される前に初期化します。データの盗難を防ぐために、紛失または盗難にあったノートパソコンの手続きも設定されています。

ポリシーと手順

説明

ドキュメントは作成日または最後に有効であった日から 6 年間保管する

この要件をどのように満たしているか

すべてのポリシーは、指定のポリシー所有者によって少なくとも年に 1 回レビューされて無期限に保持されます。ポリシーのスナップショットについては、アトラシアンのセキュリティ & テクノロジー ポリシーをご覧ください。

アトラシアンのプライバシー ポリシーは、こちらでご覧いただけます。

転送のセキュリティ

説明

ePHI の不適切な改ざんを防ぐセキュリティ対策

この要件をどのように満たしているか

当社は、HIPAA 認定クラウド製品のデータを保存時に暗号化しています。さらに、パブリック ネットワークを介して送信されるデータを暗号化して、データが意図した宛先に確実に届くようにします。

外部ユーザーは、SSL プロトコルを介して暗号化されたトラフィックを使用して、HIPAA 認定クラウド製品に接続します。

説明

常に該当する場合に ePHI を暗号化する仕組み

認定資格

現在、HIPAA に関連する認定資格はありません。健全なテクノロジーを認定する機関がソフトウェアを承認、または独立した認証機関がビジネス アソシエイトまたは対象エンティティに対して HIPAA 認証を付与する権限を与えません。したがって、HIPAA 準拠という公式の認定資格はありません。ただし、アトラシアンのクラウド製品は、セキュリティ、プライバシー、コンプライアンスの各管理の運用上の有効性について独立した検証を毎年受けています。独立した認証機関が監査を実施して、アトラシアンにはすべての HIPAA 規制を遵守していることを保証するために必要な管理とプラクティスを備えていることが確認されています。

アトラシアンでは、信頼を得てそれを維持することが取り組みの中心となっています。アトラシアンはお客様のデータを安全に保つだけでなく、法規制への準拠について信頼を得る必要があることを理解しています。アトラシアンは HIPAA セキュリティ、プライバシー、侵害の通知ルールに概説されている慣例に従い、お客様が安心して事業を遂行するための安全な環境を提供します。