HIPAA 準拠と Synology C2

Synology C2 の安全なインフラとプライバシーに配慮した設計により、どのように HIPAA 規則に準拠できるかご案内します。

責任の共有Synology C2 プラットフォームは、電子的に保護された医療情報 (ePHI) を含むクライアントのデータに対して、最大限のセキュリティ、機密性、完全性を確保するように設計されています。医療従事者は、C2 のデータ保護と監査機能を HIPAA コンプライアンス戦略に簡単に統合することができます セキュリティとプライバシーePHI へのアクセスを許可された者に限定する、プラットフォーム全体およびサービス固有のツールや設定が提供されます。完全性と可用性データの損失や破損のリスクを最小限に抑えサービスの可用性を高める、安全なインフラ設計になっています。
不正アクセスの防止Synology C2 は読み取りアクセスのない no-view サービスとして設定することができ、アップロードされた患者データが悪用されるリスクを排除できます。Synology C2 エコシステムの各サービスには、エンドツーエンドの暗号化やクライアントサイドの暗号化、またはその組み合わせなど、様々なデータ保護のメカニズムが備わっています。C2 サービスがどのように ePHI の完全な所有と管理を保証しているかについて、各サービスのホワイトペーパーをご参照ください
アクセスの規制と監査配慮して設計された機能により、組織内および外部とのやり取りにおいて、ヘルスデータにアクセスできる人を正確に制御することができます。セキュアなプラットフォームアクセスすべての C2 サービスへのアクセスには、有効なSynology アカウントが必要です。Synology アカウントは、多要素認証 (MFA) でセキュリティを最大限高めることができます。また、詳細なログイン記録により、アカウントの異常なアクティビティが発生した場合の調査を容易にします。きめ細かな共有設定ePHI の共有を制限することで、個人情報漏洩のリスクを低減することができます。C2 は共有リンクにパスワードや有効期限を設定して保護することができます。また、ファイル転送用に設計されたC2 Transferは、ワンタイムパスワードによるユーザー認証により高度なセキュリティを提供しています。監査ログとレポート詳細なログにより、管理者は患者データへのアクセス、転送、ダウンロードを含むユーザーの行動を調査することができます。オンデマンドで生成されるレポートや定期的にメールで送信されるレポートにより、監視と評価が容易になります。
信頼できる安全なインフラすべての C2 データは、冗長性と可用性の高いインフラにより単一障害点が排除された認定コロケーションデータセンターに保管されています。物理的な安全性ISO 27001 と SOC 2 Type II の認証によりセキュリティ手順と物理的安全対策の厳格な遵守が保証され、スタッフのアクセス監視も行っています。冗長性の確保消失訂正符号技術により、データの冗長性を高め、破損したデータの検出と修復を可能にし、ハードウェアの故障からデータを保護することができます。データのオーナーシップヨーロッパと米国にデータ センターを持つ Synology C2 は、米国および EU のデータ居住要件などの地域規制に準拠することを可能にします。Synology のセキュリティとプライバシーについての詳細データ耐久性に関するブログ記事データ耐久性をテーマに、技術的な概要とインフラの実例を交えて、深く掘り下げていきます。詳しく読むプライバシーに関する声明収集するデータやその保持期間など、個人情報の取り扱いと処理方法についてご確認ください。詳細情報Synology C2 サービス利用規約Synology C2 プラットフォームおよび各 C2 サービスの使用を規定する利用規約をご確認ください。詳細情報データセキュリティに関するホワイトペーパーePHI やその他の機密データの完全な制御を確保し、Synology C2ソリューションがどのように不正アクセスからデータを安全に守るか詳細をご確認ください。C2 StorageC2 IdentityC2 PasswordC2 TransferC2 Backup よくあるご質問 HIPAAとは? Health Insurance Portability and Accountability Act (HIPAA) は、電子的に保護された保健情報 (ePHI) の合法的な利用と開示に関する、1996年にアメリカ合衆国議会によって導入された規制基準です。HIPAA 規制のもとで、医療提供者および事業体は、ePHI の作成、管理、受信、送信におけるプライバシーとセキュリティを確保するための一連の要件を満たす必要があります。 HIPAA の規則とは? HIPAA 法は5つの規則から成っています。各規則は HIPAA 準拠に対する異なる要件を定めています。

1. プライバシー規則:どうように、いつ、どのような状況下で ePHI を使用し、開示することが可能か

2. セキュリティ規則:ePHI の完全性を守るための技術的、物理的、管理上の標準

3. オムニバス規則:HITECH の条項を HIPAA に統合し、ePHI の保護を強化

4. 通知ルールの違反:ePHI 関連のデータ漏洩を利害関係者及び公に通知する条件

5. 執行規則:ePHI が関わるデータ漏洩発生後に行われる調査と罰則

長年にわたり、医療や他の産業における技術の進歩に対応して、要求事項が統合・拡張されてきました。

 no-view サービスとは? no-view サービスとは、クラウドサービスプロバイダー (CSP) が、対象事業者や業務関係者に代わって複合鍵にアクセスすることなく、暗号化された ePHI を保持する状況を意味します。 消失訂正符号とは? 消失訂正符号は、RAID と同様にデータを多数の断片にストライピングし、少なくとも 3 重の冗長性を導入します(3 台までのサーバーが故障してもデータの可用性に影響はありません)。ただし、消失訂正符号はRAID と異なり、データが復旧するまで待つ必要がなく、即座に復旧します。また、消失訂正符号は、破損したデータの検出と修復にも役立ちます。 Synology C2 はどのようなサードパーティのコンプライアンス要件を満たしていますか? Synology C2の欧州 (フランクフルト) および APAC (台北)のコロケーション データセンター施設は、情報技術に対するセキュリティフレームワークの中で最も厳しいとされる ISO 27001 までの認定を受けています。Synology C2 の米国コロケーションデータセンター施設は、データを安全に保つための厳格な手順が整っていることを確認する包括的な SOC 2 Type II 認証を取得しています。Synologyは、PCI レベル 1 サービス プロバイダーを使用して請求情報の処理や保存をすることで、PCI DSS に準拠して支払い情報を処理しています。 Synology C2はビジネス アソシエイト契約 (BAA) を提供していますか? はい。BAAは現在、C2 Object Storage、C2 Storage、C2 Backup、C2 Transfer、C2 Password で利用できます。ご依頼はこちらからお寄せください。担当者からご連絡を差し上げ、内容の詳細をご案内し、署名用に契約書の電子コピーをお送りします。

C2ニュースレターの購読を申し込む

購読いただくと、C2サービスの最新情報、技術情報、アクティビティやイベントについての情報を入手できます。

Synologyのメーリングリストに参加するには、Synologyアカウントが必要です。ニュースレターの設定は、Synologyアカウントで管理できます。 infoSynologyのニュースレターを確実に受け取るために、お客様からいただいたメールアドレスを使ってSynologyアカウントを作成します。
注意事項: 米国 Department of Health and Human Services (HHS) は、HIPAA 準拠を証明する認証はいかなる形態も公式に発行または承認していません。