Slack と HIPAA

Enterprise Grid プランでは、HIPAA 準拠のメッセージやファイルによるコラボレーションに対応するよう Slack を設定することができます。詳細は以下を参照してください。


背景

1996年医療保険の携行性と責任に関する法律 (HIPAA) は、保護対象保健情報 (PHI) のプライバシーとセキュリティ保護を定める米連邦法です。HIPAA の対象事業者または事業提携者に該当する場合には、アップロードされたファイルやメッセージの内容に含まれる PHI に対応するよう Slack を設定することができます。

対象事業者または事業提携者が Slack との間で事業提携契約を締結し、PHI の送信、アップロードや通信に Enterprise Grid を使用する場合、Slack は事業提携者であるとみなされます。


要件と制限

Slack が HIPAA 準拠への対応を開始する前に、Slack の HIPAA 事業体向け要件のガイドラインを確認し、これを実施することに合意いただく必要があります。以下の点に注意してください。

  • 対象は Slack Enterprise Grid プランを利用しているユーザーとなります。
  • 事業提携契約の締結が必要となります。
  • Slack を使用して患者、プランメンバーやその家族や雇用者と通信することはできません。
  • メッセージとファイルを除き、オーガナイゼーションのメンバーが他の Slack の機能を使用するときに PHI を含めることはできません。
  • メンバーによる Slack の使用を監視するツールやプロセスは、お客様の責任において実装する必要があります。例えば、Slack の Discovery API を使用し、外部のデータ損失防止 (DLP) プロバイダーを使用してメッセージやファイルの制限やエクスポートを実施する必要があります。
  • Slack が指定されたレコードセットを保持することはありません。また、Slack を健康情報の記録システムとすることはできません。
  • Slack は、Slack App ディレクトリ記載のものを含め、サードパーティ製アプリプロバイダーとの事業提携契約を締結していません。従って、アプリを有効にする前に、各アプリプロバイダーとの契約締結の要否をお客様の責任において判定する必要があります。


詳細情報のリクエスト

Slack と HIPAA についての詳細をご希望の場合には、お問い合わせください。より詳しい情報を提供させていただきます。