Slack と HIPAA

Enterprise Grid プランでは、Slack を HIPAA 準拠のメッセージやファイルによるコラボレーションに対応するよう設定できます。詳細は以下を参照してください。


背景

医療保険の相互運用性と責任に関する法律(HIPAA)は、保護対象となっている医療情報(PHI)のプライバシーとセキュリティ保護を定める米連邦法です。HIPAA の対象事業者または事業提携者に該当する場合には、アップロードされたファイルやメッセージの内容に含まれる PHI に対応するよう Slack を設定することができます。

対象事業者または事業提携者が Slack との間で事業提携契約を締結し、PHI の送信、アップロードや通信に Enterprise Grid を使用する場合、Slack は事業提携者であるとみなされます。


要件と制限

Slack が HIPAA 準拠への対応を開始する前に、Slack の HIPAA 事業体向け要件のガイドラインを確認し、これを実施することに同意していただく必要があります。以下の点に注意してください。

  • Slack Enterprise Grid プランを利用しているユーザーが対象です。
  • 事業提携契約の締結が必要です。
  • Slack を使用して、患者、プランメンバー、その家族や雇用者と通信することはできません。
  • メッセージとファイルを除き、オーガナイゼーションのメンバーが Slack のほかの機能を使用する時に PHI を含めることはできません。
  • メンバーによる Slack の使用を監視するツールやプロセスを実装するのは、Slack API を使用するユーザー企業の責任です。ユーザーは Slack の Discovery API を使用する必要があり、外部のデータ損失防止(DLP)プロバイダーを設定して、メッセージやファイルの制限およびエクスポートを実施することをおすすめします。
  • Slack が指定されたレコードセットを保持することはありません。また、Slack を健康情報の記録システムとすることはできません。
  • Slack は、Slack App ディレクトリのアプリを含め、サードパーティ製アプリプロバイダーとの事業提携契約を締結していません。そのため、各アプリプロバイダーとの契約締結が必要かどうかをユーザーが責任をもって判定してから、アプリを有効にする必要があります。


詳細情報のリクエスト

Slack と HIPAA についての詳細を希望される場合には、お問い合わせください。さらに詳しい情報を提供します。