HIPAAの違い:保護された健康情報を保護しながら、ブレイズが思慮深い関与をどのようにサポートするか

公開: 2020-02-21

今日の消費者は、関連するブランド体験を求めています。 強力な関係を構築するために、ブランドは、各顧客に個人として話しかける方法でコミュニケーションをとることを保証する必要があります。これは、そのブランドが小売業者であるかヘルスケア分野であるかにかかわらず当てはまります。 しかし、落とし穴があります。データはこれらのパーソナライズされたエクスペリエンスの重要な部分ですが、消費者と規制当局の両方にとって非常に機密性の高いテーマでもあります。 今日のマーケティング担当者としてのデータの必要性を回避することはできませんが、データを軽く扱う余裕がないか、ブランドに委託された情報を保護および保護することに失敗することもできません。

健康関連のデータに関しては、これらすべてが特に当てはまります。 健康とフィットネスのブランドが提供するデジタルサービスが拡大し続けるにつれて、機密性の高い健康関連データを活用および保護する方法を見つける必要性がますます明らかになっています。 ブランド体験を通じて価値と利便性を迅速に提供する能力は、特に待ち時間が長いことで知られる空間で、人々の生活を具体的に改善することができますが、妥協することなくそれらの体験を知らせるデータを保護することが重要です。

健康関連のブランドでそれを可能にするために、Brazeは、プラットフォームのHIPAAコンプライアンスの達成と維持を優先しました。 それがなぜ重要なのか、それをどのように実現したのか、そしてそれがマーケターにとって何を意味するのかを見てみましょう。

HIPAAとは何ですか?

米国政府は、1996年に医療保険の相互運用性と説明責任に関する法律(HIPAA)を可決し、顧客の健康情報にデジタルアクセスできる組織がその機密性の高い情報を保護することを保証する規則を実装しました。 Protected Health Information(PHI)と呼ばれるこのデータには、健康記録や検査結果などの従来の医療データのほか、患者の名前、口座番号、画像、人口統計など、誰かの健康記録に関連する個人を特定するデータポイントが含まれます。情報など。

HIPAAは、次のような「対象エンティティ」に対してのみ義務付けられています。

  • 健康保険会社(HMO、会社の健康計画、メディケア、メディケイド)
  • 医療提供者(医師、診療所、専門家、薬局)
  • 健康データ会社

ただし、これらの組織は孤立した状態で運営されていません。 HIPAAにより、対象事業体は、ヘルスケア関連のニーズや活動を実行するために必要な場合に、他の組織(「ビジネスアソシエイト」と呼ばれる)にPHIを開示することができます。 ただし、これらのビジネスアソシエイトは、HIPAAに準拠するために、他の要件の中でも特に、サポートのために共有された目的でのみ使用して、問題のPHIを保護していることを確認する必要があります。

HIPAAコンプライアンスはどのように見えますか?

一般に、デジタルで保護された健康情報を送信するすべてのブランドは、HIPAAコンプライアンスを満たすために、特定の物理的、ネットワーク、およびプロセスのセキュリティ対策を講じて従う必要があります。 さらに、企業がHIPAAに準拠するためには、そのサブプロセッサ(対象エンティティに代わってPHIを処理する可能性のあるサードパーティ)もHIPAAに準拠している必要があります。 これは、サブプロセッサが以下を含むがこれらに限定されない厳格な要件に準拠する必要があることを意味します。

  • HIPAAで要求されるセキュリティとプライバシーのルールを順守することを明記したビジネスアソシエイト契約(BAA)に署名します
  • リスク分析を実行する
  • PHIを処理するハードウェアおよびソフトウェアのアクティビティを監査および追跡します
  • データバックアップ計画を実装する
  • 電子情報システムを保護するための物理的な保護手段をインストールする
  • コンプライアンスを確保するためのポリシーと手順を実装する

HIPAAに準拠することは簡単ではなく、1回限りの取引ではありません。 特に法律が時間の経過とともに更新されるため、継続的なサポート、保守、および集中が必要です。

HIPAAコンプライアンスとブレイズ

今日、データのプライバシーとセキュリティは、ブランドと消費者の両方にとって不可欠です。 Brazeのお客様(およびそのお客様)がPHIを安全かつ確実に処理して、意味のある関連性の高いエクスペリエンスをサポートできるようにするために、HIPAAコンプライアンス、およびデータのプライバシーとセキュリティ全般を、当社と当社の製品の最優先事項としています。 。

Brazeでは、HIPAAに準拠するために行った作業が、現在のデータセキュリティアプローチの基盤を形成しました。

「私たちが行った最初の大きな正式なリスク分析は、HIPAAに関するものでした」と、Brazeの共同創設者兼CTOであるJonHyman氏は述べています。 「私たちはHIPAAを研究する弁護士を雇い、彼と協力して、必要なことを実行していることを確認しました…[そして]文字通り、潜在的な脅威と脆弱性のリスク記録を持ったリスク分析を構築しました。場所、問題の可能性、潜在的な影響、修復の様子、インシデント対応チームがどのように対処するか。」

Brazeは、インフラストラクチャ関連の重要な作業も完了しました。 1つは、PHIを使用するブランド向けに、HIPAAに焦点を合わせたBrazeプラットフォームのクラスターを個別に作成したことです。 Braze HIPAAクラスターでは、「別のURLにログインし、非HIPAA環境にいない場合、SDKはまったく異なるURLと異なるサーバーセットにアクセスします」とHyman氏は言います。 「データベースは別のものです。 すべてが完全に分離されています。 ファイアウォールルールが異なります。 独自の仮想ネットワークがあります。 Braze内の他の環境から完全に分離されており、分離の観点からは優れています。」

BrazeはHIPAAに準拠していることを誇りに思っていますが、それだけではありません。 私たちは、法律で義務付けられているものを超えて、これらの措置を繰り返し続けてきました。 たとえば、2要素認証、ダッシュボードとAPIのIPホワイトリスト、パスワードの有効期限ポリシー、パスワードの複雑さのルールなどの保護機能を追加しました。

HIPAAコンプライアンスは、すべてのBrazeのお客様にとって厳格な情報セキュリティを意味します

しかし、HIPAAコンプライアンスはBrazeの主要な取り組みでしたが、その後のすべての道を開くことになりました。実際、2018年には、SOC 2 Type2監査とISO27001認定も無事に完了し、2回目の監査と認定を完了しました。昨年。

米国公認会計士協会(AICPA)によって監督されているSOC 2標準は、特定の企業のセキュリティ管理のコンプライアンス要件を定めています。 この監査により、Brazeはすでに厳格な情報セキュリティポリシーと手順を確立していることが確認されました。 さらに、ISO 27001認定は、Brazeがセキュリティリスクの包括的な評価を実施し、国際標準化機構(ISO)のグローバル情報セキュリティ管理標準に準拠した情報セキュリティ管理システム(ISMS)を備えていることを確認しています。

「HIPAAがPHIを使用するブランドのためにBrazeを運用することを要求する方法は、現在私たちが全面的に運用する方法です」とHymanは説明します。 「たとえば、HIPAAの管理上の保護措置により、リスク分析を行う必要がありました。 しかし、これはISO 27001の要件でもあり、情報セキュリティ管理システムが高水準に準拠していることを確認する必要があります。 そして、すべてがそこから続きます。 適切な管理、出国する従業員へのアクセスの終了などの効果的なプロセス、および機密データを全面的に処理するプロセスがあることを確認してください。」

次のステップ

データのプライバシーとセキュリティが重要になり、今まで以上に重要になっています。 HIPAAコンプライアンスに取り組んでいるプラットフォームにより、健康とフィットネスのブランドは、プライバシーを尊重しながら、思い出に残る関連性の高い体験を顧客に提供できます。

パーソナライズされたHIPAA準拠のコミュニケーション戦略がブランドの価値をどのように高めるかを知るには、HelpAroundがBrazeでアプリのユーザー維持をどのように高めるかを確認してください。