もしあなたが顧客サポートソフトウェアを評価している医療機関であれば、おそらく「ZendeskはHIPAA(Health Insurance Portability and Accountability Act:医療保険の携行性と責任に関する法律)に準拠しているか?」と自問したことがあるでしょう。手短に言えば、答えは「はい」ですが、重要な注意点があります。ZendeskはHIPAAの要件を満たすように構成できますが、デフォルトでは準拠していません。
この区別は重要です。多くの医療提供者は、Zendeskのサブスクリプションを購入すれば、HIPAAコンプライアンスが自動的に保証されると考えています。実際には、コンプライアンスを達成するには、適切なプラン、必須のアドオン、BAA(Business Associate Agreement:事業提携契約)、および複数の製品にわたる50以上の特定のセキュリティ構成が必要です。この複雑さを乗り越えることなく患者サポートを合理化したいチームにとって、eesel AIは代替アプローチを提供します。当社のAIチームメイトは、既存のヘルプデスクと統合し、初日からコンプライアンス要件を学習するため、構成管理ではなく患者ケアに集中できます。
ZendeskをHIPAAに準拠させるために必要なこと、そしてその投資があなたの組織にとって理にかなっているかどうかを正確に説明します。
ZendeskとHIPAAコンプライアンスの理解
Zendeskは、世界中の数千の組織で使用されているカスタマーエクスペリエンスプラットフォームです。チケッティング、ライブチャット、ヘルプセンター、およびAI(Artificial Intelligence:人工知能)搭載のサポートツールを提供します。One MedicalやHeartFlowなどの医療機関は、Zendeskを使用して患者とのコミュニケーションとサポートワークフローを管理しています。
HIPAA(Health Insurance Portability and Accountability Act:医療保険の携行性と責任に関する法律)は、機密性の高い患者の医療情報(PHI(Protected Health Information:保護されるべき医療情報))を保護するための国家基準を定めています。PHIを処理するソフトウェアは、厳格なセキュリティ、プライバシー、および管理上の要件を満たす必要があります。
ここで重要な点は、Zendeskは、標準のメインサービス契約の下で、PHIの保存または送信を明示的に禁止していることです。ただし、「Zendeskが書面で別途明示的に合意した場合」を除きます。これは、Zendeskをそのまま使用してもHIPAAに準拠していないことを意味します。
ZendeskでPHIを合法的に処理するには、次の3つのものが必要です。
- HIPAA対応のサービスプラン(Suite Enterprise以上)
- Advanced Data Privacy and Protection Add-On
- Zendeskとの署名済みのBAA(Business Associate Agreement:事業提携契約)
これらが整っていても、コンプライアンスはプラットフォームの構成方法と使用方法に完全に依存します。Zendeskの公式ドキュメントに記載されているように、「Zendeskを使用しながらHIPAAコンプライアンスを遵守することは、主にソフトウェアの使用方法によって異なります。」
Zendesk HIPAAコンプライアンス要件
必要なプランとアドオン
HIPAAコンプライアンスは、ZendeskのSuite Enterpriseプラン以上でのみ利用可能です。下位層のプラン(Suite Team、Growth、およびProfessional)は、構成に関係なくHIPAAコンプライアンスをサポートしていません。
参考までに、Zendeskの標準Suiteの価格設定の内訳は次のとおりです。
| プラン | 月額料金(エージェントごと) | 年額料金(エージェントごと) | HIPAAサポート |
|---|---|---|---|
| Suite Team | $55 | $49 | 利用不可 |
| Suite Growth | $89 | $79 | 利用不可 |
| Suite Professional | $115 | $99 | 利用不可 |
| Suite Enterprise | カスタム価格 | カスタム価格 | アドオンで利用可能 |
出典:Zendeskの価格
Enterpriseプランに加えて、Advanced Data Privacy and Protection Add-Onを購入する必要があります。このアドオンには、BAA、高度な暗号化機能、アクセスログ、編集機能、およびデータ保持ポリシーが含まれています。Zendeskはアドオンの価格を公に開示していないため、見積もりについては営業チームに問い合わせる必要があります。
BAA(Business Associate Agreement:事業提携契約)
BAA(Business Associate Agreement:事業提携契約)は、医療提供者などの対象事業体がPHI(Protected Health Information:保護されるべき医療情報)をサードパーティベンダー(Zendeskなど)と共有する場合に、HIPAA(Health Insurance Portability and Accountability Act:医療保険の携行性と責任に関する法律)に基づいて義務付けられている法的拘束力のある契約です。BAAは、PHIを保護するための各当事者の責任を概説します。
Zendeskは、顧客ごとに個別のBAAに署名しません。代わりに、メインサービス契約への標準化されたBAA補遺を提供します。この補遺は、必要なHIPAA条項を網羅し、その範囲に含まれるZendeskサービスを指定します。
重要なことに、BAAは特定の「対象サービス」にのみ適用されます。追加機能、マーケットプレイスアプリ、またはサードパーティの統合は対象外であり、個別のコンプライアンス評価が必要です。
出典:Zendesk Business Associate Agreement
Zendeskのコンプライアンス機能の詳細については、高度なコンプライアンスドキュメントを参照してください。
セキュリティ構成要件
適切なプランとBAAを導入したら、実際の作業が始まります。Zendeskでは、さまざまな製品全体で50を超える特定のセキュリティ構成が必要です。これらの構成は以下をカバーしています。
- **Zendesk Support:**認証、SSL(Secure Sockets Layer)暗号化、IP(Internet Protocol)制限、API(Application Programming Interface)セキュリティ、添付ファイルの保護、通知設定
- **Zendesk Guide:**コンテンツ制限、ユーザーコメントのモデレーション、公開プロファイル設定
- **Zendesk Messaging:**ファイル添付ファイルの制御、AIエージェントの構成、エンドユーザー認証
- **Zendesk Chat:**トランスクリプトの処理、メールパイプの制限、エージェントワークスペースのセキュリティ
- **Zendesk Explore:**アクセス許可、ダッシュボード共有の制御、エクスポート制限
- **Zendesk AI:**使用制限(医学的アドバイス、診断、または治療の決定には使用できません)
- **モバイルアプリケーション:**デバイスの暗号化、生体認証アクセス、通知設定
出典:Zendesk Security Configuration Requirements
SOC(System and Organization Controls)2 Type IIおよびISO(International Organization for Standardization)27001を含むZendeskのセキュリティ認証の完全な概要については、トラストセンターをご覧ください。
Zendeskにおける一般的なHIPAAコンプライアンスの落とし穴
適切なプランと構成があっても、医療機関はコンプライアンスを危険にさらす間違いを頻繁に犯します。回避すべき最も一般的な落とし穴を次に示します。
アクセス制御の問題
Zendeskのデフォルト設定には、比較的オープンなアクセス制御が付属しています。ロールベースのアクセスを積極的に構成しない場合、エージェントは自分の役割に関係のないチケットやPHI(Protected Health Information:保護されるべき医療情報)を目にする可能性があります。これは、HIPAAの「最小限必要な」基準に違反します。
Enterpriseプランでは、特定のチケットアクセス許可を持つカスタムロールを作成できます。エージェントが自分に割り当てられたチケット、自分のグループ、または自分の組織のチケットのみを表示するように制限できます。定期的なアクセス監査(月次を推奨)は、アクセス許可が現在の職務責任と一致していることを確認するのに役立ちます。
サードパーティ統合のリスク
これは、見落とされているコンプライアンスリスクのナンバーワンです。ZendeskのBAA(Business Associate Agreement:事業提携契約)は、マーケットプレイスアプリまたはサードパーティの統合には適用されません。
多くの医療機関は、これらのアプリがHIPAAに準拠していない可能性があることに気付かずに、Zendeskマーケットプレイスからアプリをインストールします。これらのアプリと共有されるPHI(Protected Health Information:保護されるべき医療情報)は、ZendeskのBAA保護の対象外となります。
リスクの高い統合には次のものがあります。
- **Slack:**Slackは、Enterprise GridプランでのみBAAを提供しています。標準のSlack統合は、PHIをコンプライアンス境界外に公開します。
- **SMS(Short Message Service)/テキストメッセージング(Twilio、Zendesk Talk Text):**SMSは暗号化されておらず、HIPAAに準拠していません。テキストメッセージでPHIを送信しないでください。
- **ソーシャルメッセージング(Facebook、WhatsApp):**これらのチャネルは、ZendeskのBAAの範囲外です。
- **ほとんどのマーケットプレイスアプリ:**ほとんどがHIPAAコンプライアンスドキュメントを欠いています。
PHI(Protected Health Information:保護されるべき医療情報)を処理する統合については、そのベンダーから個別のBAAを取得し、コンプライアンスを個別に検証する必要があります。
出典:Adelante CX Insights on HIPAA Pitfalls
チケットでのPHIの取り扱いミス
サポートチケットには、機密情報が含まれていることがよくあります。適切なトレーニングとツールがないと、エージェントは誤ってPHI(Protected Health Information:保護されるべき医療情報)をチケットの件名、コメント、またはカスタムフィールドに含めてしまう可能性があります。これにより、コンプライアンス上のリスクが生じます。
Zendeskは、チケットから機密情報を削除するための編集ツールを提供しています。ただし、編集は手動で、またはサードパーティのDLP(Data Loss Prevention:データ損失防止)ツールを使用して実行する必要があります。ZendeskはPHIを自動的に検出または編集しません。
ベストプラクティスは次のとおりです。
- スタッフにPHI(Protected Health Information:保護されるべき医療情報)を構成するものとその取り扱い方法についてトレーニングする
- 必要な情報のみを収集するためにカスタムチケットフィールドを使用する
- PHI(Protected Health Information:保護されるべき医療情報)の露出についてチケットを定期的に監査する
- 自動検出のためにDLP(Data Loss Prevention:データ損失防止)ツールを実装する
AIと自動化の考慮事項
ZendeskのAI(Artificial Intelligence:人工知能)機能には、多くの組織が見落としている特定のHIPAA制限があります。Zendeskのセキュリティ要件によると:
- AI機能は、医学的または医療上のアドバイスを提供するために使用することはできません
- AIは、状態または症状の診断を提供することはできません
- AIは、治療法を処方することはできません
- AIは、ユーザーが専門的な医療アドバイスを求めることを妨げることはできません
- 生成されたAIの出力は不正確な場合があり、臨床上の決定に依存すべきではありません
ヘルスケア環境でAIエージェントまたは自動応答を使用する場合は、これらの禁止されている使用を回避するために、慎重に構成する必要があります。さらに、患者とAIエージェント間の会話がチケットに変換された場合、現在チケット内で編集することはできず、完全に削除することしかできません。
出典:Zendesk AI Security Requirements
ヘルスケアでの使用例の詳細については、Zendeskのヘルスケアソリューションページを参照してください。
ステップバイステップ:ZendeskをHIPAAに準拠させる
ヘルスケア組織でZendeskを使用することにした場合は、HIPAAコンプライアンスを実装する方法を次に示します。
ステップ1:適切なプランにアップグレードする
Zendeskの営業担当者に連絡して、HIPAAコンプライアンスのニーズについて話し合ってください。次のことを行う必要があります。
- Suite Enterpriseにアップグレードする(まだアップグレードしていない場合)
- Advanced Data Privacy and Protection Add-Onを購入する
- BAA(Business Associate Agreement:事業提携契約)を確認して実行する
このステップでは、セルフサービスアップグレードを使用するのではなく、通常、Zendeskのアカウント担当者と協力する必要があります。
ステップ2:コアセキュリティ設定を構成する
基盤となるセキュリティ制御を実装します。
- シングルサインオン(SSO(Single Sign-On))を有効にするか、ネイティブパスワード設定を「推奨」に設定し、必須の2要素認証(2FA(Two-Factor Authentication))を設定します
- SSL(Secure Sockets Layer)暗号化が有効になっていることを確認します(すべてのHIPAA対応アカウントで必須)
- エージェントアクセスのIP(Internet Protocol)アドレス制限を設定します(MFA(Multi-Factor Authentication:多要素認証)が強制されている場合を除く)
- 可能であればOAuth(Open Authorization)2.0を使用してAPI(Application Programming Interface)セキュリティを構成し、定期的なトークンローテーションを行います
- 添付ファイルを保護するために「ダウンロードに認証が必要」を有効にします
出典:Zendesk Security Configuration
ステップ3:製品固有の設定を構成する
各Zendesk製品には、独自のコンプライアンス構成が必要です。
**Support:**PHI(Protected Health Information:保護されるべき医療情報)を除外するようにメール通知を構成します。通知メールにチケットの内容を含める代わりに、応答が利用可能であることをユーザーに警告し、詳細を表示するにはログインを要求するように設定します。
**Guide:**公開ヘルプセンターの記事にPHI(Protected Health Information:保護されるべき医療情報)が表示されないようにします。ユーザーコメントを完全に無効にするか、モデレーションを有効にして、すべての送信が表示される前に確認します。
**Messaging:**安全な添付ファイルの処理を実装していない限り、エンドユーザーのファイル添付ファイルを無効にします。AIエージェントの構成を確認して、禁止されている医学的アドバイスを提供していないことを確認します。
**Explore:**PHI(Protected Health Information:保護されるべき医療情報)を含むすべてのチケットを表示できるエージェントへのアクセスを制限します。公開ダッシュボードの共有を無効にするか、強力な認証で共有ダッシュボードをパスワードで保護します。
**Mobile:**デバイスレベルの暗号化、生体認証またはPIN(Personal Identification Number)アクセスを要求し、ロック画面にチケットの内容を表示する通知を無効にします。
ステップ4:監査と監視
コンプライアンスは、1回限りの設定ではありません。継続的なメンテナンスには以下が含まれます。
- 包括的な監査ログの有効化
- 疑わしいアクティビティ(営業時間外のアクセス、大量のデータエクスポート、複数回のログイン失敗)のアラートの設定
- 毎月のアクセスレビューの実施
- HIPAAに準拠したZendeskの使用に関するすべてのスタッフのトレーニング
- 構成の四半期ごとのレビューと更新
Zendesk HIPAAコンプライアンス:努力する価値はありますか?
ZendeskでHIPAAコンプライアンスを達成するには、複数の側面で多大な投資が必要です。
**経済的コスト:**Suite Enterpriseの価格はカスタムであり、下位層よりも大幅に高くなっています。Advanced Data Privacy and Protection Add-Onは追加コストを追加します。多くの組織は、すべてを正しく構成するために実装パートナーも必要としており、さらに数千ドルの費用がかかる可能性があります。
**時間投資:**構成プロセスには、複数の製品にわたる50を超える特定の設定が含まれます。計画、実装、およびテストには数週間かかる場合があります。
**継続的なメンテナンス:**コンプライアンス構成は、時間の経過とともにドリフトする可能性があります。新しい機能、アプリのインストール、またはスタッフの変更により、誤ってコンプライアンスのギャップが生じる可能性があります。定期的な監査と更新が不可欠です。
**リスクエクスポージャー:**構成が完全に維持されていない場合、組織は構成の誤りから生じる不正アクセスまたはPHI(Protected Health Information:保護されるべき医療情報)の開示について全責任を負います。
専任のIT(Information Technology)およびコンプライアンスチームを擁する大規模な医療機関の場合、この投資はZendeskの包括的な機能セットによって正当化される場合があります。ただし、小規模な診療所や広範な技術リソースを持たない組織は、負担が大きすぎると感じる可能性があります。
これは、eesel AIのアプローチが異なる点です。コンプライアンスのために複雑なプラットフォームを構成する必要があるのではなく、AIチームメイトとして既存のヘルプデスクと統合します。特定のコンプライアンスポリシーを学習し、プロトコルに従って患者の問い合わせを処理し、人間の判断が必要な場合は適切にエスカレーションします。コンプライアンスを構成する必要はありません。それを理解しているチームメイトを雇います。
当社のAIエージェントは、コンプライアンス境界を尊重しながら、最前線のサポートを自律的に処理します。当社のAIコパイロットは、送信する前にチームが確認するための応答を下書きします。また、Zendeskとの統合は、インフラストラクチャを置き換えることなく、既存のセットアップにAI機能を追加できることを意味します。
HIPAAに準拠したカスタマーサポートの開始
Zendeskは、ヘルスケアカスタマーサポートのための強力なプラットフォームであり、HIPAAに準拠させることができます。しかし、その道は迅速でも簡単でもありません。適切なプラン、必須のアドオン、広範な構成、および継続的なメンテナンスが必要です。
コミットする前に、組織がこれらの要件を実装および維持するためのリソースを持っているかどうかを検討してください。サブスクリプションのコストだけでなく、コンプライアンスを維持するために必要な時間、専門知識、および継続的な注意も考慮してください。
構成の複雑さなしにAI(Artificial Intelligence:人工知能)搭載のサポートが必要なチームにとって、eesel AIは代替手段を提供します。当社のAIチームメイトは、既存のチケット、ヘルプセンター、およびドキュメントからビジネスとコンプライアンスの要件を学習します。エスカレーションルールをわかりやすい英語で定義します。残りは当社が処理します。
HIPAAコンプライアンスのためにZendeskを構成することを選択した場合でも、AIの代替手段を検討する場合でも、重要なのは、患者が期待するサポートエクスペリエンスを提供しながら、患者データを保護することです。
ヘルスケアサポートを簡素化する準備はできましたか?eesel AIを無料でお試しください。当社のAIチームメイトがコンプライアンスフレームワーク内でどのように機能するかをご覧ください。
よくある質問
この記事を共有
Article by
Stevia Putri
Stevia Putri is a marketing generalist at eesel AI, where she helps turn powerful AI tools into stories that resonate. She’s driven by curiosity, clarity, and the human side of technology.
