AcuityアカウントをHIPAA適格にする。

Acuity Schedulingは、医療保険の携行性と責任に関する法律 (HIPAA) のセキュリティ ルールの要件に準拠できるように設計されています。フォーム ブロックなどのお問い合わせフォーム機能をはじめとして、Squarespaceプラットフォームの他の機能は、HIPAA適格ソリューションの一部として使用できません。Acuityの範囲外で患者情報をオンラインで安全に収集するには、外部の適格なサービスにリンクすることをおすすめします。

このガイドでは、米国法で解釈される保護対象保健情報をAcuityがどのように取り扱うかについて説明します。お客様が医療業界に従事されていない場合、このガイドは適用されないと考えられます。

備考: Acuityは現時点で、HIPAA要件に準拠したサービスを提供するように設計されている唯一のSquarespace機能です。お客様の事業提携契約 (BAA) には、Squarespaceの他の機能は含まれていません。Acuity以外のSquarespace機能を通じて、保護対象健康情報を維持または送信しないでください。

Powerhouseプランでは、AcuityアカウントをHIPAA適格にすることができます。

HIPAAセキュリティ ルールの要件を満たすAcuity

認可を受けたサードパーティーの情報セキュリティ コンサルタントがAcuityをレビューし、AcuityがHIPAAセキュリティ ルールの要件を満たせることを認証しました。

アカウントをHIPAA適格にする

1. Powerhouseプランに加入していることを確認してください。
2. Acuityで、[外観をカスタマイズ] をクリックします。
3. [予約ページのオプション] をクリックします。
4. ページの上部にあるリンクをクリックして、BAA署名プロセスを開始します。
5. BAAを確認し、ご自身の義務を必ず確認します。
6. 必要な情報を入力し、[送信] をクリックして、BAAに署名します。

HIPAAに対するお客様の責任

AcuityでHIPAA関連の機能を有効にするだけでは、HIPAAに準拠したことにはなりません。コンプライアンスを維持するには、ビジネス慣行とシステムがAcuityと連携していることを確認する必要があります。

HIPAAセキュリティ ルールに準拠した形でAcuityを使用するには、アカウントの設定時に責任を果たす必要があります。これらの責任には、テキストおよびメール メッセージで追加または除外する電子の保護対象保健情報の量とタイプを慎重に選択することや、Squarespaceの事業提携契約 (BAA) に署名することが含まれます。

BAAは、対象事業体と業務関係者との間で交換される、保護対象保健情報の使用と保護について規定しています。現在の状況では、貴社がHIPAAの対象となる事業体である場合、Squarespaceはお客様の業務関係者です。詳細については、米国保健福祉省のサイトをご覧ください。

一般要件

• HIPAA関連サービスを有効にし、SquarespaceのBAAに署名するには、 Powerhouseプランに加入している必要があります。このプランでは外部のBAAに署名することはありませんが、Enterpriseプランでは追加料金を支払うことでカスタムBAAを利用できます。Enterpriseプランの詳細については、お問い合わせください。
• アカウントを通じて保護対象医療情報を維持または送信する前に、AcuityアカウントがHIPAA適格になっていることをご確認ください。
• すべてのAcuityアカウントをHIPAA適格にする必要があります。アカウントは、その特定のアカウントに対して個別にBAAが署名された場合にのみHIPAA適格になります。
• ご自分のニーズを満たし、HIPAAに準拠するために、適切な管理、設定、制限が行われていることを確認する責任は、お客様自身にあります。特定の管理および匿名化の実行方法や、組織、顧客、Squarespace間で交換される情報の種類など、HIPAAに準拠するための独自の取り組みを管理および決定するのは各組織です。各組織は異なり、独自のニーズを持っているため、Squarespaceでは、お客様がそれぞれの準拠プログラムを満たすのに役立つ設定を提供しています。

HIPAA適格のAcuity Schedulingアカウントの保護を強化する

すべてのAcuityアカウントは、ほとんどの技術的保護機能およびセキュリティ保護機能を共有しますが、HIPAA適格アカウントには、次のとおり追加の保護機能が適用されます。

• Squarespaceが送信するメール通知に、顧客フォームへの回答は含まれません。
• 受付フォームは、ローカル コンピューターまたはデバイスからのファイル アップロードのみを受け付けます。Googleドキュメントや同様のサービスからのアップロードはできません。
• クライアントは、メールアドレスを使用してパッケージ、ギフト券、またはサブスクリプション コードの残高を確認することはできません。
• Office 365、Outlook.com、Live.com、 ExchangeおよびiCloudとカレンダーの同期ができません。AcuityアカウントをHIPAA適格にする前に、これらのサービスとの同期を無効にしてください。
• Squarespaceメールキャンペーンとの連携は使用できません。この連携がアクティブな場合は、AcuityアカウントをHIPAA適格にする前に、お客様ご自身で無効にする必要があります。
• Acuityのインボイス機能は有効になっていません。
• Reserve with Googleとの連携は有効になっていません。
• サブスクリプション更新リマインダー メールに、サブスクリプション名は含まれません。

メールとテキスト通知の管理と設定

• メールおよびテキスト通知には、顧客名、メールアドレス、アポイントメント タイプや日時などの保護対象保健情報 (PHI) が既定で含まれる場合があります。通知設定を更新して、メッセージ内の情報を変更するのはお客様の責任です。
• 既定では、顧客とお客様に送信される確認メールと再予約メッセージに、添付ファイルとしてカレンダーファイル (ICS招待) が含まれています。このICS招待には、顧客名、アポイントメント タイプや時間が含まれています。この機能を無効にするには、お問い合わせください。
• メール通知を無効にしない場合、Acuityは、顧客の名前とメールアドレスを表示した [差出人] フィールドと [返信先] フィールドを含むメールを送信します。
• 顧客は、[登録解除] をクリックしてマーケティング メールをオプトアウトできます。取引の完了を記録する自動メールは、引き続き顧客に送信されます。「STOP」と返信することで、テキスト メッセージの受け取りを拒否することができます。顧客に代わってアポイントメントをスケジュールする際、顧客に通知が送信されないようにするには、アポイントメントの詳細に顧客のメールアドレスや電話番号を入力しないでください。

サードパーティーとの連携とHIPAA

サードパーティーの連携機能の多くがHIPAAをサポートしていません。AcuityアカウントをHIPAA適格にする前に、これらの連携機能の一部またはすべてを無効にできます。

Acuityを、GoogleカレンダーやStripeといったサードパーティーの連携機能に接続する場合、その連携機能がお客様のビジネスに適したものであるかを判断したり、HIPAAへ準拠するための取り組みや義務を果たすために使用方法、設定、セキュリティ、各種情報を変更したりするのは、お客様の責任です。また、HIPAAに準拠するための取り組みや義務を果たすために必要な契約を新たに締結することも、お客様の責任です。サードパーティーのサービスを使用する前に、これらすべてを行う必要があります。

署名済みのBAAにアクセスする

BAAは次の手順でいつでも確認またはダウンロードできます。

1. Acuityで、[外観をカスタマイズ] をクリックします。
2. [予約ページのオプション] > [View and download your signed BAA] の順にクリックします。
3. また、[PDFでダウンロード] をクリックして、コピーをダウンロードすることもできます。