詳細情報:
データ保護とプライバシー - Health CloudおよびLife Sciences Cloud
ユーザーのデータのプライバシーを維持するには、Health CloudとLife Sciences Cloudのお客様のリード、取引先責任者、個人取引先レコードでデータ保護の詳細が使用できることを確認します。
制御の概要
Health CloudおよびLife Sciences Cloudレコードのメタデータを使用して、暗号化、アクセス制御、同意の追跡などのデータ保護基準をドキュメント化し、機密の医療データのHIPAA、GDPR、FHIR標準へのコンプライアンスをサポートします。
説明
この Salesforce 機能では、構造化メタデータ項目 (患者プロファイル、ケアプランなど) をレコードに追加して、データ分類、保持ポリシー、処理手順などのプライバシーの詳細を記録します。これらの情報は、レポートまたは API を介して監査に表示されます。
推奨設定
[設定]>[Health Cloud/Life Sciences Cloud設定]で[データ保護の詳細をレコードで使用できるようにする]を選択します。
セキュリティへの影響
プライバシー制御をデータレコードに直接組み込むことで、不正アクセスのリスクを軽減し、クラウド環境での共有責任モデルに従って PHI/ePHI の保護を監査可能な証拠として提供します。
ビジネスへの影響
規制監査を合理化し、統合プロファイルを使用して患者ケアの調整を迅速化し、部門全体の同意とアクセスの記録を自動化してコンプライアンスコストを最小限に抑えます。
設定されていない場合のセキュリティリスク
レコードメタデータにデータ保護の詳細が含まれていないと、監査証跡が不完全になり、HIPAA または GDPR 違反の可能性があり、検査や違反時に機密の医療データが公開される可能性があります。
脅威のシナリオ
データ保護とプライバシーコントロールが弱いと、同意要件とデータ処理ポリシーを適用できず、規制コンプライアンス違反や漏洩が発生します。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
EHR インテグレーションとマルチテナントアクセスによるデータ量を考慮。臨床データ交換が頻繁に行われる環境でのデータ漏洩の増加。
より高いリスク
暗号化されていない項目、Shield インテグレーションがない項目、分類の表示ラベルのない FHIR API の高速データで使用されます。マルチクラウドの設定はサードパーティのリスクを増幅します。
低リスク
Salesforce Shield(暗号化、監査履歴)、ロール ベースのアクセス、通常のコンプライアンス レポートと組み合わせることで、厳格で最小限の権限を持つ内部ユーザーのみを使用できます。
ビジネスと統合に関する考慮事項
強くお勧めします。統合プロファイル、EHR の FHIR、外部 SIEM については Data Cloud とシームレスに統合します。ケアワークフローが中断されないように Sandbox でテストします。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
HIPAA要件を持つHealth CloudおよびLife Sciencesのお客様に強くお勧めします。
影響を受けるユーザー
Health Cloud/Life Sciences Cloudを設定する組織管理者、コンプライアンス チーム、ケア コーディネーター、APIまたはポータルを使用して患者レコードにアクセスする外部パートナー。
