🏥 HIPAA要件の理解

HIPAAコンプライアンスの基本

📋 技術的保護対策

・転送中および保存時のエンドツーエンド暗号化
・アクセス制御とユーザー認証
・監査証跡およびアクティビティログ
・自動セッションタイムアウト

📄 行政上の要件

• ビジネスアソシエイト契約（BAA）
・スタッフ研修およびアクセス方針
・インシデント対応手順
・定期的なコンプライアンス監査

For AI transcription tools like Sembly, HIPAA compliance means protecting Protected Health Information (PHI) that might be discussed during medical consultations, team meetings, or telehealth sessions.

🔒 Sembly AI のセキュリティ機能

✅ 利用可能なセキュリティ機能

🔐256ビットAES暗号化データは送信中（TLS 1.2以上）および保存時の両方で暗号化されています
🏢エンタープライズ向けクラウドインフラストラクチャSOC 2 Type II 準拠の AWS サーバー上でホストされています
👥ロールベースのアクセス制御:粒度の細かい権限管理とユーザー管理
📊監査ログ記録包括的なアクティビティの追跡とレポート
🗂️データ所在地管理:特定の地理的な保存場所を選択

⚠️ 重要な制限事項

📝BAAが必要:医療用途には、別途申請および署名が必要です
💰エンタープライズプラン限定：基本プラン（ユーザーあたり月額20ドル以上）ではHIPAA機能は利用できません
⚙️設定が必要です:デフォルト設定はHIPAA要件を満たさない場合があります
🔍自動的なPHI検出なし組織はコンテンツポリシーを導入しなければなりません

📋 HIPAA実装チェックリスト

フェーズ1：実装前（2〜4週間）

HIPAA 要件について話し合うために Sembly の営業チームに連絡するビジネスアソシエイト契約書（BAA）のレビューと交渉HIPAA機能付きのEnterpriseプランにアップグレードするあなたの組織のリスク評価を実施する

フェーズ2：構成（1～2週間）

すべての録画に対してエンドツーエンド暗号化を有効にするHIPAA要件に基づいてデータ保持ポリシーを設定すべてのユーザーに対してロールベースのアクセス制御を設定する監査ログ記録とモニタリングを有効にする自動セッションタイムアウトを設定する

フェーズ3：トレーニングとデプロイメント（1～2週間）

スタッフにHIPAA準拠の利用ポリシーを教育するインシデント対応手順を確立するPHI（個人の医療情報）取扱いコンテンツポリシー 1. 目的本ポリシーは、PHI（Protected Health Information：保護対象医療情報）の収集・利用・保存・共有・廃棄に関するルールを定め、プライバシー保護と法令遵守（例：HIPAA 等）を徹底することを目的とする。 2. 適用範囲 - 患者、利用者、従業員、その他個人を特定し得る医療関連情報を扱うすべてのコンテンツ（テキスト、音声、画像、動画、ログ、メタデータ等） - 社内外のすべてのシステム、ツール（例：メール、チャット、CRM、サポートツール、Notion、Fireflies、Otter.ai、Zoom 等） - 全従業員、業務委託、パートナー、第三者ベンダー 3. PHI の定義以下を含む、個人を識別し得る医療・健康関連情報を PHI とみなす： - 氏名、住所、電話番号、メールアドレス - 生年月日、マイナンバー、保険証番号、会員 ID 等の識別子 - 診断名、検査結果、投薬情報、治療内容、予約情報、カルテ情報 - 顔写真、音声、ビデオ等、個人識別に結びつくメディア - 他のデータと組み合わせて個人特定が可能となる情報全般 4. 収集・生成に関するポリシー - 不要な PHI は収集・入力・生成しない（最小限必要な情報のみ）。 - コンテンツ作成時（マニュアル、メールテンプレート、チャットログ、学習データ等）には、実在の PHI を含めない。 - テスト・検証・デモ用には必ず架空データ／匿名化データを使用する。 - ユーザーから PHI を取得する場合は、事前に利用目的と範囲を明示し、必要に応じて同意を取得する。 5. 表示・共有・開示に関するポリシー - PHI を含むコンテンツの閲覧は、「業務上の正当な必要性（Need-to-know）」がある者に限定する。 - メール、チャット、ドキュメント、画面共有、録画・録音などで PHI を含む情報を共有する場合は、事前に必要性を確認し、不要部分はマスク・削除する。 - Zoom やその他の会議ツールの録画・録音には細心の注意を払い、PHI を含む場合はアクセス権限と保存先を厳格に管理する。 - SNS、ブログ、マーケティング資料、プレゼン資料等には、実在の PHI を一切含めない。 - 外部ベンダーやパートナーと PHI を共有する場合は、適切な契約（例：機密保持契約、BAA 等）を締結した上で、暗号化と権限管理を行う。 6. 保存・暗号化・アクセス管理 - PHI を含むすべてのデータは、暗号化された安全なストレージに保存する。 - アクセス権限は最小権限原則（Least Privilege）に基づき設定し、定期的に見直す。 - モバイル端末・ノート PC・USB 等に PHI を保存しないことを原則とし、やむを得ず保存する場合は、フルディスク暗号化と強固な認証を必須とする。 - ログ（アクセスログ、操作ログ）を取得・保管し、不正アクセスの検知と監査を可能にする。 7. 利用・二次利用・分析 - PHI を分析・統計・機械学習などに利用する場合は、原則として匿名化・仮名化を実施し、個人を再特定できない形にする。 - 匿名化が困難な場合は、事前に法令・契約・社内規程に基づく適切な手続きを行う。 - マーケティング、セールス、プロダクト改善コンテンツに PHI を用いる場合は、個人を特定できない統計情報や集約データのみに限定する。 8. 第三者サービス・AI ツールの利用 - Fireflies、Otter.ai、Notion、Zoom 等のクラウドサービスや AI ツールに PHI をアップロード・同期・連携する場合は、事前に以下を確認する： - サービスが適用法令（例：HIPAA 等）に準拠しているか - データ所在地、暗号化、有無、アクセス管理、再委託の有無 - 契約上のデータ保護条項、BAA の有無 - 準拠状況が不明または不適切なサービスには PHI を入力しない。 - 生成 AI などの外部モデルに PHI を含むテキスト・音声・画像を送信することを原則禁止し、やむを得ず利用する場合は社内で許可された専用環境のみ使用する。 9. マスキング・匿名化・編集ガイドライン - ドキュメント共有・研修資料・サポート事例・ナレッジベース作成の際には、以下を削除・マスクする： - 氏名、住所、電話番号、メール、ID、顔写真、音声など - 日付・時間・場所など、他情報と組み合わせることで特定され得るデータ - 例示・ケーススタディは、内容を再構成して個人を特定不可にするか、完全な架空事例を用いる。 - スクリーンショットや録画を共有する場合は、PHI 部分を必ずぼかし・トリミング・マスキングする。 10. 保管期間・廃棄 - PHI の保管期間は、法令・契約・社内規程に基づき定め、最短必要期間に限定する。 - 保管期間終了後、または利用目的が達成された後は、復元不可能な方法で安全に削除・廃棄する。 - バックアップに含まれる PHI についても、適切なライフサイクル管理を行う。 11. インシデント対応 - PHI の漏えい・紛失・不正アクセス・誤送信等が発生、またはその疑いがある場合は、直ちに所定の窓口（セキュリティ担当・プライバシー担当等）へ報告する。 - インシデント発生時は、原因調査・影響範囲の特定・関係者への通知・再発防止策の実施を速やかに行う。 - インシデント内容および対応履歴は、監査可能な形で記録・保管する。 12. 教育・トレーニング - PHI を扱うすべてのメンバーに対し、入社・参画時および定期的なプライバシー・セキュリティ研修を義務付ける。 - 新しいツールやプロセスを導入する際は、PHI 取扱いへの影響を評価し、必要なガイドライン・マニュアルを整備する。 - 実務に即した具体的なコンテンツ例（やってよいこと／いけないこと）を共有し、判断基準を明確にする。 13. コンプライアンスと監査 - 本ポリシーおよび関連手順の遵守状況について、定期的に自己点検・内部監査を実施する。 - 法令・規制・業界標準の変更があった場合は、本ポリシーを見直し、必要に応じて改定する。 - 違反が確認された場合は、就業規則や契約に基づき、適切な是正措置・懲戒措置を行う。 14. 例外と問い合わせ - 本ポリシーに例外が必要な場合は、事前にプライバシー・セキュリティ責任者の承認を得ること。 - PHI を含むコンテンツの取扱いに疑問が生じた際は、自ら判断せず、必ず主管部署（法務、セキュリティ、コンプライアンス等）へ確認する。本ポリシーは、PHI を取り扱うすべての者に対して拘束力を持ち、日常業務におけるコンテンツの作成・編集・保存・共有・削除のあらゆる行為に適用される。すべてのコンプライアンス手順を文書化する定期的なコンプライアンス監査をスケジュールする

💰 HIPAA コンプライアンスのコスト

Sembly AI エンタープライズ向け料金

基本コスト:1ユーザーあたり月額$20〜40

初期設定費用$2,000-5,000（一回限り）

BAA処理:Enterprise に含まれています

$1,000〜2,500（任意）

年次監査サポート $3,000-5,000

合計コストの例

小規模クリニック（5ユーザー）

月額約1,200〜2,000ドル

中規模クリニック（25ユーザー）

月額約6,000〜10,000ドル

大規模病院（100人以上のユーザー）

カスタム料金についてお問い合わせください

🔄 HIPAA準拠の代替案

ビジネス向け Otter.ai

HIPAA 対応

事前構成されたHIPAA準拠機能と効率化されたBAAプロセスを備えた、確立されたヘルスケア分野でのプレゼンス。

$16.99/ユーザー/月

Businessプラン付きStandard

設定時間1～2週間

Rev.com

人間 + AI

最大限の精度を実現するためにAIと人によるレビューを組み合わせています。医療分野におけるコンプライアンスで強力な実績があります。

1.50〜3.00ドル／分

エンタープライズで利用可能

99％以上（人によるレビューあり）

Microsoft Teams Premium

エンタープライズ

Office 365 エコシステムとの統合型文字起こし。既存の Microsoft 顧客向けのネイティブな HIPAA 準拠。

1ユーザーあたり月額10ドル

エンタープライズ標準

Office 365 スイート一式

📚 ヘルスケアAIのベストプラクティス

✅ すべきこと

・録音を行う際は、必ず患者の同意を得ること
・医療スタッフ専用のアカウントを使用する
・定期的にアクセスログと権限を確認する
・スタッフにPHI取り扱いポリシーの研修を行う
・現在のBAA文書を維持する
・定期的にコンプライアンス監査を実施する

❌ やってはいけないこと

・患者とのミーティングに個人アカウントを使用しないこと
・デフォルトのセキュリティ設定に頼らないでください
・特定の患者の詳細については、不必要に言及しないようにしてください
・スタッフ間でログイン認証情報を共有しないこと
・録音を安全でないデバイスに保存しないこと
・定期的なセキュリティ更新を欠かさないこと

❓ よくある質問

Sembly AI から BAA を取得するにはどのくらい時間がかかりますか？

Sembly typically processes BAA requests within 2-3 business days for Enterprise customers. However, legal review and negotiation can extend this to 2-4 weeks depending on your organization's requirements.

Semblyを遠隔医療（テレヘルス）での診察に利用できますか？

はい、ただし署名済みの BAA と適切な設定がある場合に限ります。すべての参加者が録音に同意していることを確認し、使用している遠隔医療プラットフォームとの連携が HIPAA 準拠を維持している必要があります。

Semblyを解約した場合、私のデータはどうなりますか？

エンタープライズ顧客には、30日間のデータエクスポート期間が与えられます。この期間終了後は、すべての録音およびトランスクリプトは完全に削除され、要請に応じて証明書が提供されます。

SemblyはEpicやその他のEHRシステムと連携できますか？

SemblyはAPI統合機能を提供していますが、あらかじめ構築されたEHRコネクタはありません。カスタム統合には通常、追加の開発作業とITサポートが必要です。

Sembly AIはHIPAAに準拠していますか？🏥⚡

🤔 医療コンプライアンス対応のAI選びでお困りですか？ 😅

クイックアンサー 💡