ベストプラクティス
情報セキュリティ基準
EPI-USE Labsが重要な機密情報をどのように保護しているかをご覧ください。
ISO27701(Data Privacy)とISO27017(Cloud Hosting)について
ISO27701規格は、個人を特定できる情報(PII)を管理するための枠組みを概説しています。ISO27701はISO27001を拡張したもので、情報セキュリティマネジメントシステム(ISMS)をプライバシー・情報セキュリティマネジメントシステム(PIMS)に変更したものです。EPI-USE Labsは、データ処理業者としてすべての管理を実施し、現在、Cloud Hosting、Managed Services、XCentralスタックソリューションのISO27701認証を維持しています。
EPI-USE Labsはまた、ISO27001をさらに拡張し、クラウドサービスの提供、セキュリティ、利用に適用される情報セキュリティ管理に焦点を当てたISO27017認証も取得しています。
ISO/IEC 27001: 2013について
ISO/IEC 27001: 2013は、国際的に認知された情報セキュリティマネジメント規格であり、組織がビジネスプロセスにフレームワークを適用し、データセキュリティに対するリスクを特定、管理、低減できることを保証するものです。認定プロセスでは、ITだけでなく、すべての業務が考慮される。基準を満たすには、企業や顧客の機密情報を管理するための体系的かつ継続的なアプローチを実施していることを証明しなければならない。
SOC 2 タイプ 2 について
SOC 2(Service Organization Control 2)報告書は、可用性、セキュリティ、処理の完全性、機密性、プライバシーに関して、AICPAのTrust Services基準で概説されているように、運用とコンプライアンスに関連するサービス組織の統制を対象としています。SOC 2 タイプ 2 報告書には、サービス監査人による統制のテストとその結果の詳細が記載されており、企業が顧客の機密データを安全に保つようにシステムを設計していることを証明するものです。
HIPAA/HITECH(AT-C105およびAT-C205)について
HIPAA(Health Insurance Portability and Accountability Act of 1996)は、米国の法律であり、医療計画、医師、病院、その他の医療提供者に提供される医療記録やその他の健康情報を保護するためのデータ・プライバシーとセキュリティに関する要件を規定しています。同様に、Health Information Technology for Economic and Clinical Health Act (HITECH Act)は、米国を拠点とする医療提供者とその業務提携者による電子カルテ(EHR)技術の採用と「意味のある使用」を推進するために作成されました。有意義な使用とは、医療提供者が認証されたEHR技術を量と質の両面で測定できる方法で使用していることを示す必要があることを意味します。
EPI-USE Labsは、PHI(保護されるべき医療情報)を処理することはありませんが、移行やアプリケーションのインストールを行う際に、クライアントのPHIデータと接触することがあります。そのため、HIPAA/Hitech法の要求事項を実施し、接触する可能性のある情報が適切に保護されるようにすることを決定しました。