ADOBE COMMERCEでのHIPAAへの対応
この情報は、Adobeのお客様がAdobeのHIPAA対応サービスに関する質問に回答するのに役立つことを目的としています。 これは法的な助言ではない。 顧客は、自社の弁護士と相談して、HIPAA上の義務や、Adobe製品の適切な使用と構成について把握する必要があります。
健康保険の相互運用性と説明責任に関する法律(HIPAA)
健康保険の相互運用性と説明責任に関する法律(HIPAA)は、米国における主要な連邦医療プライバシー法であり、米国保健福祉省(HHS)によって施行されています。 HIPAAは、対象事業者 (医療提供者、保険会社、清掃会社など)およびビジネスアソシエイト (対象事業者にサービスを提供する事業者など)に適用されます。 HIPAAの要件は、プライバシールール、セキュリティルール、侵害通知ルールの3つのルールで設定されます。 Adobeは、Adobeが「HIPAA対応サービス」に分類する特定の製品のビジネスアソシエイトとして機能します。 HIPAAで規制されるデータは、保護された健康情報またはPHIと呼ばれます。 PHIとは、(1)医療提供者、医療計画又はヘルスケアクリアリングハウスによって作成され又は受領される健康情報のサブセットであり、(2)個人の過去、現在、又は将来の身体又は精神状態、個人への医療の提供、又は個人への医療提供のための過去、現在、又は将来の支払いに関連し、(3)当該情報が個人を特定するために使用できると信じる合理的な根拠がある。 HIPAAのプライバシーとセキュリティ規則は、対象事業者がビジネスアソシエイト契約、またはBAAの形でビジネスアソシエイトから書面による保証を得ることを要求しており、ビジネスアソシエイトは対象事業者のPHIのプライバシーとセキュリティを保護する必要があります。 詳しくは、Adobe Trust CenterのHIPAAおよびAdobeの製品とサービス を参照してください。
Adobe Commerce HIPAA対応
Adobe Commerce HIPAA対応の拡張機能では、Adobe Commerceのインストールに追加の機能や機能が追加され、各販売者がそれぞれのHIPAA要件に準拠できるようになりました。
Adobe Commerce HIPAA対応の拡張機能magento/hipaa-eeは、Adobe Commerce オンクラウドインフラストラクチャまたはAdobe Managed Services プロジェクトで使用できます。 Adobe CommerceのHIPAA対応インストールプロセスでは、HIPAA要件に準拠するために、一部のネイティブサービスと機能が無効になります。 無効なサービスと機能を参照してください。
これらの資料は、情報提供のみを目的としています。 この情報の提供は、受信者に契約上またはその他の権利を与えるものではありません。 情報の提供日現在における正確性の確保に努めておりますが、当該情報が正確かつ完全であることを示すものではありません。 Adobeは、法律またはAdobe製品の変更に伴い、この情報を更新する義務を負いません。 また、この文書は、Adobeからの書面による同意なしに、意図した受領者以外の当事者に配布することはできません。
必要システム構成
次の表は、Adobe CommerceのバージョンとHIPAA対応の拡張機能の互換性を示しています。
- HIPAA対応の拡張機能は、Adobe Commerce on CloudまたはAdobe Commerce Managed Services プロジェクトでのみ使用できます。
- 拡張機能は、
repo.magento.comからコンポーザーのメタパッケージとして利用できます。 - HIPAA対応の機能を利用するには、Adobe Commerceのヘルスケアアドオンが必要です。
- Adobe Commerceのベータ版はサポートされていません。
インストール
前提条件
- Adobeは、HIPAA Ready拡張機能にアクセスするためにAdobe Commerce アカウントをプロビジョニングしました。
- 拡張機能をインストールするには、repo.magento.comにアクセスしてください。 キーの生成と必要な権限の取得については、認証キーの取得を参照してください。
サポートされているAdobe バージョンを実行しているインスタンスに、最新バージョンのAdobe Commerce HIPAA-Ready Services拡張機能(magento/hipaa-ee)をインストールします(必要システム構成を参照)。 拡張機能は、repo.magento.com リポジトリからコンポーザーのメタパッケージとして配信されます。 メタパッケージには、Adobe Commerce インスタンスのHIPAA機能を有効にするモジュールのコレクションが含まれています。
-
ローカルワークステーションで、Adobe Commerce on cloud infrastructure プロジェクトのプロジェクトディレクトリに移動します。
note NOTE Commerce プロジェクト環境のローカル管理について詳しくは、Adobe Commerce on Cloud Infrastructure ユーザーガイドの「CLIを使用した分岐の管理」を参照してください。 -
Adobe Commerce Cloud CLIを使用して更新する環境ブランチをチェックアウトします。
code language-shell magento-cloud environment:checkout <environment-id> -
コンポーザーCLIを使用して、メタパッケージ
magento/hipaa-eeをコンポーザー設定に追加します。code language-shell composer require "magento/hipaa-ee" --no-update -
パッケージの依存関係を更新します。
code language-shell composer update "magento/hipaa-ee" -
更新されたコードを追加し、コミットして、クラウド環境にプッシュします。
code language-shell git add -A git commit -m "Add HIPAA-Ready Services modules" git push origin <branch-name>更新をプッシュすると、Commerce クラウド デプロイメント プロセス が開始され、変更が適用されます。 デプロイ ログ のデプロイメント ステータスを確認します。
インストールを確認
更新をデプロイしたら、Hipaa*拡張機能がインストールされていることを確認します
-
SSHを使用してリモートクラウド環境にログインします。
code language-shell magento-cloud ssh -
コマンドラインから、Adobe Commerce CLIを使用してモジュールのステータスを確認します。
code language-shell bin/magento module:status -
HIPAA モジュールが有効なモジュールのリストに含まれていることを確認します。
code language-text List of enabled modules: <truncated for brevity> Magento_HipaaAnalytics Magento_HipaaCheckout Magento_HipaaLogging Magento_HipaaScheduledImportExport Magento_HipaaAdminLogging Magento_HipaaCustomerLogging Magento_HipaaNewsletter Magento_HipaaImportExport Magento_HipaaApiLogging Magento_HipaaSales Magento_HipaaCustomer <truncated for brevity>Magento_Hipaaでプレフィックスが付けられたすべてのモジュールは、「有効なモジュール」セクションに含まれている必要があります。
HIPAA対応の機能強化
magento/hipaa-ee拡張機能では、ベースとなるCommerce製品に変更と機能強化が加えられています。 以下の節では、これらの変更の詳細と、ベース製品の変更方法について説明します。
アクションログ
監査ログはHIPAA要件です。 Adobe Commerceでは、 アクションログ 機能は、ストアで作業する管理者ユーザーが行ったすべての変更を記録します。 監査ログのHIPAA要件を満たすために、この機能が更新され、Admin UIおよびAPI呼び出しを通じて実行されたすべてのAdmin ユーザーおよび顧客アクションが記録されるようになりました。
また、アクションログは、Adobe サービスがストアデータにアクセスした際のイベントも記録します。 アクションログレポートの「外部に送信されたデータ」アクションをフィルタリングすることで、これらのイベントを特定できます。
アクションログレポート
アクションログ レポートグリッド (System > アクションログ > レポート)は、管理UIとAPIを通じて実行された顧客アクションに対応するように変更されます。
-
2つの列を追加しました:
- Source: アクションが実行された場所を表示します。
値:Admin UI|Customer UI|REST API|SOAP API|GraphQL API - クライアントの種類: クライアントの種類を表示します。
値:顧客|管理者|統合
- Source: アクションが実行された場所を表示します。
-
ユーザー名列の名前を クライアント識別子 に変更しました
-
クライアント識別子: アクションを実行したユーザーのログイン IDを表示します。
値:- クライアントタイプが「顧客」の場合は電子メール
- クライアントタイプがAdminの場合のユーザー名
- クライアントタイプが統合の場合は名前
-
-
フルアクション名列の名前を ターゲット に変更しました
-
ターゲット: アクション名を表示します。
値:- SourceがREST APIまたはSOAP APIである場合のエンドポイント
- GraphQL APIの場合、クエリまたは変数名
- 管理者UIまたは顧客UIの場合は、アクション名。
-
ログ記録のための管理者アクションの設定
すべてのアクションをデフォルトで記録する必要があるため、この機能は使用できません。
HIPAA顧客検索結果の制限
Adobe CommerceのHIPAA顧客検索結果制限機能は、保護された医療情報(PHI)および個人情報(PII)へのアクセスを制限することで、HIPAA規制への準拠を保証します。 この機能は、ユーザーの役割に基づいて顧客レコードを検索および表示する機能を制限し、承認済みのユーザーのみがこの情報にアクセスできるようにします。
主な機能
- 検索制限:必要な役割を持たないユーザーは、顧客レコードを検索または表示できません。
- アクセスの必須検索: Adobe Commerceのデフォルトの動作とは異なり、検索を実行せずに顧客情報を確認することはできません。 これにより、利用者は、顧客に関する具体的な詳細を把握して、情報を見つける必要があります。
- 制限付き検索結果:条件に一致する検索結果は10件に制限され、一度に管理可能な数のレコードのみが表示されます。
- フィルターの最小数:検索を実行するには、ユーザーが少なくとも3つのフィルター(電子メール、姓、状態など)を適用し、検索が具体的でターゲットを絞ったものである必要があります。
- フィルター通知:検索制限が有効になっている場合、フィルターを適用して検索結果を絞り込むようにユーザーに通知されます。
設定
検索結果の顧客数を制限するための設定は、Stores > Configuration > Advanced > Admin > Admin Gridsの下の管理パネルにあります。 この設定は、hipaa-ee拡張機能がインストールされている場合、デフォルトで有効になります。
- グリッド内の顧客数の制限:この設定を使用すると、グリッド検索結果に表示される顧客数の制限を有効または無効にできます。
- 顧客グリッド検索結果の制限:この設定は、グリッド検索結果に表示できる顧客レコードの最大数を指定します。
影響を受ける機能領域
検索結果制限機能は、管理者注文作成ページ (Sales > Orders > Create New Order)および顧客ページ (Customers > All Customers)の顧客グリッドに適用されます。
- フィルターはデフォルトで開きます。
- ユーザーが検索を実行するには、最低3つのフィルターを適用する必要があります。
- 検索結果は、デフォルトで10件に制限されています。
- 検索条件に一致するレコードが他にも存在する場合、結果制限と検索を絞り込む必要性について通知がユーザーに通知されます。
- グリッドのページネーションは使用できません。
- ページから移動しても、以前に適用した検索結果とフィルターは保存されません。
検索結果制限機能は、顧客検索用REST API (/V1/customers/search)にも適用されます。
- フィルターが適用されていないか、フィルターが不十分な場合、APIは、検索を実行するために必要な数のフィルターが必要であることを示すエラーメッセージを返します。
- 十分なフィルターを適用する許可されたユーザーは、指定された制限内でAPI結果を受け取ります。
- 結果が制限されると、見つかったレコードの合計数と現在の適用制限を示すメッセージが応答に追加されます。
機能の読み込みと書き出し
読み込み機能と書き出し機能の機能強化は、管理者体験を向上させ、ユーザーのアクションをより詳細に可視化することに重点を置いています。
管理アクションログ
読み込み機能と書き出し機能の主な改善点の1つは、管理操作のログの強化です。 この機能強化により、データの読み込みと書き出しに関連するアクティビティをより深く掘り下げる機能が導入され、追跡と監査可能性の向上に貢献します。 次のアクションがログに記録され、System> Action Logs>Reportグリッドに反映されるようになりました。
- 管理者ユーザーがインポートを実行します
- 管理者ユーザーがインポートしたファイルをダウンロードします
- 管理者ユーザーがエラーファイルをダウンロードします
- 管理者ユーザーのリクエスト
- 管理者ユーザーが書き出したファイルをダウンロードする
- 管理者ユーザーが書き出しをスケジュールします
- 管理者ユーザーは、スケジュールされた書き出しを編集します
- 管理者ユーザーは、スケジュールされた書き出しを実行します
- 管理者ユーザーは、スケジュールされた書き出しを削除します
- 管理者ユーザーがインポートをスケジュールします
- 管理者ユーザーは、スケジュールされた読み込みを編集します
- 管理者ユーザーは、スケジュールされたインポートを実行します
- 管理者ユーザーは、スケジュールされたインポートを削除します
- 管理者ユーザーは、インポート/エクスポート操作の一括削除を実行します
表示の機能強化とフィルターと並べ替えの改善
より有益なグリッドを管理者ユーザーに提供するために、HIPAA対応サービスには、データの表示、フィルタリング、並べ替えをおこなうための拡張機能がいくつか用意されています。
インポート履歴(System > Data Transfer> Import History)
- Imported File、Error File、Execution Time、Summaryを除くすべての列に対してフィルタリングを有効にしました。
書き出し(System > Data Transfer> Export)
- ID列を追加しました。
- Requested At列(書き出しがリクエストされた日時)を追加しました。
- User列(リクエストを行った管理者のユーザー名)を追加しました。
- Action列を削除しました。
- Download リンクを File name 列(読み込み履歴グリッドなど)に移動しました。
- 書き出されたファイルを削除する操作を無効にしました(トラッキングを改善するため)。
- File nameを除くすべての列の並べ替えを有効にしました。
- すべての列に対してフィルターを有効にしました。
スケジュールされたインポートとエクスポート (System > Data Transfer> Scheduled Import/Export)
- ID列を追加しました。
- Scheduled At列(インポートまたはエクスポートがスケジュールされた日時)を追加しました。
- User列(インポートまたはエクスポートをスケジュールした管理者ユーザーのユーザー名)を追加しました。
HIPAA対応のサービスとツール
この節では、Adobe CommerceのHIPAA機能で使用できるHIPAA対応Adobe サービスについて説明します。 また、ストアの主要なセキュリティとコンプライアンスの制御を監視するために使用できるツールについても説明します。
Adobe Commerce Services
次の表は、HIPAA対応ソリューションで使用できるAdobe Commerce サービスを示しています。 これらのサービスには、以下が含まれますが、これらに限定されません。
ツール
Adobe Commerceの セキュリティスキャンツール を使用すると、ストアを監視して、必要なすべてのセキュリティコントロールが有効で運用可能であることを確認できます。 Adobeでは、標準のセキュリティチェックに加えて、Adobe Commerce向けのHIPAA機能を使用するお客様に対して、HIPAA固有のチェックを表示するツールを強化しました。 セキュリティスキャンツールのHIPAA チェックは、次のことを確実に行えるように設計されています。
- 監査モジュールが無効になっていません
- 二段階認証(2FA)は無効になっていません
- マーケティング機能が無効です
- インストールされているすべての拡張機能が、定義済みの拡張機能許可リストと一致する
- サポートされていないAdobe サービスはインストールされていません
スケジュール済みのスキャンの詳細を含むメール通知を送信したり、 レポートを手動で表示したりするために、ツール を設定できます。
無効な機能
HIPAA要件に準拠するため、Adobe Commerceでサポートされている一部の機能は、デフォルトでは使用できないか無効になっています。 加盟店は、独自のリスクで、これらの機能を再度有効にするか、使用するオプションを有します。
HIPAA-readiness モジュールでは、次の機能がデフォルトで無効になっています。 顧客は独自のリスクで、これらの機能のいずれかを有効にすることができます。
-
トランザクションメール - サービスがHIPAA対応ではないため、SendGridはデフォルトで無効になっています。 Adobe Commerceには、独自のAWS Simple Email Service アカウントで使用できる統合オプションが用意されています。 設定の詳細については、カスタマーテクニカルアカウントマネージャーまたはAdobe Commerce サポートにお問い合わせください。
-
ゲストチェックアウト – この機能は、ログ、アクセス制御、PHIのハイジーンとリネージ、その他の可能性を含む、HIPAAのさまざまな側面に対する潜在的なリスクを示します。
-
ニュースレター機能 – この機能は、マーケティングコンテキストでPHIが使用されないようにするために無効になっています。
-
高度なレポートサービス設定 – この設定設定は、分析とレポートにPHIを使用できないように無効になっています。