web-dev-qa-db-ja.com

Google AnalyticsはHIPAAに準拠していますか?どうすれば確認できますか?

HIPAAに準拠する必要があるWebソフトウェアでの作業で、Google Analyticsを実装したいのですが。しかし、それが規則に違反しているかどうか疑問に思っています。誰か私がどうやって見つけられるか知っていますか?私はグーグルを検索しましたが、主題についてはそれほど多くありません。その間、私は HIPAAプライバシー について読んでいきます。

私たちのシステムは、ヘルスケアドキュメントとPDFの管理に使用されます。特定の患者情報はありませんが、特定のクライアント/会社に対する特定の計画に関する情報があります。 Analyticsで実行したいのは、システムを使用しているブラウザー、最も頻繁に使用されているドキュメント、最も忙しい時間帯を特定することです。その他の情報を収集する意図はありません。

最終的にはカスタムイベントレポートも使用することになります。

更新:さらに調査を行いますが、非常に役立つこのリンクを投稿したいと思います: http:// www .hipaa.com/2009/09/hipaa-protected-health-information-what-does-phi-include /


私の解決策:

カスタムイベントと基本的なユーザーアクティビティ/ブラウザデータのみを追跡する必要があるためです。私がやったことは、ページにiframeを埋め込むことです

<iframe id="analyticsFrame" name="analyticsFrame" src="/analytics.htm" border="0" height="0" width="0"></iframe>

Analytics.htmのソース:

<script type="text/javascript">
    //keep analytics going gaining access to the top window
    var top = null,
        parent = null;
</script>
<script type="text/javascript" async="" src="https://ssl.google-analytics.com/ga.js"></script>
<script type="text/javascript">
  var _gaq = _gaq || [];
  _gaq.Push(['_setAccount', 'UA-xxxxxxxx-xx']);
  _gaq.Push(['_setDomainName', 'domain.com']);
  _gaq.Push(['_trackPageview']);

  (function() {
    var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
    ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
    var s = document.getElementsByTagName('script')[1]; s.parentNode.insertBefore(ga, s);
  })();

</script>

次に、カスタムイベント記録機能を使用しました...

// see http://code.google.com/apis/analytics/docs/tracking/eventTrackerGuide.html for documentation
function trackEvent (eventType, action, label) {
    if (document.getElementById('analyticsFrame')) {
        self.frames['analyticsFrame']._gaq.Push(['_trackEvent', eventType, action, label]);
    }
}

全体のアイデアは、メインウィンドウからGAをロックして、iframe内に制限することで、ユーザーに関するデータを収集できるようにすることですが、コンテンツに関連するものは何もありません。記録したいイベント。

17
Webnet

EPHIがGoogleと共有されている場合は、それらとのビジネスアソシエイツ契約が必要です。 Googleはおそらくあなたと一緒にBAAに署名しないので、それはおそらくオプションではありません。残っている唯一の選択肢は、ePHIを共有しないことです。

質問から、ePHIを共有しているかどうかを判断するのは困難です。完全にはわかりませんが、健康保険に加入しているだけでもePHIと見なされる可能性があります。つまり、「クライアント/会社」を人にマッピングできる場合は、ePHIと見なされる可能性があります。私の回答の残りの部分では、コンテンツにePHIがあると仮定します。コンテンツにePHIがないことを確信できない場合は、そうでないことを証明できるまで、カバーされていると見なしてください。この基本的な質問「HIPAAがカバーされているかどうか」は、ここでの真の問題です。恥知らずなプラグイン:この問題はO'Reillys Meaningful Use and Beyond で慎重に取り上げられました(12章を参照してください。HIPAAでカバーされますか?)。 GoogleでBAAを取得することはできないため、ePHIを共有したり、実際に共有したりする危険にさらされてはなりません。私があなたの弁護士だった場合(私はIANALとIANYLの両方です)、今日ePHIを使用していないチャネルでGoogle Analyticsのようなサービスの使用を開始し、そのチャネルの後でさえその使用を再評価しないことを心配しますePHIを取得します。あなたがやっていること、そしてあなたがやろうとしていることのために良い決断をしてください。

しかし、おそらく回避策があります。あなたがしなければならないのは、PHIを共有していないことを確認することだけです。明らかに、必要なのは、HIPAAの対象外の情報に関するデータを収集することだけです(私が話しているドキュメントは、クライアント固有ではなく、一般に公開されていると想定しています)ドキュメント)。

これを行うには、PHIを含む可能性のあるサイトの各ページに非表示のiframeを作成します。そのiframe内で、Googleアナリティクスを起動する以外に何もしないドキュメントをロードします。 iframeのGoogleアナリティクスを「適切に」機能させるためのGoogleの手順に従っていないことを確認してください。これにより、ロードしたページやそれらのページのコンテンツを追跡することなく、すべてのユーザーのすべてのページの閲覧者データを収集できます。 Googleにとっては、同じページを何度もロードしているように見えるはずです。次に、ドキュメントにリンクしているが、ePHIが含まれていない「一般ドキュメントページ」が1つある場合、そのページに分析コードを含めることもできます。これにより、クリックされているドキュメントリンクがわかります。

基本的に、サイトの構築方法がわからない場合、これは、PHIの間違いを犯さないようにサイトに「分析ゾーン」を作成する方法についての推測の1つです。私はあなたのサイトがどのように構築されているかについて間違っているかもしれませんが、合理的なアーキテクチャがあれば、物事を完全に混乱させることなくこの「ゾーン」効果を得る方法があるかもしれません。

11
ftrotter

GoogleアナリティクスがHIPAAに準拠しているかどうかはわかりませんが、準拠できる他のオプションがあります。 Piwikは、Googleアナリティクススタイルのトラッキングを行うオープンソースプロジェクトですが、データとコードを安全なサーバーに保存できるため、他のビジネスとのやり取りのすべての手間を省く必要はありません。

更新:(法的アドバイスではありません)HIPAAは「保護された健康情報」のみを対象としています。 Google Analyticsは、ヒット、一部のセッション情報、そしておそらく一般的なユーザーIDを追跡するだけなので、HIPAAは実際には適用されません。そのため、署名済みのBAAが必要なようには見えません。

7

HIPAAはProtected Health Information(PHI)を規制しています。 「特定の患者情報」は存在しないとのことですが、患者情報がまったくある場合は、 HIPAA規則 に準拠するように、正しい方法で匿名にする必要があります。誰かの名前を削除するだけでは十分ではありません。患者のプライバシーを侵害しないようにするには、さらに多くのことを行う必要があります。

ドキュメントに患者データがまったく含まれていない場合、または患者データが十分に匿名化されている場合は、Googleアナリティクスを使用したHIPAAの問題はありません。 HIPAA関連のほとんどすべての場合と同様に、準拠しているかどうかはtoolではなく、ツールでを実行します。

HIPAA規制は扱いにくい性質を持っているため、企業の弁護士に相談することをお勧めします。プライバシー違反には多額の罰金が科される可能性があるため、申し訳ありませんが安全である方が良いでしょう。

3
Lynn

つまり、Google AnalyticsはHIPAAに準拠していません。したがって、彼らが収集したものにPHIが含まれている場合は、違反になります。

ブラウザの種類を収集する方法は他にもあります。ブラウザーの種類をページの読み込みごとに挿入する単純なデータベース呼び出しでも、十分に単純なソリューションになります。次に、そのデータから、Google Analyticsが提供するよりも優れたレポートを実行できます。

1
techguy

Google AnalyticsはHIPAAに準拠していません。 Googleアナリティクスにページタイトルを送信したとしても、ページタイトルが十分に説明的であれば、HIPAA違反と見なされる可能性があります。 Googleから:

Googleが書面で別途指定しない限り、Googleは、Googleアナリティクスを使用して、修正された医療保険の相互運用性と説明責任に関する法律(「HIPAA」)に基づく義務を作成することを意図しておらず、GoogleアナリティクスがHIPAA要件を満たしていることを表明していません。 HIPAAの対象事業体またはビジネスアソシエイトである(またはなる)場合、Googleから書面による事前の同意を得ない限り、保護された医療情報を含む目的または方法でGoogleアナリティクスを使用することはできません。

出典: https://support.google.com/analytics/answer/6366371?hl=ja

1
wlo