Letsdial

BAA に署名する電話システムに関するヘルスケア購入者のチェックリスト

診療所は、録音、常駐、監査証跡、違反通知を網羅した実用的な調達チェックリストを任意の RFP に貼り付けることができます。

AP
アイシャ・パテル
セキュリティエンジニア
2026 年 1 月 30 日7 分で読めます
業界

エッセイ · レットダイヤル · 2026 年 1 月 30 日

導入

医療を対象とするすべての電話システム ベンダーは、自社が HIPAA に準拠していると述べています。アーキテクチャや BAA に関してそれが何を意味するのか、あるいは何か問題が発生した場合に何が起こるのかを説明できる企業はほとんどありません。このチェックリストは、マーケティングを徹底的に調べて、調達にとって重要な質問を浮き彫りにするように設計されています。これらの質問は、次回の OCR 監査を無事に通過するか、存在することを知らなかったギャップを説明するのに苦労するかを決定します。

1. 彼らは業務提携契約に署名しますか?

これがベースラインです。お客様に代わって保護医療情報 (PHI) を取り扱うベンダーには、HIPAA に基づいて BAA が必要です。署名された BAA のない「HIPAA 準拠」は無意味です。準拠は対象となる事業体とそのビジネス関係者にのみ適用され、協会は署名された契約を必要とします。

ベンダーに尋ねてください。サービス契約に署名した後ではなく、前に BAA を提供してもらえますか?コミットする前に確認してください。チェックすべき重要な項目: PHI は HIPAA の定義と一貫して定義されていますか? 60 日以内に違反を通知するというベンダーの義務について説明されていますか?契約終了時に PHI を破棄または返却する方法を指定していますか?

2. 通話録音はどこに、どのくらいの期間保存されますか?

医療関連の通話録音には、患者名、生年月日、症状の説明、予約の詳細などの PHI が含まれることがよくあります。具体的に質問してください:

  • 録画はデータ常駐制御が行われたリージョンに保存されていますか? それともグローバル プールに保存されていますか?
  • 保存中および転送中にどのような暗号化標準が使用されますか? (保存時は AES-256、転送時は TLS 1.2+ が現時点での最低限の期待値です。)
  • デフォルトの保存期間はどれくらいですか? もっと短く設定できますか?
  • ベンダー組織内の誰が、どのような条件で録画にアクセスできますか?
  • アクセス ログは維持されており、監査目的で利用できますか?

3. ボイスメールのトランスクリプトはどのように処理されますか?

ボイスメールの文字起こしは、HIPAA の一般的なギャップです。ベンダーがサードパーティの ASR モデルを使用してボイスメールを書き起こしている場合、そのモデルはサブプロセッサである可能性が高く、ベンダーの BAA はサブプロセッサとその義務を明示的にカバーする必要があります。どのベンダーが文字起こしを処理しているのか、HIPAA のトレーニングを受けているのか、ベンダーのサブプロセッサー レジストリにリストされているのかを尋ねてください。

また、トランスクリプトが録音とは別に保存されているかどうか、および適用される州のプライバシー法に基づいて患者が削除を要求した場合にトランスクリプトを個別に削除できるかどうかも確認してください。

4. 監査証跡は実際に何をカバーしますか?

HIPAA の技術的保護には、PHI を含む情報システム内のアクティビティを記録および検査する監査制御が必要です。電話システムの場合、これは、誰が、いつ、どこから録音にアクセスしたかのログを意味します。署名する前に、サンプル監査ログを要求してください。これには、ユーザー ID、タイムスタンプ、アクション タイプ、アクセスされたリソースが含まれている必要があります。ログイン イベントのみをカバーし、リソース レベルのアクセスをカバーしないログでは十分ではありません。

また、監査ログが改ざんされていないことを確認してください。管理者が変更できるログは信頼できる監査証跡ではありません。不変ストアに書き込まれ、SIEM または監査システムにエクスポートできるログを探します。

5. 侵害通知プロセスとは何ですか?

HIPAA は、PHI に関係する侵害を発見してから 60 日以内に通知することを義務付けています。ベンダーに質問してください。侵害をどのように定義しますか?また、どのように当社に通知しますか?回答には、60 日未満の定義済みの通知タイムライン (ほとんどの優良ベンダーは発見に 48 ~ 72 時間を約束します)、セキュリティ インシデントの連絡窓口の指定、侵害に PHI が関与しているかどうかを判断するフォレンジック プロセスの説明が含まれている必要があります。

侵害通知プロセスを詳細に説明できないベンダーは、それに関する机上演習を実施していません。それ自体がリスク指標です。

6. AI レイヤーは PHI に影響しますか?またその方法は?

AI 機能 (文字起こし、感情分析、AI 受付係) は、PHI を含む通話の処理パスに組み込まれることが増えています。これらの機能はファーストパーティのモデルに基づいて構築されているのでしょうか、それとも呼び出しはサードパーティの LLM API に送信されるのでしょうか?サードパーティ API の場合、そのプロバイダーは BAA のサブプロセッサーとしてリストされていますか? AI 処理のために送信されたデータは、テナントから送信される前に匿名化されますか?

結論

これは、現在市場で最も急速に変化しているコンプライアンスのギャップです。 AI 機能をすぐに追加したベンダーは、BAA またはサブプロセッサーのレジストリを更新して、患者の通話データが現在どこに送信されているかを反映していない可能性があります。

調達チェックリスト

  • BAA は契約署名前に利用可能です。契約後や要求に応じて利用することはできません
  • BAA はすべてのサブプロセッサを明示的にカバーします
  • 通話録音は保存時 (AES-256) および転送中 (TLS 1.2+) で暗号化されます。
  • 録音はアクセス制御付きの定義された領域に保存されます
  • 監査ログはログインだけでなくリソースレベルのアクセスをキャプチャします
  • 監査ログは改ざんが明らかであり、エクスポート可能です
  • ボイスメール文字起こしサブプロセッサーが指名され、BAA の対象となる
  • 違反通知のコミットメントは具体的であり、60 日未満です
  • AI 機能は、処理パスで PHI をどのように処理するかを文書化します。
  • データの破棄または返却のプロセスは BAA で定義されています
終わり

作者 アイシャ・パテル · 2026 年 1 月 30 日

著者への返信
医療コンプライアンス

BAA に署名し、それを意味する電話システム。

署名前に利用できる BAA、監査証跡ログ、暗号化された録音、PHI の処理方法を文書化する AI レイヤーを備えた HIPAA 対応。

AP

著者について

アイシャ・パテル · セキュリティエンジニア

Aisha は、letsdial、SOC 2、HIPAA、および監査呼び出しの退屈な半分でセキュリティ プログラムを実行しています。

次に読む

すべての投稿
業界

キャリアグレードのホールセール音声が実際に提供するもの

「キャリアグレード」は、一般の声で最も頻繁に使用されるフレーズです。これが実際に何を意味するのか、そしてプロバイダーがラベルをバックアップできることを証明する運用の詳細は次のとおりです。

DP
ダニエル・パーク
2026 年 5 月 18 日 · 7 分で読めます

ニュースレター

次の投稿を受信箱で受け取ります。

隔週で思慮深い投稿を 1 つ投稿します。スパムなし、簡単に購読解除できます。