法務IT文書[終了]

先週、大きな上司から、修正したすべての事項、修正方法などを追跡するように言われたので、これは不思議に思っていました。これは合理的で、とにかくやっています。しかし、その後、関連する質問が思い浮かびました。ユーザーにとって、どのような種類のドキュメントを用意しておく必要がありますか。より具体的には、EULA、ToCなどの観点から話します（間違った用語を使用している場合は修正してください）または、具体的には、ユーザーなどのポリシーです。私が法的専門家であるとは言えない、そうでなければ私は弁護士になるだろう。ユーザーがいる環境はかなりのんびりしているので問題は予見しません。しかし、問題が発生したとしたら、何を書いておいた方がよいでしょうか。

編集：私は本当に私たちが医療輸送施設であり、患者の記録を持っていることに注意すべきだったので、私は信じているHIPAAポリシーに準拠するためにそこで何かをしなければならないことを知っています。「バスでお越しの場合」シナリオについてアントソマセットが言ったことが好きで、現在書いているドキュメントだけでなく、従業員がサーバーやエッジケースから情報を盗んだとしたら、盗難にも適用したいなど、私たちのスタッフに関しては、人事担当者が1人のように比較的小さく、2人の所有者の弁護士を除けば法務部門はなく、私が唯一のMacスーパーユーザーである男のスタッフのIT担当者です。

上司や人事担当者と協力して、さまざまな問題の処理方法や従業員に何が期待されるのかをまとめた、監督者が採用した一連のポリシーを作成する必要があります。これらはビジネスによって異なる可能性がありますが、基本的には、ネットワークおよびコンピューターシステムで許可されていることと許可されていないこと、およびフォローアップ（修復の処理方法、終了につながる可能性があるものなど）のアクションを指定するドキュメントがあります。 。次に、あなたの従業員は従業員ハンドブックまたはメモの一部として資料を与えられ、おそらく署名してファイルに保管します。

コンピューターシステムで許容できる使用の観点から対処しなければならないシナリオを考え出し、上司と話し合ってください。誰かを解雇する権限がない限り、他の部門長や監督者と一緒にポリシーの言語に取り組む必要があります。法務部門がある場合は、法務部門にも通して、お住まいの地域でのプライバシーや解雇に関する法的問題に踏み込まないようにします。

理想的には、ビジネスにすでに従業員向けのハンドブックまたは資料があり、従業員がそれらを認識して机を支えなければならないので、そこからテンプレートを作成して作業することができます。

私たちのオフィスはちょうどこれを経験しました。ただし、HIPAAに準拠する必要があります。IT規格のフレームワークをオンラインバージョンから取得し、具体化しました。私は個人的にポリシーの大部分を書きました。@Bart Silverstrimが言ったように、人事担当者と協力する必要があります。私達は私達の標準ドキュメントのための二人のチームでした。

それは簡単ではありません。ゆっくりと整然と進んでください。毎日のルーチンから始めて、箇条書きでそれを書き留めます。私たちのもののほんの一例であるアイデアの全リストがあります

• データの分類
• リスク分析管理
• IDとアカウント
• 人的安全
• 変更管理/監査ログ
• ハードウェアとソフトウェア
• BC / DR（すべての会社がこれを持っている必要があります）

はるかに多くのことがあり、それはすべてあなたが行きたい距離に依存します。

誰かがHIPAAを破った場合に備えて、これらの基準（規則）を定めています。だから、「ちょっと、私たちはこれらのルールを持っています、そしてそれらを破った」と言うことができます。

これは私たちが使用したフレームワークです。それもあなたのために働くかもしれないし、そうでないかもしれません。

現在、4つのドキュメントを使用しています。

• 利用規定-学生向け
• 利用規定-教職員向け
• 著作権教育ドキュメント-高等教育機関に対する新米連邦の要件を満たしています
• サービスレベルアグリーメント-ITの責任の開始と停止の詳細、およびサービスのアップタイムの期待（まだ開発中ですが、これは多くの人にとって終わりのないプロセスであると期待しています）。

もちろん他の多くの記録も保持していますが、これは公的な法的文書に相当するものです。

患者の記録はまったく別の球技であり、私の最後のギグは医療請求オフィスでした。もちろん、従わなければならない追加の規制はたくさんありますが、私が覚えている唯一の法的文書は、「個人を特定できる情報」を他の当事者と共有する前に、個人からの許可の法的記録を取得して保管する必要があることです。

あなたはすでにいくつかの素晴らしいアドバイスを受け取りました-医療分野に固有のいくつかの考え（すべてのIT関連ではありませんが、患者データを電子的に保存している場合、大量の漏れがあります）：

• 上記にリンクされているフレームワークのソローに加えて、ペイメントカード業界データセキュリティ基準（PCI DSS）を患者情報を保護するためのガイダンスとして使用できます。

• 適切なセキュリティ手順への準拠を証明するために十分なドキュメントを用意することが重要です（PCI-DSSまたはその他のフレームワークの関連部分への準拠を証明する）。

• HIPAAコンプライアンスステートメントとHIPAAコンプライアンスポリシーが必要になります（PH / ePHIIに誰がアクセスできるか、どのような状況でアクセスできるかなど）。
  このポリシーの一部には、情報要求者の身元を確認する方法を含める必要があります。
  このポリシーの別の部分では、バックアップ、転送中の情報などをどのように保護するかを扱う必要があります。

• お尻の法的保護の観点から、その情報へのアクセス権を持つ誰もが署名した機密フォームも必要です（おそらくすでに持っているでしょう）-私の会社では、彼らはレビューされ、パフォーマンスレビューで毎年再署名されます。
  これらがePHI（電子記録）をカバーするのに十分な広さであることを確認してください。