すべてのIntake.Dentalアカウントには、締結済みBAA、フィールドレベルのAES-256-GCM暗号化、SOC 2インフラストラクチャ、9つのHIPAA保護措置が標準搭載 — すべて基準を満たすだけでなく、上回っています。
HIPAAセキュリティ規則は、対象事業者とその事業提携者が実装すべき具体的な技術的および管理的保護措置を定めています。Intake.Dentalがそれぞれをどのように満たし、どこで上回っているかをご紹介します。
フォワードセキュリティを実現するため、レコードごとのデータ暗号化キーによるフィールドレベルの暗号化を実施しています。中央鍵APIを介したエンベロープ暗号化と、追加認証データによるテナント分離を採用。各レコードにHMAC整合性検証と128ビットIV/認証タグを付与しています。
すべてのアカウントには、AESの上に適用される当社独自の多言語暗号が標準搭載されています。生成されたグリフ文字列は頻度分析に耐性があり、将来の量子攻撃に対しても安全であるよう設計されています。
Intake.Dentalに登録されたすべての診療所は、追加費用なしで署名済みのBAAを自動的に受け取ります。デジタルフォーム、PDF保存、テレデンティストリー、PMS連携、保険確認、患者コミュニケーションをカバーしています。プラットフォームはDental Education, Inc.により運営されており、すべてのサブプロセッサーと並行してBAAを維持しています。
確認されたセキュリティインシデントが貴院に影響を及ぼした場合、60日後でも“調査完了時”でもなく、72時間以内に詳細なインシデントレポートと即時の改善計画をお届けします。
州の歯科医師会や医療過誤保険会社は、患者の問診票に対する歯科医師の署名を標準的なケアとして扱っています——ミシガン州はR 338.11120で明文化し、カリフォルニア州はCDAガイダンスを通じて施行、その他のほとんどの州も理事会規則または保険契約を通じて要求しています。Intake.Dentalは、完了したすべての問診に暗号化タイムスタンプと監査証跡付きで歯科医師の電子署名を適用するため、コンプライアンスは問題になる前にチェック済みです。
はい — Intake.Dentalに登録されたすべての診療所は、追加費用なしで署名済みのBAAを自動的に受け取ります。BAAはデジタルフォーム、PDF保存、テレデンティストリー、PMS連携、保険確認、患者コミュニケーションをカバーしています。また、使用するすべてのサブプロセッサーとも並行してBAAを維持しています。
すべての保護対象健康情報は、デフォルトで二重暗号化されています。まずフィールドレベルでフォワードセキュリティを実現するレコードごとのデータ暗号化キー(DEK)を用いたAES-256-GCMで暗号化し、次に当社独自のグリフ暗号 — 将来の量子攻撃に耐性のある多言語レイヤー — でラッピングします。両方のレイヤーはすべてのアカウントに標準搭載されています。鍵はテナント分離された導出によるエンベロープ暗号化を使用しています。
確認されたセキュリティインシデントから72時間以内に、詳細なレポートと改善計画を添えて影響を受けた診療所に通知します。すべてのアカウントには二重層暗号化(AES-256-GCM + グリフ暗号)が標準搭載されているため、貴院の記録は45 CFR § 164.402に基づくHIPAA侵害通知規則の暗号化セーフハーバー例外に該当する可能性がありますが、それでも通知いたします。抜け穴よりも透明性を優先します。
SOC 2 Type II認証を受けたAWSインフラストラクチャ上で運用しています。データベース層(Supabase)もSOC 2 Type IIを取得しています。当社独自のアプリケーションコードはHIPAAセキュリティ規則に基づいて設計されており、継続的に監査されています。
はい — HIPAA同意文書とプライバシー実務通知は29以上の言語で自動的に提供されるため、すべての患者様が実際に読める言語で確認できます。
