Salesforce は HITRUST 共有責任および継承プログラムに参加しました
今日のデジタル社会では、フィットネストラッカーや遠隔医療からオンラインでの金融取引や教育に至るまで、消費者も企業も無数の個人データを絶え間なく生み出し、利用しています。個人データを保護するために、各国政府は規制要件を制定しています。こうした規制要件はデータプライバシー保護に不可欠である一方、企業が最新のデジタルトレンドに遅れまいと躍起になるにつれて、対応に要するコストと時間の増加という課題を生じさせる可能性があります。
こうしたことから、Salesforce がHITRUST 共有責任および継承プログラムに参加したことをお知らせできるのをうれしく思います。
HITRUST と顧客データ保護の共有責任
Salesforce にとって何よりも重要なことは、顧客および Salesforce エコシステムに関わるすべての方々と信頼関係を築き、維持することです。私たちはその信頼を、透明性、セキュリティ、プライバシー、コンプライアンスを通じて獲得すると共に、顧客のコンプライアンスジャーニーをサポートすることにコミットしています。
HITRUST では、HIPAA、ISO 27001、SOC 2、NIST CSF サイバーセキュリティフレームワークのような複数の制御 / コンプライアンスのフレームワークを単一のフレームワークに統合する方法として、HITRUST 共通セキュリティフレームワーク (CSF) を作成しました。HITRUST の評価者は、顧客のシステムと環境をレビューし、その成熟度を評価します。HITRUST は当初ヘルスケア業界にフォーカスしていましたが、CSF は今やライフサイエンス、金融、保険、テクノロジー、ホスピタリティといった各セクターの多くの企業に広がっています。
HITRUST 共有責任および継承プログラムによって、Salesforce のお客様は、自社独自の HITRUST 評価を完了すれば、社内の共有 IT サービス、サードパーティ、または下流の組織から入手する共有情報の保護と制御を信頼して使用できるようになります。
簡単に言い換えると、このプログラムによってお客様は Salesforce が使用している内部統制を取得して、それを自社独自の監査と評価に取り込めるようになり、Salesforce の監査レポートを個別にレビューする必要がなくなります。これにより評価者は、Salesforce が制御のテスト要件を満たしていること、および制御が Salesforce の HITRUST 評価者によって評価されているという了解に基づき、Salesforce によるこれらの制御の検証を信頼することができます。
顧客が継承を活用できるのは Salesforce プラットフォームでアプリケーションを作成する場合、または Salesforce をビジネスプロセスの一部として利用する場合です。継承により、監査人は Salesforce の検証済みの制御を使用し、MyCSF ポータルを通じて評価に組み込むことができるため、Salesforce のお客様は外部 HITRUST 評価に関連する時間とコストを削減できます。
HITRUST 継承の仕組み
- HITRUST MyCSF ツールで継承要求を作成します。
- Salesforce にその要求を送信します。
- Salesforce は Salesforce の HITRUST 共有責任マトリックスに基づいて、継承要求を承認または拒否します。
- 最後に、承認されたすべての継承要求を自社の評価にインポートして、評価者がレビューできるようにします。
継承がない場合、顧客は、一般公開されている Salesforce のコンプライアンスレポート (SOC2 タイプ 2 など) を使用して、自社の監査レポートに制御を追加する必要があります。評価を担当する評価者によっては、自身が具体的にテストしていないからという理由で、その制御を承認しない場合もあります。
突きつめると、HITRUST 共有責任および継承プログラムは、時間、労力、コストの削減を実現すると同時に、顧客がサイバーリスクをより適切に管理して、データプライバシーを保護することにも役立ちます。詳細については、HITRUST プログラムのリソースを参照するか、Salesforce アカウントエグゼクティブにお問い合わせください。