企業、政府機関、非営利団体が再開し、従業員が対面オフィスに戻るにつれて、パンデミックに対する安全対策の多くが変更されています。あなたの会社が従業員や顧客のワクチン接種状況を確認したり、その他の新型コロナウイルス関連情報を収集したりした場合、データをどう扱うかを検討しましたか?その情報を管理している企業や、情報の収集を容易にするアプリやその他の製品を開発している企業は、急成長する健康アプリ市場への参入を計画している企業に重要な指針を伝えることができます。つまり、機密の健康情報には「注意: 取り扱いには注意」というラベルを付ける必要があります。
あなたのビジネスはワクチン検証アプリを開発していますか?
一部のワクチン検証「パスポート」アプリには、個人のワクチン接種カードのデジタルコピーが保存されています。他のアプリやモバイルウォレットに保存できるデジタル記録をユーザーに提供するものもあります。一部のアプリでは、個人のワクチン接種状況や場合によっては検査結果に加えて、名前、生年月日、郵便番号、電子メール アドレス、電話番号など、個人の身元を確認するための他の情報も収集します。一部のアプリでは、州や薬局のワクチン接種記録を利用することもあります。検証が完了すると、アプリは電話機にデータを保存したり、クラウドからデータにアクセスしたり、他のアプリがスキャンできるデジタル認証情報 (多くの場合 QR コード) を作成したりすることがあります。あなたの会社がワクチン検証アプリを作成している場合、または他の健康関連アプリを開発している場合は、次の重要な考慮事項があります。
- 正確な表現を行います。 人々の情報がどのように使用および共有されるかを明確に説明し、その約束を守ります。あなたの会社が店頭で資格情報を読み取るためのアプリを導入している場合は、それらの企業があなたの慣行と、あなたが共有するデータの使用方法の制限を理解していることを確認してください。
- アプリを常に最新の状態に保ち、顧客の情報を常に把握してください。 新たなセキュリティ脆弱性から保護するためにアプリを更新する必要がある場合は、手順に従って実行してください。また、顧客がアプリを引き続き使用するためにファイル上の情報を更新する必要がある場合は、そのことを明確に伝えます。
- プライバシーに関する主張を確認して更新します。 企業は、特に公衆衛生の発展に関連する新しい情報や異なる情報を共有するために、時間の経過とともに進化する可能性のあるアプリを作成しています。プライバシーに関する主張がデータ慣行の変化に追いついていないと、消費者が誤解される可能性があります。
- 共有されるデータは最小限に抑えます。 消費者のワクチン接種状況を確認する場合、その人の名前、生年月日、電子メールアドレス、ワクチンの種類などを共有せずに、その状況を別の団体に伝えるだけで十分な場合があります。この原則は他の健康関連アプリにも同様に当てはまります。
- 検証に使用するデータを保護します。 アプリが個人のステータスを確認するために機密データを送信する場合は、転送暗号化を使用します。これらのアプリ (または他の健康アプリ) を使用する人々は通常、コーヒー ショップ、空港、その他の情報窃盗者がデータを傍受しやすい場所にあるオープン Wi-Fi アクセス ポイントに依存しています。アプリが携帯電話に情報を保存する場合は、データを保護するか隠蔽することを検討してください。これは、ウイルス (デジタルの種類)、マルウェア、またはデバイスの紛失が発生した場合にユーザーを保護するのに役立ちます。
- 新しい健康関連アプリを開発する際に、パンデミックの教訓を応用してください。 ヘルスケア アプリは今後も存続します。ただし、会社が新製品の市場投入を急ぐ前に、安全な開発のためのベスト プラクティスを優先するようにチームをトレーニングしてください。セキュリティから始めて、設計、開発、テストを行う際にそれをジョブ 1 として維持すると、致命的な欠陥を抱えた製品を展開するリスクを軽減できます。もう 1 つの重要なリソース: NIST の セキュアなソフトウェア開発フレームワーク (SSDF)。製品が公開される前に、それが宣伝どおりに動作し、セキュリティ対策が機能していることを確認してください。スキップできないステップの 1 つは、製品をテストして、一般的なセキュリティ脆弱性の影響を受けないかどうかを確認することです。
- 健康データや子供のデータを扱う場合は、適用される基準と規制を理解してください。 健康情報や子供の情報が関係する場合は、追加の法的規定が適用される場合があります。児童オンライン プライバシー保護法と COPPA 規則、医療保険の相互運用性と責任に関する法律 (HIPAA)、健康侵害通知規則、およびその他の関連法に関するガイダンスを求めてください。
あなたの企業、非営利団体、またはその他の団体は人々のワクチン接種状況をチェックしていますか?
あなたの会社が従業員、顧客、その他の人々のワクチン接種状況を確認する場合、アプリを使用するか、直接ワクチンカードを確認するか、電子メールでカードのスキャンを取得するかなど、心に留めておくべきアドバイスがいくつかあります。これらの原則は、新しい健康アプリが市場に参入する際にも引き続き関連します。
- 目的を考えてみましょう。 顧客や従業員の状況を確認するとき、ワクチン接種を確実に行うためでしょうか? それとも、法的義務を遵守したり、場合によっては接触追跡を実施したりするために、より多くの情報が必要ですか?目標を特定することは、それを達成する最善の方法を見つけるための重要なステップとなる可能性があります。
- 誰かのワクチン接種状況を確認する場合、通常は少ないほど多くなります。 ワクチン接種カードまたはデジタル資格情報を表示することで、その人がワクチン接種を受けているかどうかを簡単に確認できるかどうかを検討してください。さらに詳細な情報が必要ない場合は、要求しないでください。また、最初から収集しないでください。持っていなかったデータを保護する必要はありません
- 市場を調査します。 ワクチン接種状況の確認やその他の健康関連機能の実行を支援するためにアプリやその他のテクノロジーを使用する場合は、サービスプロバイダーの選択には細心の注意を払ってください。企業を調査し、ソフトウェアについてさらに詳しく知り、プライバシーとデータについて質問してください。セキュリティ慣行。彼らはどのような情報をあなたと共有するのでしょうか?アプリはあなた、あなたの顧客、または従業員からどのような情報を収集しますか?あなたが他者に対して行う表明は、サービスプロバイダーの慣行と一致していますか?
- 安全な環境を提供します。 個人情報を収集するためにテクノロジーを使用している場合、情報が送信される安全なネットワークはありますか?また、情報を維持する必要がある場合、安全に保管できますか?
- 人のワクチンの状態に関する情報を保持する必要がある場合は、その情報を保持する期間を検討してください。 誰かのワクチン接種状況やその他の健康関連情報が正当に必要でなくなったら、安全に処分してください。
- 対面式の職場への復帰、またはより恒久的なリモート オフィスへの移行を、収集して保持しているデータを評価する機会として利用してください。 消費者のステータスを確認するために消費者の生年月日を継続的に必要としない場合は、それを保存しないでください。 または、店頭でアプリを使用して顧客のワクチン接種状況を確認する場合は、1 回の顧客訪問に関連するデータをどれくらいの期間保存する必要があるかをよく考えてください。しかし、そこで止まらないでください。新型コロナウイルス関連の状況を超えて、情報の収集と保持の実践を新たに見直してください。必要のないデータをなぜ収集または保持するのでしょうか?
