由于 A/V 内容（例如录音或转录的电话）是完全开放的，因此您正走进一个模糊的领域，所以如果我站在您的立场上，我会对您的 CRM 应用严格的安全/协议。如果您录制的电话以“嗨，我的名字是 [name] 并且我刚刚感染 [disease] 并将接受 [procedure]”开头的电话录音……您刚刚捕获并存放了很多 PHI。也许这里的最终结果（如果适用）是在接听电话之前否认：“请不要谈论个人或机密的健康问题”（有点像您可能在医院电梯中看到的标语牌）。

您与属于 HIPAA 涵盖实体的客户的从属关系（如果您最终与 PHI/PII 进行交易）将使您成为“商业伙伴”（http://www.hhs.gov/ocr/privacy/hipaa/understanding/coveredentities/businessassociates .html）。阅读您与涵盖实体之间的合同需求。

最后，做你的功课以确保你提供的访问/信息是真正匿名的，如果需要的话。电话号码、IP 地址等是 HIPAA 下 PII（个人身份信息）的示例。NIST PII 指南：http ://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf （例如搜索“电话号码”）。但请记住，如果您是涵盖实体的业务伙伴，您可以根据预先定义的理由交换和/或使用 PHI。

我认为这不是一个完整的答案，但这里有一些基于您所描述/要求的想法和链接，我认为它们应该会有所帮助。

HIPAA 仅适用于健康信息，主要是因为它适用于医疗保健提供者和健康保险机构之间的互动。

除非我误解了某些东西，否则听起来您并没有对健康信息做任何事情，听起来您的机构也不是 HIPAA 下的“涵盖实体”。您可以参加HIPAA 网站上的“我是一个受保护的实体”测验以了解更多信息，但听起来 HIPAA 并不适用于您正在做的事情。

（这并不意味着您无论如何都不应该保护数据，只是在一般原则上:)）

HIPAA 仅适用于健康保险公司、供应商等，但由于您是一家向这些涵盖实体之一提供资源的公司，因此他们可能对其数据有合规的业务要求。（以及与他们的业务相关的任何日志文件或其他项目）。

话虽如此，就责任而言，这可能是一个棘手的情况，您不仅需要程序上的“合规性”，还需要您的律师来调查任何违规或风险对所有相关人员的影响。