ヘルスケアとライフサイエンスのコントロールに関する制限事項

このページでは、ヘルスケアとライフサイエンスのコントロール、およびヘルスケアとライフサイエンスのコントロール(米国でのサポート)のコントロール パッケージを使用する際の制限、制限事項、その他の構成オプションについて説明します。

概要

ヘルスケアとライフサイエンスのコントロール、およびヘルスケアとライフサイエンスのコントロール(米国でのサポート)のコントロール パッケージを使用すると、医療保険の相互運用性と説明責任に関する法律(HIPAA)と Health Information Trust Alliance(HITRUST)の要件に準拠したワークロードを実行できます。

サポートされているプロダクトはそれぞれ、次の要件を満たしています。

追加サービスの許可

各ヘルスケアとライフサイエンスのコントロールのコントロール パッケージには、サポートされているサービスのデフォルト構成が含まれています。これは、Assured Workloads フォルダに設定されたサービスの使用を制限するgcp.restrictServiceUsage)組織のポリシー制約によって適用されます。ただし、ワークロードで必要な場合は、この制約の値を変更して他のサービスを含めることができます。詳細については、ワークロードのリソース使用量を制限するをご覧ください。

許可リストに追加する追加サービスはすべて、Google Cloud の HIPAA BAA ページまたは Google Cloud の HITRUST CSF ページで列挙されている必要があります。

gcp.restrictServiceUsage 制約を変更して追加サービスを追加すると、Assured Workloads モニタリングでコンプライアンス違反が報告されます。これらの違反を削除し、許可リストに登録されたサービスの今後の通知を防ぐには、違反ごとに例外を適用する必要があります。

サービスを許可リストに追加する際のその他の考慮事項については、次のセクションで説明します。

顧客管理の暗号鍵(CMEK)

サービスを許可リストに登録する前に、Cloud KMS ドキュメントの互換性のあるサービスページを参照して、CMEK がサポートされていることを確認します。CMEK をサポートしていないサービスを許可する場合は、Assured Workloads における責任の共有で説明されているように、関連するリスクを受け入れる必要があります。

CMEK の使用時に厳格なセキュリティ対策を適用する場合は、Cloud KMS のドキュメントの鍵の使用状況を表示するをご覧ください。

データ所在地

サービスを許可リストに追加する前に、データ所在地がある Google Cloud サービスページにサービスが記載されていることを確認します。データ所在地をサポートしていないサービスを許可する場合は、Assured Workloads における責任の共有で説明されているように、関連するリスクを受け入れる必要があります。

VPC Service Controls

サービスを許可リストに追加する前に、VPC Service Controls のドキュメントのサポートされているプロダクトと制限事項ページを参照して、VPC Service Controls でサポートされていることを確認してください。VPC Service Controls をサポートしていないサービスを許可する場合は、Assured Workloads における責任の共有で説明されているように、関連するリスクを受け入れる必要があります。

アクセスの透明性とアクセスの承認

サービスを許可リストに追加する前に、次のページを確認して、そのサービスがアクセスの透明性ログを書き込み、アクセス承認リクエストをサポートできることを確認します。

アクセスの透明性ログを書き込まず、アクセス承認リクエストをサポートしていないサービスを許可する場合は、Assured Workloads における責任の共有で説明されているように、関連するリスクを受け入れます。

サポートされているプロダクトとサービス

次のプロダクトは、ヘルスケアとライフサイエンスのコントロール、およびヘルスケアとライフサイエンスのコントロール(米国でのサポート)のコントロール パッケージでサポートされています。

サポートされているサービス グローバル API エンドポイント 制限事項
Cloud Service Mesh mesh.googleapis.com
meshca.googleapis.com
meshconfig.googleapis.com
networksecurity.googleapis.com
networkservices.googleapis.com
なし
Artifact Registry artifactregistry.googleapis.com
なし
BigQuery bigquery.googleapis.com
bigqueryconnection.googleapis.com
bigquerydatapolicy.googleapis.com
bigqueryreservation.googleapis.com
bigquerystorage.googleapis.com
なし
BigQuery Data Transfer Service bigquerydatatransfer.googleapis.com
なし
Binary Authorization binaryauthorization.googleapis.com
なし
Certificate Authority Service privateca.googleapis.com
なし
Bigtable bigtable.googleapis.com
bigtableadmin.googleapis.com
なし
Cloud Build cloudbuild.googleapis.com
なし
Cloud Composer composer.googleapis.com
なし
Cloud Data Fusion datafusion.googleapis.com
なし
Dataflow dataflow.googleapis.com
datapipelines.googleapis.com
なし
Dataproc dataproc-control.googleapis.com
dataproc.googleapis.com
なし
Cloud Data Fusion datafusion.googleapis.com
なし
Identity and Access Management(IAM) iam.googleapis.com
なし
Cloud Key Management Service(Cloud KMS) cloudkms.googleapis.com
なし
Cloud Logging logging.googleapis.com
なし
Pub/Sub pubsub.googleapis.com
なし
Cloud Router networkconnectivity.googleapis.com
なし
Cloud Run run.googleapis.com
なし
Spanner spanner.googleapis.com
影響を受ける機能組織のポリシーの制約
Cloud SQL sqladmin.googleapis.com
なし
Cloud Storage storage.googleapis.com
なし
Cloud Tasks cloudtasks.googleapis.com
なし
Cloud Vision API vision.googleapis.com
なし
Cloud VPN compute.googleapis.com
なし
Compute Engine compute.googleapis.com
組織ポリシーの制約
会話型分析情報 contactcenterinsights.googleapis.com
なし
Eventarc eventarc.googleapis.com
なし
Filestore file.googleapis.com
なし
Google Kubernetes Engine container.googleapis.com
containersecurity.googleapis.com
なし
Memorystore for Redis redis.googleapis.com
なし
Persistent Disk compute.googleapis.com
なし
Secret Manager secretmanager.googleapis.com
なし
Sensitive Data Protection dlp.googleapis.com
なし
Speech-to-Text speech.googleapis.com
なし
Text-to-Speech texttospeech.googleapis.com
なし
Virtual Private Cloud(VPC) compute.googleapis.com
なし
VPC Service Controls accesscontextmanager.googleapis.com
なし

制限事項

以下のセクションでは、Google Cloud 全体またはプロダクト固有の制限、または機能の制限について説明します。これには、ヘルスケアとライフサイエンスのコントロールのフォルダにデフォルトで設定されている組織ポリシーの制約も含まれます。

Google Cloud 全体の組織のポリシーの制約

次の組織のポリシーの制約は、該当するすべての Google Cloud サービスに適用されます。

組織のポリシーの制約 説明
gcp.resourceLocations allowedValues リストで次のロケーションに設定します。
  • us-locations
  • us-central1
  • us-central2
  • us-west1
  • us-west2
  • us-west3
  • us-west4
  • us-east1
  • us-east4
  • us-east5
  • us-south1
この値は、新しいリソースの作成を、選択した値グループのみに制限します。設定すると、選択したリージョン、マルチリージョン、ロケーション以外にリソースを作成できなくなります。詳細については、組織のポリシーの値グループのドキュメントをご覧ください。
gcp.restrictServiceUsage すべてのサポートされているサービスを許可するように設定します。

有効にして使用できるサービスを決定します。詳細については、ワークロードのリソース使用量を制限するをご覧ください。
gcp.restrictTLSVersion 次の TLS バージョンを拒否するように設定します。
  • TLS_VERSION_1
  • TLS_VERSION_1_1
詳細については、TLS バージョンを制限するページをご覧ください。

Compute Engine

Compute Engine 組織のポリシーの制約

組織のポリシーの制約 説明
compute.disableGlobalCloudArmorPolicy True に設定します。

Google Cloud Armor セキュリティ ポリシーの作成を無効にします。

Spanner

影響を受ける Spanner の機能

機能 説明
スプリットの境界 Spanner は、主キーとインデックス付き列の小さなサブセットを使用して、顧客データとメタデータを含むスプリットの境界を定義します。Spanner のスプリットの境界は、連続する範囲の行が小さな部分に分割される場所を示します。

これらのスプリットの境界は、Google の担当者がテクニカル サポートとデバッグ目的でアクセスできますが、ヘルスケアとライフサイエンスのコントロールにおける管理者権限データ管理の対象ではありません。

Spanner 組織のポリシーの制約

組織のポリシーの制約 説明
spanner.assuredWorkloadsAdvancedServiceControls True に設定します。

Spanner リソースに追加のデータ主権とサポート性の制御を適用します。
spanner.disableMultiRegionInstanceIfNoLocationSelected True に設定します。

マルチリージョン Spanner インスタンスを作成してデータ所在地とデータ主権を適用する機能を無効にします。

次のステップ