Looker Studio の HIPAA 実装ガイド

医療保険の相互運用性と説明責任に関する法律(HIPAA)では、個人の健康または保険サービスに関する特定の情報が、保護対象保健情報(Protected Health Information、PHI)とみなされます。

Google は、お客様のデータを安全に保護し、いつでもご利用いただけるように努めています。Looker Studio は( Google Cloud Platform 業務提携契約(BAA)の範囲内で)HIPAA コンプライアンスに対応していますが、最終的にはお客様が自身の HIPAA コンプライアンスを評価する責任を負います。

このページは、HIPAA コンプライアンスを担当する組織内のセキュリティ責任者、コンプライアンス責任者、IT 管理者、その他の従業員が、コンプライアンス要件を満たしながら Looker Studio を使用できるようにすることを目的としています。

免責条項

このガイドは情報提供のみを目的としています。このガイドに記載された情報または推奨事項は、法的助言を与えることを意図したものではありません。Looker Studio の特定の使用方法を必要に応じて独自に評価し、法令遵守義務を果たすのは、お客様の責任です。

お客様の責任

HIPAA を遵守する必要があるかどうかや、Looker Studio で PHI を扱うまたは扱う予定であるかどうかを判断する責任は、Looker Studio をご利用のお客様が負うものとします。HIPAA を遵守する必要があるお客様で、PHI を Looker Studio で扱うことを希望される場合は、続行する前に、 Google Cloud Platform 業務提携契約(BAA)を Google と締結していただく必要があります。 Google Cloud Platform BAA を Google と締結していないお客様は、PHI と組み合わせて Looker Studio を使用することはできません。なお、新規のお客様が以前の Looker Studio BAA に同意することはできなくなりました。

詳しくは、 Google Cloud プラットフォームでの HIPPA コンプライアンスをご覧ください。

PHI と組み合わせて Looker Studio を使用する方法

HIPAA の対象となる Looker Studio のお客様は、HIPAA を遵守するように設定されていれば、BAA に基づいて PHI と組み合わせて Looker Studio をご使用いただけます。

Google Workspace と Cloud Identity をご利用のお客様向け

Google 管理コンソールには、データの安全性を確保するための固有の設定があり、要件を満たしている場合にのみ使用およびアクセスできます。具体的な問題に対処するための推奨事項をいくつかご紹介します。

アカウント アクティビティのモニタリング

管理コンソールのレポートとログを利用すると、潜在的なセキュリティ リスクの確認、ユーザーによる共同編集の評価、ログインしたユーザーと日時の追跡、管理者アクティビティの分析などを簡単に行えるようになります。ログとアラートを監視するために、管理者は不審なイベントが発生したときに送信される通知を設定できます。また、管理者はレポートとログを定期的に確認して、潜在的なセキュリティ リスクを調べることもできます。たとえば、Looker Studio の管理コンソール レポートに、外部ドメインのユーザーと共有されているファイルを表示できます。管理者は、PHI を管理する従業員が PHI を誤って共有していないかを、このようなレポートで定期的に確認することをご検討ください。

共有オプション

Looker Studio のユーザーは、Looker Studio のアセット共有時に、共同編集者による編集と共有の機能を設定できます。そのようなアセットのタイトルには PHI を含めないことをおすすめします。

管理者は、ファイル共有の権限を Workspace または Cloud Identity アカウントの適切な公開設定レベルに設定できます。管理者は、ユーザーがドメイン外部でドキュメントを共有することを「制限」または「許可」することが可能です。PHI を使用しているユーザーが組織外のユーザーと Looker Studio アセットを共有できないように、ファイル共有の権限を設定することをおすすめします。

テクニカル サポート サービス

Looker Studio のテクニカル サポート サービスにアクセスする際は、Google に PHI を提供しないでください。

補足資料

お客様のデータを脅威や攻撃から守り、お客様に対するデータの可用性を維持することは、Google の最優先事項の一つです。業界のセキュリティ基準に準拠していることを示すため、Google は Google Cloud 業務提携契約の実施に加え、Looker Studio の複数の認証を申請し、取得しました。