Looker Studio 《健康保險流通與責任法案》實作指南

根據《健康保險流通與責任法案》(HIPAA),有關個人健康或醫療保健服務的特定資訊,均歸類為「受保護的健康資訊」(PHI)。

Google 致力於確保客戶資料安全無虞,並隨時可供存取。Looker Studio 雖遵循《健康保險流通與責任法案》(在 Google Cloud 平台業務合作協議 (BAA) 範圍內),但客戶最終仍須自行評估是否符合《健康保險流通與責任法案》的相關規範。

本頁面適用於負責 HIPAA 法規遵循的機構組織,可協助資安主管、法規遵循主管、IT 管理員和其他員工,以符合法規遵循需求的方式使用 Looker Studio。

免責事項

本指南僅供參考。Google 在本指南中提供的資訊或建議不構成法律建議。客戶有責任自行評估在使用 Looker Studio 時,本身已善盡相關法律與法規的遵循義務。

客戶責任

Looker Studio 客戶必須自行判斷是否須遵守 HIPAA 規定,以及是否使用或想要使用 Looker Studio 處理 PHI。如果客戶需要遵守《健康保險流通與責任法案》規定,而且想使用 Looker Studio 處理受保護的健康資訊,則必須先與 Google 簽署 Google Cloud 平台業務合作協議 (BAA),才能繼續操作。如果客戶並未和 Google 簽署 Google Cloud 平台 BAA,則不得使用 Looker Studio 處理 PHI。請注意,新客戶無法再接受先前的 Looker Studio BAA。

進一步瞭解 Platform 的《健康保險流通與責任法案》法規遵循 Google Cloud 。

如何使用 Looker Studio 處理 PHI

只要客戶將 Looker Studio 設為符合 HIPAA 的規定,受 HIPAA 規範的 Looker Studio 客戶即可依 BAA 規範使用 Looker Studio 處理受保護的健康資訊。

適用於 Google Workspace 和 Cloud Identity 客戶

Google 管理控制台提供特定設定,可確保資料安全無虞,且僅根據您的要求使用及存取。以下幾項可行的建議,可協助您解決特定問題。

監控帳戶活動

管理控制台的報告和記錄可讓您輕鬆找出潛在的安全性風險、評估使用者的協作情形、追蹤登入的使用者和登入時間,以及分析管理員活動等等。如要監控記錄和快訊,管理員可以在發生可疑事件時設定通知。管理員也可以定期查看報告和記錄,檢查潛在的安全性風險。舉例來說,Looker Studio 的管理控制台報表會顯示哪些檔案與外部網域使用者共用。管理員應定期查看這些報告,瞭解管理受保護健康資訊的員工是否不慎共用這類資訊。

共用選項

共用 Looker Studio 資產時,Looker Studio 使用者可以控管協作者的編輯和共用權限。建議使用者避免將受保護的健康資訊放在這些資產的標題中。

管理員可將檔案共用權限設為適合 Workspace 或 Cloud Identity 帳戶的瀏覽權限等級。管理員可以「限制」或「允許」使用者與網域外的人共用文件。建議您設定檔案共用權限,禁止處理 PHI 的使用者與機構外部人士共用 Looker Studio 資產。

技術支援服務

存取 Looker Studio 技術支援服務時,不得向 Google 提供受保護的健康資訊。

其他資源

確保客戶資料安全且隨時可供客戶存取是我們的首要任務之一。為證明我們符合業界的安全性標準,除了實施 Google Cloud 業務夥伴協議外,Google 也已申請並通過多項 Looker Studio 認證