医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act: HIPAA)は 1996 年に制定された米国の連邦法で、個人の保護対象保健情報(PHI)の保護を担う組織に対し、データのプライバシーとセキュリティの要件を定めています。こうした組織は、HIPAA で定める「対象事業者」および「関連事業者」の定義に該当します。
HIPAA に準拠する義務のあるお客様が、PHI に関連する Google Cloud 製品を扱うことを希望される場合は、Google の業務提携契約(BAA)を確認のうえ、同意していただく必要があります。Google は、BAA の対象となる Google 製品が HIPAA の要件を満たし、ISO/IEC 27001、27017、27018 認証および SOC 2 報告書に適合していることを保証します。
Google Cloud BAA の対象には、Google Cloud の全インフラストラクチャ(全リージョン、全ゾーン、全ネットワーク パス、全接続拠点)と、以下に挙げるサービスが含まれます。
Assured Workloads のヘルスケア、ライフ サイエンス業界のサービスは、HIPAA ワークロードの構成と保護を支援します。
対象となるプロダクトのリストについては、Google Cloud の HIPAA コンプライアンスをご覧ください。
Google Workspace BAA については、HIPAA に含まれる機能をご覧ください。
BAA により、対象事業者および関連事業者は、Google Cloud を介した PHI の処理を管理する Google との契約を締結することができます。
BAA を遂行するために、Google Cloud を使用する組織は、Google と BAA の締結について、組織のアカウント マネージャーと協議することが求められます。
Google Cloud と BAA を締結する対象事業者は、承認済みの Google Cloud サービスを使用して HIPAA に準拠するソリューションを構築する責任があります。ソリューションが構築された後、対象事業者はコンプライアンス管理機能を実装する責任を負います。
BAA は変更の対象ではありません。