Google Cloud Platform での HIPAA コンプライアンス

このガイドでは、Google Cloud Platform での HIPAA コンプライアンスを扱います。G Suite の HIPAA コンプライアンスは、別途扱います。

免責条項

このガイドは情報提供のみを目的としています。このガイドに記載された情報または推奨事項は、法的助言を与えることを意図したものではありません。お客様は、サービスの特定の使用方法を必要に応じて独自に評価し、ご自身の法令遵守義務を果たす責任を負います。

対象読者

米国の医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act(HIPAA)。「経済的および臨床的健全性のための医療情報技術に関する法律」(HITECH)などにより改正)の要件を遵守する必要があるお客様のために、Google Cloud Platform は HIPAA コンプライアンスに対応しています。このガイドは、セキュリティ責任者、コンプライアンス責任者、IT 管理者など、Google Cloud Platform で HIPAA の実装とコンプライアンスを担当する従業員を対象としています。このガイドを読むことで、Google が HIPAA コンプライアンスにどのように対応しているか、また HIPAA に基づく責任を果たすための Google Cloud プロジェクトの構成方法を理解できるようになります。

定義

このドキュメントで使用するすべて大文字の用語は、別の定義がされていない限り、HIPAA と同じ意味を持ちます。また、このドキュメントの目的において、保護対象保健情報(PHI)は、Google が適用対象事業者から受け取る PHI を意味します。

概要

HIPAA コンプライアンスに関して米国 HHS が認める証明書は存在しないこと、そして HIPAA に準拠することはお客様と Google の共同責任であることにご注意ください。 特に、HIPAA ではセキュリティ ルールプライバシー ルール違反通知ルールに準拠することが要求されます。Google Cloud Platform は(業務提携契約の範囲内で)HIPAA コンプライアンスに対応していますが、最終的にはお客様が自身の HIPAA コンプライアンスを評価する責任を負います。

必要に応じ、Google はお客様と HIPAA に基づいて業務提携契約を結びます。Google Cloud Platform は、オンプレミス セキュリティ チームの中でも最大級を誇る、700 人を超えるセキュリティ エンジニアリング チームの指導の下で構築されています。データ保護の仕組みが組織的および技術的にどのように管理されているかなど、セキュリティとデータ保護に対する Google の取り組みの詳細については、Google のセキュリティに関するホワイトペーパーGoogle インフラストラクチャのセキュリティ設計の概要をご覧ください。

セキュリティとプライバシー設計の取り組みを文書化することに加えて、Google は複数の第三者による監査を定期的に実施し、外部検証の結果をお客様にお知らせしています(下に、報告書と証明書へのリンクがあります)。このような独立した監査機関が Google のデータセンターやインフラストラクチャ、オペレーションにおける管理状況を厳格に検査しています。Google は、次の基準に対する監査を毎年実施しています。

  • SSAE16 / ISAE 3402 Type II。SOC 3 報告書が公開されています。SOC 2 報告書は NDA を締結することで入手できます。
  • ISO 27001。 Google では、Google Cloud Platform を提供するためのシステム、アプリケーション、担当者、テクノロジー、プロセス、データセンターを対象に ISO 27001 認証を取得しています。Google の ISO 27001 証明書は、Google ウェブサイトのコンプライアンスのセクションでご覧いただけます。
  • ISO 27017、クラウド セキュリティ。特にクラウド サービスを対象として、ISO/IEC 27002 に基づく情報セキュリティ管理の方法を規定した国際規格です。Google の ISO 27017 証明書は、Google ウェブサイトのコンプライアンスのセクションでご覧いただけます。
  • ISO 27018、クラウド プライバシー。公開クラウド サービスで個人を特定できる情報(PII)を保護する方法を規定した国際基準です。Google の ISO 27018 証明書は、Google ウェブサイトのコンプライアンスのセクションでご覧いただけます。
  • FedRAMP ATO
  • PCI DSS v3.2

Google 環境の機密保持、完全性、可用性を保証することに加えて、第三者による広範な監査を行うことにより、業界最高水準の情報セキュリティをお約束します。お客様はこれらの第三者機関による監査報告書をお読みになり、Google が提供しているプロダクトが HIPAA コンプライアンスをどのように満たしているかを確認できます。

お客様の責任

お客様の重要な責任の 1 つとして、ご自身が適用対象事業者(または適用対象事業者の業務提携事業者)であるかどうかを判断し、そうである場合、Google を利用する目的において Google との業務提携契約が必要かどうかを判断する必要があります。

Google は PHI の保管および処理用に(上記のとおり)安全でコンプライアンス性の高いインフラストラクチャを提供していますが、Google Cloud Platform の上に構築する環境とアプリケーションが HIPAA 要件に従って正しく構成され、保護されていることを確認するのは、お客様の責任になります。これは、クラウドの共有セキュリティ モデルと呼ばれます。

重要なベスト プラクティス:

  • Google Cloud BAA を実行します。BAA はアカウント マネージャから直接要求できます。
  • PHI を取り扱うときは、BAA に明示的に含まれていない Google Cloud プロダクト(対象となるプロダクトをご覧ください)を無効にするか、使用していないことを確認します。

推奨される技術的なベスト プラクティス:

  • プロジェクトにアクセスできるユーザーを設定するときは、IAM のベスト プラクティスを使用します。特に、サービス アカウントを使用してリソースにアクセスできるため、これらのサービス アカウントとサービス アカウントキーへのアクセスは厳密に管理する必要があります。
  • 組織に、HIPAA セキュリティ ルールで要求されている以上の暗号化要件があるかどうかを確認します。お客様のすべてのコンテンツは、Google Cloud Platform で暗号化されて安全に保存されます。詳細と例外については暗号化に関するホワイトペーパーをご覧ください。
  • Cloud Storage を使用する場合は、データのアーカイブを用意し、誤ってデータを削除した場合に削除を取り消せるように、オブジェクトのバージョニングを有効にすることを検討します。また、gsutil を使用して Cloud Storage を操作する前に、セキュリティとプライバシーの留意事項のガイダンスを確認し、これに従います。
  • 監査ログのエクスポート先を構成します。監査ログは、長期間アーカイブできるように Cloud Storage にエクスポートするとともに、解析、モニタリング、法廷要件に使用できるように BigQuery にもエクスポートすることを強くおすすめします。各組織の要件に合わせて、これらのエクスポート先へのアクセス制御を構成してください。
  • 各組織の要件に合わせてアクセス制御を構成します。ログ閲覧者の役割を持つユーザーは管理アクティビティの監査ログにアクセスできます。また、プライベート ログ閲覧者の役割を持つユーザーはデータアクセスの監査ログへのアクセスが可能です。
  • 監査ログを定期的に確認して、セキュリティとコンプライアンスが要件を満たしていることを確認します。上記のとおり、BigQuery は大量のログの解析に最適なプラットフォームです。サードパーティの統合プロダクトの SIEM プラットフォームを利用してログを解析し、コンプライアンスを立証することもできます。
  • Cloud Datastore でインデックスを作成または構成するときに、PHI やセキュリティ認証情報などのプライベート データを、エンティティ キー、インデックス付きプロパティキー、インデックスのインデックス付きプロパティ値として使用する前に暗号化します。インデックスの作成や構成の詳細については、Cloud Datastore のドキュメントを参照してください。
  • Dialogflow Enterprise エージェントを作成または更新する際、インテント、トレーニング フレーズ、エンティティといったエージェントの定義のいずれにも PHI やセキュリティ認証情報を含めないでください。
  • リソースを作成または更新する際、リソースのメタデータを指定するときに PHI やセキュリティ認証情報を含めないでください。この情報はログに取り込まれることがあります。監査ログには、リソースのデータ コンテンツやログ中のクエリの結果は記録されませんが、リソース メタデータは取り込まれることがあります。
  • プロジェクトに Identity Platform を使用するときは、Identity Platform の手法を使用します。
  • Cloud Build サービスを継続的インテグレーションや継続的な開発に使用する場合、ビルド構成ファイルやソース制御ファイルなどのビルド アーティファクトに PHI を含めたり保存したりしないでください。

対象となるプロダクト

Google Cloud BAA の対象には、GCP の全インフラストラクチャ(全リージョン、全ゾーン、全ネットワーク パス、全接続拠点)と、次のプロダクトが含まれます。

  • App Engine
  • Cloud AI Notebook
  • Cloud Armor
  • Cloud AutoML Natural Language
  • Cloud AutoML Tables
  • Cloud AutoML Translation
  • Cloud AutoML Vision
  • BigQuery
  • BigQuery Data Transfer Service
  • Cloud Bigtable
  • Cloud Build
  • Cloud Console
  • Cloud Composer
  • Cloud Data Fusion
  • Cloud Data Labeling サービス
  • Cloud Data Loss Prevention
  • Cloud Dataflow
  • Cloud Datalab
  • Cloud Dataproc
  • Cloud Datastore
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud Endpoints
  • Cloud Filestore
  • Cloud Firestore
  • Cloud Functions
  • Cloud Genomics
  • Cloud Healthcare
  • Cloud HSM
  • Cloud Identity
  • Cloud Identity-Aware Proxy
  • Cloud IoT Core
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud Machine Learning Engine
  • Cloud Memorystore
  • Cloud Natural Language API
  • Cloud NAT
  • Cloud Pub/Sub
  • Cloud Resource Manager
  • Cloud Router
  • Cloud Source Repositories
  • Cloud Spanner
  • Cloud Speech API
  • Cloud SQL for MySQL
  • Cloud SQL for PostgreSQL
  • Cloud Service Consumer Management API
  • Cloud Storage
  • Cloud Translation API
  • Cloud Text-to-Speech
  • Cloud Video Intelligence API
  • Cloud Vision API
  • Cloud VPN
  • Compute Engine
  • Container Registry
  • Dialogflow
  • Google Service Control
  • Google Service Management
  • Identity Platform
  • Kubernetes Engine
  • Network Service Tiers
  • Persistent Disk
  • Stackdriver Debugger
  • Stackdriver Error Reporting
  • Stackdriver Logging
  • Stackdriver Profiler
  • Stackdriver Trace
  • Google Transfer Appliance Service
  • Virtual Private Cloud(VPC)
  • VPC Service Controls

対象となるプロダクトの最新のリストについては、Google Cloud のコンプライアンス サイトをご覧ください。このリストは、新しいプロダクトが HIPAA プログラムで利用可能になると更新されます。

特有の機能

GCP のセキュリティ対策により、HIPAA BAA に Google のクラウドの一部だけではなく、GCP の全インフラストラクチャを含めることができるようになりました。その結果として、特定のリージョンに制限されることなく、スケーラビリティ、運用性、アーキテクチャ上の利点を得ることができます。また、マルチリージョンによるサービス冗長性や、プリエンプティブ VM によるコスト削減の利点も得ることができます。

HIPAA コンプライアンスのサポートを可能にするセキュリティとコンプライアンスの対策は、Google のインフラストラクチャ、セキュリティ設計、プロダクトに、すでに浸透しています。そのため、HIPAA 規制対象のお客様にも、すべてのお客様と同じプロダクトを同じ料金で、継続利用割引も含めて提供できます。他社のパブリック クラウドで課金されるような HIPAA クラウドの追加料金は、Google では発生しません。

まとめ

Google Cloud Platform は、お客様が基盤となるインフラストラクチャの心配をせずに医療情報を安全に保管、解析し、理解を深めることができるクラウド インフラストラクチャです。

参考リンク

このページは役立ちましたか?評価をお願いいたします。