Google Cloud Platform での HIPAA コンプライアンス

このガイドでは、Google Cloud Platform での HIPAA コンプライアンスを扱います。Google Workspace の HIPAA コンプライアンスについては、別途扱います。

免責

このガイドは情報提供のみを目的としています。このガイドに記載された情報または推奨事項は、法的助言を与えることを意図したものではありません。サービスの特定の使用方法を必要に応じて独自に評価し、法令遵守義務を果たすのは、お客様の責任です。

対象読者

米国の医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act(HIPAA)。「経済的および臨床的健全性のための医療情報技術に関する法律」(HITECH)などにより改正)の要件を遵守する必要があるお客様のために、Google Cloud Platform は HIPAA コンプライアンスに対応しています。このガイドは、セキュリティ責任者、コンプライアンス責任者、IT 管理者など、Google Cloud Platform で HIPAA の実装とコンプライアンスを担当する従業員を対象としています。このガイドを読むことで、Google が HIPAA コンプライアンスにどのように対応しているか、また HIPAA に基づく責任を果たすための Google Cloud プロジェクトの構成方法を理解できるようになります。

定義

このドキュメントで使用するすべて大文字の用語は、別の定義がされていない限り、HIPAA と同じ意味を持ちます。また、このドキュメントの目的において、保護対象保健情報(PHI)は、Google が適用対象事業者から受け取る PHI を意味します。

概要

HIPAA コンプライアンスに関して米国 HHS が認める証明書は存在しないこと、そして HIPAA を遵守することはお客様と Google の共同責任であることにご注意ください。特に、HIPAA ではセキュリティ ルールプライバシー ルール侵害通知ルールを遵守することが求められます。Google Cloud Platform は(業務提携契約の範囲内で)HIPAA コンプライアンスに対応していますが、最終的にはお客様が自身の HIPAA コンプライアンスを評価する責任を負います。

必要に応じ、Google はお客様と HIPAA に基づいて業務提携契約を結びます。Google Cloud Platform は、大半のオンプレミス セキュリティ チームよりも大規模な、700 人を超えるセキュリティ エンジニアリング チームの指導の下で構築されています。データ保護の仕組みが組織的および技術的にどのように管理されているかなど、セキュリティとデータ保護に対する Google の取り組みの詳細については、Google のセキュリティに関するホワイトペーパーGoogle インフラストラクチャのセキュリティ設計の概要をご覧ください。

セキュリティとプライバシー設計の取り組みを文書化することに加えて、Google は複数の第三者による監査を定期的に実施し、外部検証の結果をお客様にお知らせしています(下に、報告書と証明書へのリンクがあります)。このような独立した監査機関が Google のデータセンターやインフラストラクチャ、運用における管理状況を厳格に検査しています。Google では、次の規格について年次監査を受けています。

  • SSAE16 / ISAE 3402 Type IISOC 3 報告書が公開されています。SOC 2 報告書は NDA を締結することで入手できます。
  • ISO 27001。 Google では、Google Cloud Platform を提供するためのシステム、アプリケーション、担当者、テクノロジー、プロセス、データセンターを対象に ISO 27001 認証を取得しています。Google の ISO 27001 証明書は、Google ウェブサイトのコンプライアンスのセクションでご覧いただけます。
  • ISO 27017、クラウド セキュリティ。特にクラウド サービスを対象として、ISO/IEC 27002 に基づく情報セキュリティ管理の方法を規定した国際規格です。Google の ISO 27017 証明書は、Google ウェブサイトのコンプライアンスのセクションでご覧いただけます。
  • ISO 27018、クラウド プライバシー。公開クラウド サービスで個人を特定できる情報(PII)を保護する方法を規定した国際基準です。Google の ISO 27018 証明書は、Google ウェブサイトのコンプライアンスのセクションでご覧いただけます。
  • FedRAMP ATO
  • PCI DSS v3.2.1

Google 環境の機密保持、完全性、可用性を保証することに加えて、第三者による広範な監査を行うことにより、業界最高水準の情報セキュリティをお約束します。お客様はこれらの第三者機関による監査報告書をお読みになり、Google が提供しているプロダクトが HIPAA コンプライアンスをどのように満たしているかを確認できます。

お客様の責任

お客様の重要な責任の一つとして、ご自身が適用対象事業者(または適用対象事業者の業務提携事業者)であるかどうかを判断し、そうである場合、Google を利用する目的において Google との業務提携契約が必要かどうかを判断する必要があります。

Google は PHI の保管および処理用に(上記のとおり)安全でコンプライアンス性の高いインフラストラクチャを提供していますが、Google Cloud Platform の上に構築する環境とアプリケーションが HIPAA 要件に従って正しく構成され、保護されていることを確認するのは、お客様の責任になります。これは、クラウドの共有セキュリティ モデルと呼ばれます。

重要なベスト プラクティス:

  • Google Cloud BAA を実行します。BAA はアカウント マネージャから直接要求できます。
  • PHI を取り扱うときは、BAA に明示的に含まれていない Google Cloud プロダクト(対象となるプロダクトをご覧ください)を無効にするか、使用していないことを確認します。

推奨される技術的なベスト プラクティス:

  • プロジェクトにアクセスできるユーザーを設定するときは、IAM のベスト プラクティスを使用します。特に、サービス アカウントを使用してリソースにアクセスできるため、これらのサービス アカウントとサービス アカウントキーへのアクセスは厳密に管理する必要があります。
  • 組織に、HIPAA セキュリティ ルールで要求されている以上の暗号化要件があるかどうかを確認します。お客様のすべてのコンテンツは、Google Cloud Platform で暗号化されて安全に保存されます。詳細と例外については暗号化に関するホワイトペーパーをご覧ください。
  • Cloud Storage を使用する場合は、データのアーカイブを用意し、誤ってデータを削除した場合に削除を取り消せるように、オブジェクトのバージョニングを有効にすることを検討します。また、gsutil を使用して Cloud Storage を操作する前に、セキュリティとプライバシーの留意事項のガイダンスを確認し、これに従います。
  • 監査ログのエクスポート先を構成します。監査ログは、長期間アーカイブできるように Cloud Storage にエクスポートするとともに、解析、モニタリング、フォレンジックに使用できるように BigQuery にもエクスポートすることを強くおすすめします。各組織の要件に合わせて、これらのエクスポート先へのアクセス制御を構成してください。
  • 各組織の要件に合わせてアクセス制御を構成します。ログ閲覧者の役割を持つユーザーは管理アクティビティの監査ログにアクセスできます。また、プライベート ログ閲覧者の役割を持つユーザーはデータアクセスの監査ログへのアクセスが可能です。
  • 監査ログを定期的に確認して、セキュリティとコンプライアンスが要件を満たしていることを確認します。上記のとおり、BigQuery は大量のログの解析に最適なプラットフォームです。サードパーティの統合プロダクトの SIEM プラットフォームを利用してログを解析し、コンプライアンスを立証することもできます。
  • Cloud Datastore でインデックスを作成または構成するときに、PHI やセキュリティ認証情報などのプライベート データを、エンティティ キー、インデックス付きプロパティキー、インデックスのインデックス付きプロパティ値として使用する前に暗号化します。インデックスの作成や構成の詳細については、Cloud Datastore のドキュメントを参照してください。
  • Dialogflow Enterprise エージェントを作成または更新する際、インテント、トレーニング フレーズ、エンティティといったエージェントの定義のいずれにも PHI やセキュリティ認証情報を含めないでください。
  • リソースを作成または更新する際、リソースのメタデータを指定するときに PHI やセキュリティ認証情報を含めないでください。この情報はログに取り込まれることがあります。監査ログには、リソースのデータ コンテンツやログ中のクエリの結果は記録されませんが、リソース メタデータは取り込まれることがあります。
  • プロジェクトに Identity Platform を使用するときは、Identity Platform の手法を使用します。
  • Cloud Build サービスを継続的インテグレーションや継続的な開発に使用する場合、ビルド構成ファイルやソース制御ファイルなどのビルド アーティファクトに PHI を含めたり保存したりしないでください。
  • Cloud CDN を使用する場合は、PHI のキャッシュ保存をリクエストしないようにします。キャッシュ保存を避ける方法について詳しくは、Cloud CDN のドキュメントをご覧ください。
  • Google との間で HIPAA に基づく PHI の義務を含む BAA を締結済みのお客様が、Cloud Speech-to-Text を使用する際は、データロギング プログラムを有効にしないようにします。
  • Google Cloud VMware Engine を使用している場合、HIPAA 要件に対応するために、必要に応じてアプリケーション レベルのアクセスログを保持することはお客様の責任です。

対象となるプロダクト

Google Cloud BAA の対象には、GCP の全インフラストラクチャ(全リージョン、全ゾーン、全ネットワーク パス、全接続拠点)と、次のプロダクトが含まれます。

  • Access Context Manager
  • アクセスの透明性
  • Apigee
  • Apigee ハイブリッド
  • AI Platform
  • AI Platform Training と Prediction
  • Anthos 構成管理
  • Anthos Service Mesh
  • App Engine
  • Bare Metal Solution
  • Binary Authorization
  • Cloud AI Notebook
  • Cloud Armor
  • Cloud Asset Inventory
  • Cloud AutoML Natural Language
  • Cloud AutoML Tables
  • Cloud AutoML Translation
  • Cloud AutoML Video
  • Cloud AutoML Vision
  • BigQuery
  • BigQuery Data Transfer Service
  • Cloud Bigtable
  • Cloud Build
  • Cloud CDN
  • Cloud Console
  • Cloud Console アプリ
  • Cloud Composer
  • Cloud Data Fusion
  • Cloud Data Labeling Service
  • Cloud Dataflow
  • Cloud Datalab
  • Cloud Dataproc
  • Cloud Datastore
  • Cloud デバッガ
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud Endpoints
  • Cloud Filestore
  • Cloud Firestore
  • Cloud Functions
  • Cloud Healthcare
  • Cloud HSM
  • Cloud Identity
  • Cloud Identity and Access Management
  • Cloud Identity-Aware Proxy
  • Cloud Interconnect
  • Cloud IoT Core
  • Cloud Key Management Service
  • Cloud Life Sciences(旧称 Google Genomics)
  • Cloud Load Balancing
  • Cloud Logging
  • Cloud Memorystore
  • Cloud Monitoring
  • Cloud Natural Language API
  • Cloud NAT
  • Cloud Profiler
  • Cloud Pub/Sub
  • Cloud Resource Manager
  • Cloud Router
  • Cloud Run(フルマネージド)
  • Cloud Run for Anthos
  • Cloud Scheduler
  • Cloud Shell
  • Cloud Source Repositories
  • Cloud Spanner
  • Cloud Speech-to-Text
  • Cloud SQL
  • Cloud Service Consumer Management API
  • Cloud Storage
  • Cloud Storage Transfer Service
  • Cloud Tasks
  • Cloud Trace
  • Cloud Translation API
  • Cloud Text-to-Speech
  • Cloud Video Intelligence API
  • Cloud Vision API
  • Cloud VPN
  • Compute Engine
  • Container Registry
  • Data Catalog
  • Dialogflow
  • Document AI
  • エラーレポート
  • Google Cloud VMware Engine(GCVE)
  • Google Service Control
  • Google Service Management
  • Identity Platform
  • Kubernetes Engine
  • Microsoft Active Directory(AD)用のマネージド サービス
  • Network Service Tiers
  • Persistent Disk
  • Secret Manager
  • Security Command Center
  • Sensitive Data Protection (including Cloud Data Loss Prevention)
  • Service Directory
  • Traffic Director
  • Transfer Appliance サービス
  • Virtual Private Cloud(VPC)
  • VPC Service Controls
  • Web Security Scanner

対象となるプロダクトの最新のリストについては、Google Cloud のコンプライアンス サイトをご覧ください。このリストは、新しいプロダクトが HIPAA プログラムで利用可能になると更新されます。

特有の機能

GCP のセキュリティ対策により、HIPAA BAA に Google のクラウドの一部だけではなく、GCP の全インフラストラクチャを含めることができるようになりました。その結果として、特定のリージョンに制限されることなく、スケーラビリティ、運用性、アーキテクチャ上の利点を得ることができます。また、マルチリージョンによるサービス冗長性や、プリエンプティブ VM によるコスト削減の利点も得ることができます。

HIPAA コンプライアンスのサポートを可能にするセキュリティとコンプライアンスの対策は、Google のインフラストラクチャ、セキュリティ設計、プロダクトに、すでに浸透しています。そのため、HIPAA 規制対象のお客様にも、すべてのお客様と同じプロダクトを同じ料金で、継続利用割引も含めて提供できます。他社のパブリック クラウドで課金されるような HIPAA クラウドの追加料金は、Google では発生しません。

まとめ

Google Cloud Platform は、お客様が基盤となるインフラストラクチャの心配をせずに医療情報を安全に保管、解析し、理解を深めることができるクラウド インフラストラクチャです。

参考リンク