Google Cloud Platform での HIPAA コンプライアンス

このガイドでは、Google Cloud Platform での HIPAA コンプライアンスを扱います。G Suite の HIPAA コンプライアンスは、別途扱います。

PDF 版をダウンロード

免責

このガイドは、情報提供のみを目的としています。Google は、このガイドの情報または推奨が法的な助言を構成することを意図していません。お客様は、自身の法令遵守義務を果たすために、必要に応じてサービスの特定の使用について個別に評価する責任を負います。

対象ユーザー

米国医療保険の相互運用性と説明責任に関する法律（HIPAA とも呼ばれ、改正されて「経済的および臨床的健全性のための医療情報技術に関する法律」（HITECH）に含まれました）の要件の対象となるお客様のために、Google Cloud Platform は HIPAA コンプライアンスをサポートしています。このガイドは、セキュリティ責任者、コンプライアンス責任者、IT 管理者、および Google Cloud Platform で HIPAA の実装およびコンプライアンスを担当するその他の従業員を対象としています。このガイドを読むことで、Google が HIPAA クライアントをどのようにしてサポートしているかを理解し、HIPAA に基づく責任を果たせるように Google Cloud プロジェクトを設定する方法を理解できるようになります。

定義

このドキュメントで使用するすべて大文字の用語は、別の定義がされていない限り、HIPAA と同じ意味を持ちます。また、このドキュメントの目的では、保護対象保健情報（PHI）は、Google が適用対象事業者から受け取る PHI を意味します。

概要

米国 HHS が認める HIPAA コンプライアンスの証明書がないこと、および HIPAA に準拠することはお客様と Google の共同責任であることにご注意ください。 特に、HIPAA ではセキュリティ ルール、プライバシー ルール、違反通知ルールに準拠することが要求されます。Google Cloud Platform は HIPAA コンプライアンスを（業務提携契約の範囲内で）サポートしますが、最終的にはお客様が自身の HIPAA コンプライアンスを評価する責任を負います。

必要に応じ、Google はお客様と HIPAA に基づいて業務提携契約を結びます。Google Cloud Platform は、オンプレミス セキュリティ チームの中でも最大級を誇る、700 人を超えるセキュリティ エンジニアリング チームの指導の下で構築されています。Google がデータを保護する組織的管理方法、技術的管理方法など、セキュリティとデータ保護の取り組みに関する詳細については、Google のセキュリティに関するホワイトペーパーおよび Google インフラストラクチャのセキュリティ設計の概要をご覧ください。

セキュリティとプライバシー設計の取り組みを文書化することに加えて、Google は複数の第三者による監査を定期的に実施し、外部検証の結果をお客様にお知らせしています（下に、報告書と証明書へのリンクがあります）。このような独立した監査機関が Google のデータセンターやインフラストラクチャ、オペレーションにおける管理状況を厳格に検査しています。Google は、次の基準に対する監査を毎年実施しています。

• SSAE16 / ISAE 3402 Type II。SOC 3 レポートが公開されています。SOC 2 レポートは NDA を締結することで入手できます。
• ISO 27001。 Google では、Google Cloud Platform を提供するためのシステム、アプリケーション、担当者、テクノロジー、プロセス、データセンターを対象に ISO 27001 認証を取得しています。Google の ISO 27001 証明書は、Google ウェブサイトのコンプライアンスのセクションでご覧いただけます。
• ISO 27017、クラウド セキュリティ。特にクラウド サービスを対象として、ISO/IEC 27002 に基づく情報セキュリティ管理の方法を規定した国際規格です。Google の ISO 27017 証明書は、Google ウェブサイトのコンプライアンスのセクションでご覧いただけます。
• ISO 27018、クラウド プライバシー。公開クラウド サービスで個人を特定できる情報（PII）を保護する方法を規定した国際基準です。Google の ISO 27018 証明書は、Google ウェブサイトのコンプライアンスのセクションでご覧いただけます。
• FedRamp ATO（Google App Engine 用）
• PCI DSS v3.1

Google 環境の機密保持、完全性、可用性を保証することに加えて、第三者による広範な監査を行うことにより、業界最高水準の情報セキュリティをお約束します。お客様はこれらの第三者機関による監査報告書をお読みになり、Google が提供しているプロダクトが HIPAA コンプライアンスをどのように満たしているかを確認することができます。

お客様の責任

お客様の重要な責任の 1 つとして、自分自身が適用対象事業者（または適用対象事業者の業務提携事業者）であるかどうかを判断し、そうである場合、Google を利用する目的において Google との業務提携契約が必要かどうかを判断する必要があります。

Google は PHI の保管および処理用に（上記のとおり）セキュアでコンプライアンス性の高いインフラストラクチャを提供していますが、Google Cloud Platform の上に構築する環境とアプリケーションが HIPAA 要件に従って正しく設定され、保護されていることを確認するのは、お客様の責任になります。これは、クラウドの共有セキュリティ モデルと呼ばれます。

基本的なベスト プラクティス:

• Google Cloud BAA を実行します。BAA はアカウント マネージャから直接要求できます。
• PHI を取り扱うときは、BAA に明示的に含まれていない Google Cloud のプロダクト（対象となるプロダクトをご覧ください）を無効にするか、使用していないことを確認します。

推奨される技術的なベスト プラクティス:

• プロジェクトにアクセスできるユーザーを構成するときは、IAM のベスト プラクティスを使用します。特に、サービス アカウントを使用してリソースにアクセスできるため、これらのサービス アカウントとサービス アカウントキーへのアクセスは厳密に管理する必要があります。
• 組織に、HIPAA セキュリティ ルールで要求されている以上の暗号化要件があるかどうかを確認します。お客様のすべてのコンテンツは、Google Cloud Platform で暗号化されて安全に保存されます。詳細と例外については暗号化に関するホワイトペーパーをご覧ください。
• Cloud Storage を使用する場合は、データのアーカイブを提供し、誤ってデータを削除した場合に削除を取り消せるように、オブジェクトのバージョニングを有効にすることを検討します。また、gsutil を使用して Cloud Storage と連携する前に、セキュリティとプライバシーの留意事項のガイダンスを確認し、これに従います。
• 監査ログのエクスポート先を設定します。監査ログは、長期間アーカイブできるように Google Cloud Storage にエクスポートするとともに、解析、モニタリング、フォレンジックに使用できるように Google BigQuery にもエクスポートすることを強くお勧めします。各組織の要件に合わせて、これらのエクスポート先へのアクセス制御を設定してください。
• 各組織の要件に合わせてアクセス制御を設定します。管理アクティビティの監査ログにはログ閲覧者の役割を持つユーザーがアクセスでき、データアクセスの監査ログにはプライベート ログ閲覧者の役割を持つユーザーがアクセスできます。
• 監査ログを定期的に確認して、セキュリティとコンプライアンスが要件を満たしていることを確認します。上記のとおり、BigQuery は大量のログの解析に最適なプラットフォームです。Splunk、Netskope、LogEntries、Tenable Network Security など、Google パートナーの SIEM プラットフォームを利用してログを解析し、コンプライアンスを立証することもできます。
• リソースを作成または更新する際、リソースのメタデータを指定するときに PHI やセキュリティ資格情報を含めないでください。この情報はログに取り込まれることがあります。監査ログには、リソースのデータ コンテンツやログ中のクエリの結果は記録されませんが、リソース メタデータは取り込まれることがあります。

対象となるプロダクト

Google Cloud BAA には、GCP の全インフラストラクチャ（全リージョン、全ゾーン、全ネットワーク パス、全接続拠点）と、次のプロダクトが含まれます。

• Google BigQuery
• Google Cloud Bigtable
• Google Cloud Dataflow
• Google Cloud Dataproc
• Google Cloud Storage
• Google Cloud SQL
• Google Compute Engine
• Google Container Engine
• Google Container Registry
• Google Genomics

対象となるプロダクトの最新のリストについては、Cloud Platform のコンプライアンス サイトをご覧ください。このリストは、新しいプロダクトが HIPAA プログラムで利用可能になると更新されます。

独特の機能

GCP のセキュリティ対策により、HIPAA BAA に Google のクラウド部分だけではなく、GCP の全インフラストラクチャを含めることができるようになりました。その結果として、特定のリージョンに制限されることなく、スケーラビリティ、運用性、アーキテクチャ上の利点を得ることができます。また、マルチリージョンによるサービス冗長性や、プリエンプティブ VM によるコスト削減の利点も得ることができます。

HIPAA コンプライアンスのサポートを可能にするセキュリティとコンプライアンスの対策は、Google のインフラストラクチャ、セキュリティ設計、プロダクトに、すでに浸透しています。そのため、HIPAA 規制対象のお客様にも、すべてのお客様と同じプロダクトを同じ料金で、継続利用割引も含めて提供できます。他社のパブリック クラウドで課金されるような HIPAA クラウドの追加料金は、Google では発生しません。

まとめ

Google Cloud Platform は、お客様が基盤となるインフラストラクチャの心配をせずに医療情報を安全に保管、解析し、理解を深めることができるクラウド インフラストラクチャです。

参考リンク

• Google のセキュリティに関するホワイトペーパー
• Google インフラストラクチャのセキュリティ設計の概要
• HIPAA 政府ウェブサイト
• HIPAA コンプライアンスおよびクラウド コンピューティングに関する HHS ガイダンス