Identity Platform: HIPAA 実装ガイド

免責事項

このガイドは情報提供のみを目的としています。このガイドに記載された情報または推奨事項は、法的助言を与えることを意図したものではありません。お客様は、サービスの特定の使用方法を必要に応じて独自に評価し、ご自身の法律および法令に関する遵守義務を果たす責任を負います。

対象読者

米国の医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act、HIPAA、改正版、「経済的および臨床的健全性のための医療情報技術に関する法律」(HITECH)によるものを含む)の要件を遵守する必要があるお客様のために、Google Cloud の Identity Platform は、適切に使用する限り、HIPAA コンプライアンスに準拠しています。このガイドは、Google Cloud の Identity Platform を使用して HIPAA の実装とコンプライアンスを担当するセキュリティ責任者、コンプライアンス責任者、IT 管理者、その他の従業員を対象としています。

HIPAA では、個人の健康または保険サービスに関する特定の情報は、保護対象保健情報(Protected Health Information、PHI)とみなされます。HIPAA の対象となる Google Cloud のお客様で、Google Cloud やその Identity Platform で PHI を扱うことを希望される場合は、Google と業務提携契約(Business Associate Agreement、BAA)を締結していただく必要があります。

HIPAA の対象であるかどうかや、PHI に関連する Google のサービスを利用するまたは利用する予定であるかどうかを判断する責任は、Google Cloud をご利用のお客様が負うものとします。Google と BAA を締結していないお客様は、PHI に関連する Google のサービスを利用できません。

Identity Platform サービス

Google Cloud の Identity Platform は、クラウドベースのインフラストラクチャを提供する IDaaS ソリューションで、ID 機能をアプリケーションやサービスに追加できます。Identity Platform サービスは、クラウドベースのユーザー ディレクトリやデータベースと認証 API を提供し、アプリケーションの ID の開発と管理に伴うオーバーヘッドを最小限に抑えます。

アプリケーションまたはサービスの認証と承認に必要な最小限のデータのみを保存することをおすすめします。Identity Platform データベースでユーザーを作成する際に必要となる属性は、メールアドレス(メールまたはパスワードでログインする場合)または電話番号(電話認証の場合)のみです。

Identity Platform は、表示名や写真 URL などの追加のオプション属性をサポートしています。また、カスタム属性やクレームを User オブジェクトに追加する機能もサポートしていますが、これらのどの属性にも PHI を保存しないでください。PHI を保存する必要がある場合は、Google Cloud の実装ガイドに従って Google Cloud 内で汎用データベース ソリューションを使用することをおすすめします。

フェデレーション ID プロバイダと匿名でのログイン

Identity Platform は、インターネット ベースのソーシャル フェデレーション プロバイダや、SAML および OIDC などの設定可能なエンタープライズ向けのフェデレーション標準との連携をサポートします。ただし、これらの ID プロバイダ(IdP)から Identity Platform にトークン、クレーム、アサーション、その他のメカニズムで PHI を送信しないでください。

外部 ID システムから Identity Platform への PHI の同期は、推奨またはサポートされません。また、Google Cloud は、転送中または第三者による受領時の本情報のセキュリティ保護については、一切の主張または保証を行いません。

PHI の操作、管理、保存には、匿名アカウントを使用しないでください。

ソフトウェア開発キットとクライアント ライブラリ SDK

Identity Platform は、Identity Platform サービスの外部で実行されるソフトウェア開発キットとクライアント ライブラリを提供します。これらの SDK は、クライアント側(iOS、Android、ウェブ)または主要な開発言語(Java、C ++、Go、NodeJS など)のサーバーコードで利用できます。

このコードは Identity Platform サービスの外部で実行されるため、Google Cloud はエンドユーザーのデバイスなど、Identity Platform サービス以外の情報のセキュリティを保証しません。SDK、クライアント ライブラリは PHI の操作、管理、保存には使用しないでください。

参考情報

これらの参考情報は、Google のサービスがプライバシー、機密性、整合性、データの可用性を考慮してどのように設計されているかを説明しています。