このページは Cloud Translation API によって翻訳されました。

Identity Platform: HIPAA 実装ガイド

免責条項

このガイドは情報提供のみを目的としています。このガイドに記載された情報または推奨事項は、法的助言を与えることを意図したものではありません。お客様は、サービスの特定の使用方法を必要に応じて独自に評価し、ご自身の法律および法令に関する遵守義務を果たす責任を負います。

対象者

米国の医療保険の相互運用性と説明責任に関する法律（Health Insurance Portability and Accountability Act（HIPAA）。「経済的および臨床的健全性のための医療情報技術に関する法律」（HITECH）などにより改正）の要件を遵守する必要があるお客様のために、Google Cloudの Identity Platform は、適切に使用すれば HIPAA コンプライアンスをサポートできます。このガイドは、 Google Cloudの Identity Platform を使用して HIPAA の実装とコンプライアンスを担当するセキュリティ責任者、コンプライアンス責任者、IT 管理者、その他の従業員を対象としています。

HIPAA では、個人の健康または保険サービスに関する特定の情報は、保護対象保健情報（Protected Health Information、PHI）とみなされます。 Google Cloud お客様が HIPAA の対象であり、 Google Cloud またはその Identity Platform で PHI を使用する場合は、Google と業務提携契約（BAA）を締結する必要があります。

Google Cloud をご利用のお客様は、HIPAA の要件を遵守する義務があるかどうか、および PHI を Google サービスで扱う（または今後扱う意向がある）かどうかを判断する責任を負います。Google との BAA を締結していないお客様は、PHI とともに Google サービスを使用できません。

Identity Platform サービス

Google Cloudの Identity Platform は、クラウドベースのインフラストラクチャを提供する IDaaS ソリューションで、ID 機能をアプリケーションやサービスに追加できます。Identity Platform サービスは、クラウドベースのユーザーディレクトリやデータベースと認証 API を提供し、アプリケーションの ID の開発と管理に伴うオーバーヘッドを最小限に抑えます。

アプリケーションまたはサービスの認証と承認に必要な最小限のデータのみを保存することをおすすめします。Identity Platform データベースでユーザーを作成する際に必要となる属性は、メールアドレス（メールまたはパスワードでログインする場合）または電話番号（電話認証の場合）のみです。

Identity Platform は、表示名や写真 URL などの追加のオプション属性をサポートしています。また、カスタム属性やクレームを User オブジェクトに追加する機能もサポートしていますが、これらのどの属性にも PHI を保存しないでください。PHI を保存する必要がある場合は、 Google Cloudの実装ガイドに従って、 Google Cloud内で汎用データベースソリューションを使用することをおすすめします。

フェデレーション ID プロバイダと匿名でのログイン

Identity Platform は、インターネットベースのソーシャルフェデレーションプロバイダや、SAML および OIDC などの設定可能なエンタープライズ向けのフェデレーション標準との連携をサポートします。ただし、これらの ID プロバイダ（IdP）から Identity Platform にトークン、クレーム、アサーション、その他のメカニズムで PHI を送信しないでください。

外部 ID システムから Identity Platform への PHI の同期は、推奨またはサポートされません。また、 Google Cloud は、転送中または第三者による受領時の本情報のセキュリティ保護については、一切の主張または保証を行いません。

PHI の操作、管理、保存には、匿名アカウントを使用しないでください。

ソフトウェア開発キットとクライアントライブラリ SDK

Identity Platform は、Identity Platform サービスの外部で実行されるソフトウェア開発キットとクライアントライブラリを提供します。これらの SDK は、クライアント側（iOS、Android、ウェブ）または主要な開発言語（Java、C ++、Go、NodeJS など）のサーバーコードで利用できます。

このコードは Identity Platform サービスの外部で実行されるため、 Google Cloudは、エンドユーザーのデバイスなど、Identity Platform サービス以外の情報のセキュリティを保証しません。SDK、クライアントライブラリは PHI の操作、管理、保存には使用しないでください。

参考情報

これらの参考情報は、Google のサービスがプライバシー、機密性、整合性、データの可用性を考慮してどのように設計されているかを説明しています。