Google Cloud での HIPAA コンプライアンス

このガイドでは、Google Cloud での HIPAA コンプライアンスを扱います。Google Workspace の HIPAA コンプライアンスについては、別途扱います。

免責

このガイドは情報提供のみを目的としています。このガイドに記載された情報または推奨事項は、法的助言を与えることを意図したものではありません。サービスの特定の使用方法を必要に応じて独自に評価し、法令遵守義務を果たすのは、お客様の責任です。

対象者

米国の医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act(HIPAA)。「経済的および臨床的健全性のための医療情報技術に関する法律」(HITECH)などにより改正)の要件を遵守する必要があるお客様のために、Google Cloud は HIPAA コンプライアンスに対応しています。このガイドは、セキュリティ責任者、コンプライアンス責任者、IT 管理者など、Google Cloud で HIPAA の実装とコンプライアンスを担当する従業員を対象としています。このガイドを読むことで、Google が HIPAA コンプライアンスにどのように対応しているか、また HIPAA に基づく責任を果たすための Google Cloud プロジェクトの構成方法を理解できるようになります。

定義

このドキュメントで使用するすべて大文字の用語は、別の定義がされていない限り、HIPAA と同じ意味を持ちます。また、このドキュメントの目的において、保護対象保健情報(PHI)は、Google が適用対象事業者から受け取る PHI を意味します。

概要

HIPAA コンプライアンスに関して米国 HHS が認める証明書は存在しないこと、そして HIPAA を遵守することはお客様と Google の共同責任であることにご注意ください。特に、HIPAA ではセキュリティ ルールプライバシー ルール侵害通知ルールを遵守することが求められます。Google Cloud は(業務提携契約の範囲内で)HIPAA コンプライアンスに対応していますが、最終的にはお客様が自身の HIPAA コンプライアンスを評価する責任を負います。

必要に応じ、Google はお客様と HIPAA に基づいて業務提携契約を結びます。Google Cloud は、大半のオンプレミス セキュリティ チームよりも大規模な、700 人を超えるセキュリティ エンジニアリング チームの指導の下で構築されています。データ保護の仕組みが組織的および技術的にどのように管理されているかなど、セキュリティとデータ保護に対する Google の取り組みの詳細については、Google のセキュリティに関するホワイトペーパーGoogle インフラストラクチャのセキュリティ設計の概要をご覧ください。

セキュリティとプライバシー設計の取り組みを文書化することに加えて、Google は複数の第三者による監査を定期的に実施し、外部検証の結果をお客様にお知らせしています(下に、報告書と証明書へのリンクがあります)。このような独立した監査機関が Google のデータセンターやインフラストラクチャ、運用における管理状況を厳格に検査しています。Google では、次の規格について年次監査を受けています。

  • SSAE 16 / ISAE 3402 Type II。 SOC 3 報告書が公開されています。SOC 2 報告書は NDA を締結することで入手できます。
  • ISO 27001。 Google では、Google Cloud を提供するためのシステム、アプリケーション、担当者、テクノロジー、プロセス、データセンターを対象に ISO 27001 認証を取得しています。Google の ISO 27001 証明書は、Google ウェブサイトのコンプライアンスのセクションでご覧いただけます。
  • ISO 27017、クラウド セキュリティ。特にクラウド サービスを対象として、ISO/IEC 27002 に基づく情報セキュリティ管理の方法を規定した国際規格です。Google の ISO 27017 証明書は、Google ウェブサイトのコンプライアンスのセクションでご覧いただけます。
  • ISO 27018、クラウド プライバシー。公開クラウド サービスで個人を特定できる情報(PII)を保護する方法を規定した国際基準です。Google の ISO 27018 証明書は、Google ウェブサイトのコンプライアンスのセクションでご覧いただけます。
  • FedRAMP ATO
  • PCI DSS v3.2.1

Google 環境の機密保持、完全性、可用性を保証することに加えて、第三者による広範な監査を行うことにより、業界最高水準の情報セキュリティをお約束します。お客様はこれらの第三者機関による監査報告書をお読みになり、Google が提供しているプロダクトが HIPAA コンプライアンスをどのように満たしているかを確認できます。

お客様の責任

お客様の重要な責任の一つとして、ご自身が適用対象事業者(または適用対象事業者の業務提携事業者)であるかどうかを判断し、そうである場合、Google を利用する目的において Google との業務提携契約が必要かどうかを判断する必要があります。

Google は PHI の保管および処理用に(上記のとおり)安全でコンプライアンス性の高いインフラストラクチャを提供していますが、Google Cloud の上に構築する環境とアプリケーションが HIPAA 要件に従って正しく構成され、保護されていることを確認するのは、お客様の責任になります。これは、クラウドの共有セキュリティ モデルと呼ばれます。

重要なベスト プラクティス:

  • Google Cloud BAA を実行します。BAA はアカウント マネージャから直接要求できます。
  • PHI を取り扱うときは、BAA に明示的に含まれていない Google Cloud プロダクト(対象となるプロダクトをご覧ください)を無効にするか、使用していないことを確認します。
  • 本サービスの通知またはその他の条件で明示的に記載されていない限り、一般提供前サービス(Google Cloud 一般提供前プログラムに基づいて提供されるプロダクトやサービス、または Google のサービス固有の規約で定義されるその他の一般提供前サービス)を PHI に関連して使用しないでください。

推奨される技術的なベスト プラクティス:

  • プロジェクトにアクセスできるユーザーを設定するときは、IAM のベスト プラクティスを使用します。特に、サービス アカウントを使用してリソースにアクセスできるため、これらのサービス アカウントとサービス アカウントキーへのアクセスは厳密に管理する必要があります。
  • 組織に、HIPAA セキュリティ ルールで要求されている以上の暗号化要件があるかどうかを確認します。お客様のすべてのコンテンツは、Google Cloud で暗号化されて安全に保存されます。詳細と例外については暗号化に関するホワイトペーパーをご覧ください。
  • Cloud Storage を使用する場合は、データのアーカイブを用意し、誤ってデータを削除した場合に削除を取り消せるように、オブジェクトのバージョニングを有効にすることを検討します。
  • 監査ログのエクスポート先を構成します。監査ログは、長期間アーカイブできるように Cloud Storage にエクスポートするとともに、解析、モニタリング、フォレンジックに使用できるように BigQuery にもエクスポートすることを強くおすすめします。各組織の要件に合わせて、これらのエクスポート先へのアクセス制御を構成してください。
  • 各組織の要件に合わせてアクセス制御を構成します。ログ閲覧者の役割を持つユーザーは管理アクティビティの監査ログにアクセスできます。また、プライベート ログ閲覧者の役割を持つユーザーはデータアクセスの監査ログへのアクセスが可能です。
  • 監査ログを定期的に確認して、セキュリティとコンプライアンスが要件を満たしていることを確認します。上記のとおり、BigQuery は大量のログの解析に最適なプラットフォームです。サードパーティの統合プロダクトの SIEM プラットフォームを利用してログを解析し、コンプライアンスを立証することもできます。
  • Cloud Datastore でインデックスを作成または構成するときに、PHI やセキュリティ認証情報などのプライベート データを、エンティティ キー、インデックス付きプロパティキー、インデックスのインデックス付きプロパティ値として使用する前に暗号化します。インデックスの作成や構成の詳細については、Cloud Datastore のドキュメントを参照してください。
  • Dialogflow エージェントを作成または更新する際、インテント、トレーニング フレーズ、エンティティといったエージェントの定義のいずれにも PHI やセキュリティ認証情報を含めないでください。
  • リソースを作成または更新する際、リソースのメタデータを指定するときに PHI やセキュリティ認証情報を含めないでください。この情報はログに取り込まれることがあります。監査ログには、リソースのデータ コンテンツやログ中のクエリの結果は記録されませんが、リソース メタデータは取り込まれることがあります。
  • プロジェクトに Identity Platform を使用するときは、Identity Platform の手法を使用します。
  • Cloud Build サービスを継続的インテグレーションや継続的な開発に使用する場合、ビルド構成ファイルやソース制御ファイルなどのビルド アーティファクトに PHI を含めたり保存したりしないでください。
  • Looker(Google Cloud コア)を使用している場合、インスタンスまたはリソースを管理するためにお客様によって指定された個人は、サードパーティ アプリケーションおよびインテグレーションのセキュリティ構成、およびサードパーティ アプリケーションが提供する対応するセキュリティとプライバシーに関するドキュメントを確認する必要があります。
  • Looker(Google Cloud コア)を使用してクエリを構成する場合は、そのようなクエリの構成に使用するビジネス ロジックに PHI を含めたり保存したりしないでください。クエリの構成については、ドキュメントをご覧ください。
  • Cloud CDN を使用する場合は、PHI のキャッシュ保存をリクエストしないようにします。キャッシュ保存を避ける方法について詳しくは、Cloud CDN のドキュメントをご覧ください。
  • Google との間で HIPAA に基づく PHI の義務を含む BAA を締結済みのお客様が、Cloud Speech-to-Text を使用する際は、データロギング プログラムを有効にしないようにします。
  • Google Cloud VMware Engine を使用している場合、HIPAA 要件に対応するために、必要に応じてアプリケーション レベルのアクセスログを保持することはお客様の責任です。
  • Sensitive Data Protection ジョブを構成するときは、安全な環境の一部として構成されたストレージ ターゲットに出力データが書き込まれるようにします。
  • Secret Manager にシークレットを保存する場合は、Secret Manager のベスト プラクティスに記載されているガイダンスを確認して従ってください。
  • Artifact Registry は、Google のデフォルトの暗号化または顧客管理の暗号鍵(CMEK)を使用して、リポジトリ内のデータを暗号化します。アーティファクト名などのメタデータは、Google のデフォルトの暗号化で暗号化されます。このメタデータはログに記録される可能性があり、Artifact Registry 読み取りのロールまたは閲覧者のロールの権限を持つユーザーであれば誰でも閲覧できます。アーティファクトの保護のガイダンスに沿って、PHI への不正アクセスを防ぎます。
  • Container Registry は、Google のデフォルトの暗号化または CMEK を使用して、レジストリのストレージ バケット内のデータを暗号化します。コンテナのベスト プラクティスに沿って、PHI への不正アクセスを防ぎます。
  • Filestore を使用している場合は、IP ベースのアクセス制御を使用して、Filestore インスタンスにアクセスできる Compute Engine VM と GKE クラスタを制限します。誤ってデータを削除した場合にデータを復元できるように、バックアップの使用を検討してください。
  • Cloud Monitoring を使用する場合は、指標ラベル、VM ラベル、GKE リソース アノテーション、ダッシュボードのタイトル / コンテンツなど、Google Cloud のメタデータに PHI を保存しないでください。IAM を通じてモニタリング コンソールの表示や Cloud Monitoring API の使用が許可されているユーザーは、このデータを表示できます。アラートの受信者に送信される可能性のあるアラートの設定(表示名やドキュメントなど)に PHI を含めないでください。
  • reCAPTCHA Enterprise を使用する場合は、URI やアクションに PHI を含めないでください。
  • API Gateway を使用している場合は、ヘッダーに PHI や PII の情報を含めないでください。
  • Database Migration Service では、PHI を含むデータベースをインターネットにさらす必要がないように、プライベート IP 接続方法を使用します。
  • Dataplex を使用している場合、google.cloud.datacatalog.lineage.v1.Process.attributes フィールドと google.cloud.datacatalog.lineage.v1.Run.attributes フィールドの値に PHI や PII を含めることはできません。
  • Vertex AI Search を使用する場合は、PHI にリージョン API とリソース ロケーションを使用します。
  • Application IntegrationIntegration Connectors を使用する場合は、統合パラメータ、接続名、接続構成に PII、PHI、その他の機密情報を含めないでください。この情報はログに記録される可能性があります。リクエストされたペイロードに機密データが含まれている場合、ログのアクセス制御を構成します。Integration Connectors が提供する一部のファイルベースのコネクタと Webhook ベースのイベントは、データを一時的に保存します。CMEK を使用して任意の鍵でこのデータを暗号化するかどうかは、お客様が管理できます。

対象となるプロダクト

Google Cloud BAA の対象には、Google Cloud の全インフラストラクチャ(全リージョン、全ゾーン、全ネットワーク パス、全接続拠点)と、次のプロダクトが含まれます。

  • アクセス承認
  • Access Context Manager
  • アクセスの透明性
  • AI Platform Data Labeling
  • AI Platform Training と Prediction
  • AlloyDB for PostgreSQL
  • API ゲートウェイ
  • Apigee
  • App Engine
  • アプリケーションの統合
  • Artifact Registry
  • Assured Workloads
  • AutoML Natural Language
  • AutoML Tables
  • AutoML Translation
  • AutoML Video
  • AutoML Vision
  • Bare Metal Solution
  • バッチ
  • BigQuery
  • BigQuery Data Transfer Service
  • BigQuery Omni
  • Bigtable
  • Binary Authorization
  • Cloud Asset Inventory
  • Cloud Backup and DR
  • Cloud Build
  • Cloud CDN
  • Cloud Composer
  • Cloud コンソール
  • Cloud Data Fusion
  • Cloud Deploy
  • Cloud Deployment Manager
  • Cloud DNS
  • Cloud Endpoints
  • Cloud Filestore
  • Cloud Functions
  • Cloud Healthcare API
  • Cloud HSM
  • Cloud Identity
  • Cloud IDS
  • Cloud Interconnect
  • Cloud Key Management Service
  • Cloud Life Sciences(旧称 Google Genomics)
  • Cloud Load Balancing
  • Cloud Logging
  • Cloud Monitoring
  • Cloud NAT(ネットワーク アドレス変換)
  • Cloud Natural Language API
  • Cloud Profiler
  • Cloud Router
  • Cloud Run(フルマネージド)
  • Cloud Run for Anthos
  • Cloud Scheduler
  • Cloud Shell
  • Cloud Source Repositories
  • Cloud SQL
  • Cloud Storage
  • Cloud Tasks
  • Cloud Trace
  • Cloud Translation
  • Cloud Vision
  • Cloud VPN
  • Colab Enterprise
  • Compute Engine
  • Config Management
  • Connect
  • Contact Center AI
  • Contact Center AI Insights
  • Contact Center AI Agent Assist
  • Container Registry
  • Database Migration Service
  • Data Catalog
  • Dataflow
  • Dataform
  • Datalab
  • Dataplex
  • Dataproc
  • データストア
  • Datastream
  • Dialogflow
  • Document AI
  • Document AI ウェアハウス
  • Eventarc
  • Firestore
  • Vertex AI の生成 AI
  • GKE Hub
  • Google Cloud アプリ
  • Google Cloud Armor
  • Google Cloud Identity-Aware Proxy
  • Google Cloud VMware Engine(GCVE)
  • Google Kubernetes Engine
  • Healthcare Data Engine
  • Looker(Google Cloud コア)
  • Looker Studio*
  • Identity and Access Management(IAM)
  • Identity Platform
  • インテグレーション コネクタ
  • IoT Core
  • Key Access Justifications(KAJ)
  • Managed Service for Microsoft Active Directory(AD)
  • Memorystore
  • Network Service Tiers
  • Persistent Disk
  • Pub/Sub
  • Risk Manager
  • reCAPTCHA Enterprise
  • Resource Manager API
  • Secret Manager
  • Security Command Center
  • Sensitive Data Protection
  • Service Consumer Management
  • Service Control
  • Service Directory
  • サービス管理
  • サービス メッシュ
  • Spanner
  • Speech-to-Text
  • Storage Transfer Service
  • Text-to-Speech
  • Traffic Director
  • Transfer Appliance
  • Vertex AI Platform(旧称 Vertex AI)
  • Vertex AI Search
  • Video Intelligence API
  • Virtual Private Cloud
  • VPC Service Controls
  • Web Security Scanner
  • Vertex AI Workbench インスタンス
  • Workflows

* お客様が Looker Studio に Google Cloud 契約を適用することを選択した場合に限ります。

このリストは、新しいプロダクトが HIPAA プログラムで利用可能になると更新されます。

特有の機能

Google Cloud のセキュリティ対策により、HIPAA BAA の対象には Google のクラウドの一部だけではなく、Google Cloud の全インフラストラクチャが含まれています。その結果として、特定のリージョンに制限されることなく、スケーラビリティ、運用性、アーキテクチャ上の利点を得ることができます。また、マルチリージョンによるサービス冗長性や、プリエンプティブ VM によるコスト削減の利点も得ることができます。

HIPAA コンプライアンスのサポートを可能にするセキュリティとコンプライアンスの対策は、Google のインフラストラクチャ、セキュリティ設計、プロダクトに、すでに浸透しています。そのため、HIPAA 規制対象のお客様にも、すべてのお客様と同じプロダクトを同じ料金で、継続利用割引も含めて提供できます。他社のパブリック クラウドで課金されるような HIPAA クラウドの追加料金は、Google では発生しません。

まとめ

Google Cloud は、お客様が基盤となるインフラストラクチャの心配をせずに医療情報を安全に保管、解析し、理解を深めることができるクラウド インフラストラクチャです。

参考情報