Google Cloud 的《健康保險流通與責任法案》法規遵循

本指南提供 Google Cloud 的《健康保險流通與責任法案》法規遵循資訊。Google Workspace 的《健康保險流通與責任法案》法規遵循資訊則另有專文說明。

免責聲明

本指南僅供參考。Google 在本指南中提供的資訊或建議不構成法律建議。所有客戶都有責任視情況自行評估所需服務的特定用途，以便確保自己遵守相關法律義務。

目標對象

對於必須遵守《健康保險流通與責任法案》(簡稱「HIPAA」) 的客戶，Google Cloud 可提供相關支援，確保客戶符合規範。前述《健康保險流通與責任法案》係指修訂後的版本，包括依據《經濟與臨床健康資訊科技法》(HITECH) 修訂的內容。本指南適用的目標對象包含資安管理人員、法規遵循監管人員、IT 管理員，以及其他負責在 Google Cloud 中落實《健康保險流通與責任法案》並確保相關作業符合規定的員工。讀完本指南的內容後，您將瞭解 Google 如何能夠提供《健康保險流通與責任法案》法規遵循支援，並瞭解如何為 Google Cloud 專案進行設定以實踐您的《健康保險流通與責任法案》責任。

定義

對於本文件未提供定義的任何大寫字詞，其定義與《健康保險流通與責任法案》中所述相同。另外，就本文件的目的而言，「受保護的健康資訊 (PHI)」是指 Google 從保險給付受益實體接收到的 PHI。

總覽

請注意，美國衛生及公共服務部 (HHS) 並未認可任何《健康保險流通與責任法案》法規遵循認證，遵守《健康保險流通與責任法案》是客戶與 Google 雙方必須共同承擔的責任。《健康保險流通與責任法案》對於安全性規則、隱私權規則和資料外洩通知規則的落實尤其嚴格。Google Cloud 雖遵循《健康保險流通與責任法案》(在業務合作協議範圍內)，但客戶最終仍須自行評估是否符合《健康保險流通與責任法案》的相關規範。

根據《健康保險流通與責任法案》規定，Google 會視情況與客戶簽訂業務合作協議。Google Cloud 是在超過 700 人的資安工程團隊指引下建構而成，這樣的人力規模更甚於大多數的內部資安團隊。如需安全性與資料保護措施的相關詳細資訊 (包括 Google 如何透過機構與技術控管機制保護客戶資料的細節)，請參閱 Google 安全性白皮書與 Google 基礎架構安全性設計總覽。

除了說明我們的安全性與隱私權設計措施外，Google 還定期接受多家獨立第三方機構的稽核，為客戶提供外部驗證的結果 (報告與認證連結如下)。也就是說，Google 資料中心、基礎架構和營運狀況的管理情形，皆通過獨立稽核單位的檢驗。Google 每年都會根據下列標準進行稽核程序：

• SSAE 16/ISAE 3402 Type II。如需相關的 SOC 3 公開報告，請按這裡。SOC 2 報告可在符合保密協議 (NDA) 下取得。
• ISO 27001。執行 Google Cloud 所需的系統、應用程式、人員、技術、處理程序及資料中心，均已獲得 ISO 27001 認證。您可以在我們網站的法規遵循專區中找到 ISO 27001 認證。
• 雲端安全性 ISO 27017。這是從 ISO/IEC 27002 衍生而來的資訊安全管理措施國際標準，專為雲端服務制定。您可以在我們網站的法規遵循專區中找到 ISO 27017 認證。
• 雲端隱私 ISO 27018。這是一項國際做法標準，專用於保護公有雲服務中的個人識別資訊 (PII)。您可以在我們網站的法規遵循專區中找到 ISO 27018 認證。
• FedRAMP ATO
• PCI DSS 3.2.1 版

除了確保 Google 環境的機密性、完整性及可用性外，Google 的全面性第三方稽核措施還可保證 Google 達到頂級資訊安全的承諾。客戶可參照這些第三方稽核報告來評估 Google 產品如何達成《健康保險流通與責任法案》法規遵循的需求。

客戶責任

客戶的關鍵任務包括判定自己是否為「保險給付受益實體」(或「保險給付受益實體」的「業務關係人」)，如果是，他們又是否該與 Google 就互動之目的簽訂業務合作協議。

Google 必須針對受保護的健康資訊儲存與處理提供安全且符合規定的基礎架構 (如上所述)，客戶則有責任確保他們在 Google Cloud 上建構的環境與應用程式，已根據《健康保險流通與責任法案》的要求，進行妥善設定並獲得安全保護。這通常稱為雲端的共用安全性模型。

基本的最佳做法：

• 執行 Google Cloud 的《業務合作協議》。您可以直接向您的客戶經理要求《業務合作協議》。
• 處理受保護的健康資訊時，請停用或確認自己並未使用《業務合作協議》中未明確涵蓋的 Google Cloud 產品 (請參閱涵蓋的產品一節)。
• 除非在相關通知或產品/服務的其他條款中另有明確註明，否則請勿使用正式發布前產品處理受保護的健康資訊。正式發布前產品是指透過「Google Cloud 正式發布前計畫」提供的產品或服務，或是 Google《服務專屬條款》中定義的其他正式發布前產品。

建議的技術性最佳做法：

• 使用 IAM 最佳做法設定具備專案存取權限的人員。特別注意的是，因為服務帳戶可用於存取資源，所以請確保這些服務帳戶與服務帳戶金鑰的存取權限受到嚴密的管控。
• 判定貴組織是否有除了《健康保險流通與責任法案》安全規定以外的加密要求。所有客戶內容都靜態加密於 Google Cloud 中，請參閱加密白皮書，瞭解其他細節及確認是否有任何例外狀況。
• 如有使用 Cloud Storage，請考慮啟用物件版本管理功能，除了提供資料封存外，還可以在資料遭到意外刪除時取消刪除。
• 設定稽核記錄的匯出目的地。強烈建議您將稽核記錄匯出至 Cloud Storage 以進行長期封存，並將這類資料匯出至 BigQuery，藉此滿足任何數據分析、監控和/或鑑識需求。另外，請務必依照貴組織的需求調整這些目的地的存取控管設定。
• 依照貴機構組織的需求調整相關記錄的存取權控管設定。具有「記錄檢視者」角色的使用者可以存取管理員活動稽核記錄，而具有「私密記錄檢視者」角色的使用者則可存取資料存取稽核記錄。
• 定期檢閱稽核記錄，以便確保安全性及遵守相關法律規定。如上文所述，BigQuery 是適用於大規模分析記錄檔的絕佳平台。另外，您也可以考慮利用第三方整合功能所提供的 SIEM 平台記錄檔分析資料，證明自己確實遵守相關法規。
• 在 Cloud Datastore 中建立或設定索引時，請先將任何受保護的健康資訊、安全性憑證或其他機密資料加密，再將其做為索引的實體鍵、索引屬性鍵或索引屬性值。如需建立及/或設定索引的相關資訊，請參閱 Cloud Datastore 說明文件。
• 建立或更新 Dialogflow 虛擬服務專員時，請避免在虛擬服務專員定義中加入受保護的健康資訊或安全性憑證，包括意圖、訓練詞組和實體。
• 建立或更新資源時，請勿在指定資源的中繼資料時一併納入 PHI 或安全性憑證，因為系統可能會將這類資訊記錄下來，存放在記錄檔中。稽核記錄中絕對不會出現資源的資料內容或查詢的結果，但可能會包含資源的中繼資料。
• 為自有專案使用 Identity Platform 服務時，請遵循 Identity Platform 最佳做法。
• 使用 Cloud Build 服務進行持續整合或開發時，請避免在建構作業設定檔、來源控制檔案或其他建構構件中加入/儲存受保護的健康資訊。
• 如果您使用 Looker (Google Cloud Core)，「客戶」指定為執行個體或資源管理員的個人應審查第三方應用程式和整合功能的安全性設定，以及第三方應用程式提供的任何相應安全性和隱私權說明文件。
• 如果您使用 Looker (Google Cloud Core) 建構查詢，請避免在用來設定這類查詢的商業邏輯中加入或儲存受保護的健康資訊。如要瞭解如何建構查詢，請參閱說明文件。
• 如果您使用 Cloud CDN，請確認您並未要求受保護的健康資訊的快取。如要瞭解如何阻止快取，請參閱 Cloud CDN 說明文件。
• 如果您已依據《健康保險流通與責任法案》，與 Google 針對任何受保護的健康資訊相關義務簽訂業務合作協議，則使用 Cloud Speech-to-Text 時，請勿選擇加入資料記錄計畫。
• 如果您採用 Google Cloud VMware Engine，則您必須按照《健康保險流通與責任法案》的規定，在適當期間內保留應用程式的存取記錄。
• 設定 Sensitive Data Protection 工作時，請確保所有輸出資料皆已寫入儲存空間目標，且該目標經過設定已加入安全環境中。
• 如要將密鑰儲存於 Secret Manager，請詳閱並遵循 Secret Manager 最佳做法提供的指引。
• Artifact Registry 會使用 Google 預設加密機制或客戶自行管理的加密金鑰 (CMEK) 來加密存放區中的資料。中繼資料 (如構件名稱) 是以 Google 預設的加密機制加密。這項中繼資料可能出現在記錄檔中，且凡是具備 Artifact Registry 讀取者角色或檢視者角色權限的使用者，都能查看這項中繼資料。請按照保護構件的相關指引，防止有人未經授權即存取受保護的健康資訊。
• Container Registry 會使用 Google 預設加密機制或 CMEK 加密登錄檔儲存空間 bucket 中的資料。請採取容器相關最佳做法，防止有人未經授權即存取受保護的健康資訊。
• 如果您使用 Filestore，請利用以 IP 為基礎的存取控管機制，限制哪些 Compute Engine VM 和 GKE 叢集可以存取 Filestore 執行個體。此外，也建議您使用備份功能，以便在資料遭到意外刪除時復原資料。
• 如果您使用 Cloud Monitoring，請勿將受保護的健康資訊儲存在 Google Cloud 的中繼資料，包括指標標籤、VM 標籤、GKE 資源註解或資訊主頁標題/內容；凡是透過 IAM 取得授權，可查看監控控制台或使用 Cloud Monitoring API 的使用者，都能查看這項資料。請勿在可能會傳送給警告收件者的警告設定 (如顯示名稱或文件) 中加入受保護的健康資訊。
• 使用 reCAPTCHA Enterprise 時，請避免在 URI 或動作中加入受保護的健康資訊。
• 如果您使用 API Gateway，標頭不應包含任何受保護的健康資訊或 PII 資訊。
• 對於資料庫移轉服務，請使用私人 IP 連線方法，以免還得將含有受保護健康資訊的資料庫公開至網際網路。
• 如果您使用 Dataplex，google.cloud.datacatalog.lineage.v1.Process.attributes 和 google.cloud.datacatalog.lineage.v1.Run.attributes 欄位的值都不應含有任何受保護的健康資訊或 PII。
• 使用 Vertex AI Search 時，請針對受保護的健康資訊使用區域性 API 和資源位置。
• 使用 Application Integration 和 Integration Connectors 時，請勿在整合參數、連線名稱或連線設定中加入任何 PII、受保護的健康資訊或其他機密資訊，因為系統可能會將這類資訊記錄下來。如果要求的酬載包含機密資料，請設定記錄的存取控管機制。有些檔案型連接器和以 Webhook 為依據的事件 (由 Integration Connectors 提供) 會短暫儲存資料。客戶擁有控制權，可以使用 CMEK 以自選的金鑰加密這項資料。

涵蓋的產品

Google Cloud 的《業務合作協議》適用範圍涵蓋 Google Cloud 整個基礎架構 (所有區域、所有可用區、所有網路路徑、所有連接點)，以及下列產品：

• Access Approval
• Access Context Manager
• 資料存取透明化控管機制
• AI 平台資料標籤服務
• AI 平台訓練和預測
• PostgreSQL 適用的 AlloyDB
• API Gateway
• Apigee
• App Engine
• 應用程式整合
• Artifact Registry
• Assured Workloads
• AutoML Natural Language
• AutoML Tables
• AutoML Translation
• AutoML Video
• AutoML Vision
• Bare Metal 解決方案
• 批次
• BigQuery
• BigQuery 資料移轉服務
• BigQuery Omni
• Bigtable
• 二進位授權
• Cloud Asset Inventory
• Cloud 備份和災難復原
• Cloud Build
• Cloud CDN
• Cloud Composer
• Cloud 控制台
• Cloud Data Fusion
• Cloud Deploy
• Cloud Deployment Manager
• Cloud DNS
• Cloud Endpoints
• Cloud Filestore
• Cloud Functions
• Cloud Healthcare API
• Cloud HSM
• Cloud Identity
• Cloud IDS
• Cloud Interconnect
• Cloud Key Management Service
• Cloud Life Sciences (先前稱為 Google Genomics)
• Cloud Load Balancing
• Cloud Logging
• Cloud Monitoring
• Cloud NAT (網路位址轉譯)
• Cloud Natural Language API
• Cloud Profiler
• Cloud Router
• Cloud Run (全代管)
• Cloud Run for Anthos
• Cloud Scheduler
• Cloud Shell
• Cloud Source Repositories
• Cloud SQL
• Cloud Storage
• Cloud Tasks
• Cloud Trace
• Cloud Translation
• Cloud Vision
• Cloud VPN
• Colab Enterprise
• Compute Engine
• Config Management
• 連線
• Contact Center AI
• Contact Center AI Insights
• Contact Center AI Agent Assist
• Container Registry
• 資料庫移轉服務
• Data Catalog
• Dataflow
• Dataform
• Datalab
• Dataplex
• Dataproc
• Datastore
• Datastream
• Dialogflow
• Document AI
• Document AI 倉儲
• Eventarc
• Firestore
• Vertex AI 生成式 AI
• GKE Hub
• Google Cloud 應用程式
• Google Cloud Armor
• Google Cloud Identity-Aware Proxy
• Google Cloud VMware Engine (GCVE)
• Google Kubernetes Engine
• Healthcare Data Engine
• Looker (Google Cloud Core)
• Looker Studio*
• Identity & Access Management (IAM)
• Identity Platform
• Integration Connectors
• IoT Core
• 金鑰存取依據 (KAJ)
• Managed Service for Microsoft Active Directory (AD)
• Memorystore
• Network Service Tiers
• Persistent Disk
• Pub/Sub
• Risk Manager
• reCAPTCHA Enterprise
• Resource Manager API
• Secret Manager
• Security Command Center
• Sensitive Data Protection
• 服務用戶管理
• Service Control
• Service Directory
• 服務管理
• Service Mesh
• Spanner
• Speech-to-Text
• Storage 移轉服務
• Text-to-Speech
• Traffic Director
• Transfer Appliance
• Vertex AI 平台 (舊稱 Vertex AI)
• Vertex AI Search
• Video Intelligence API
• 虛擬私有雲
• VPC Service Controls
• Web Security Scanner
• Vertex AI Workbench 執行個體
• Workflows

* 前提是客戶已選擇將 Looker Studio 納入 Google Cloud 協議的規範範圍內。

如有適用於《健康保險流通與責任法案》計畫的新產品，我們便會更新這份清單。

獨樹一格的功能

Google Cloud 的安全性措施讓我們擁有涵蓋 Google Cloud 完整基礎架構的《健康保險流通與責任法案業務合作協議》，而非只是部分的雲端內容。因此，您將不受特定地區的限制，可享有擴充性以及作業與架構的優勢。您還能享有多地區的服務備援能力，並能使用先占 VM 以降低成本。

安全性與法規遵循措施深植在我們的基礎架構、安全性設計及產品之中，能夠讓我們支援《健康保險流通與責任法案》法規遵循。因此，我們能夠針對受《健康保險流通與責任法案》規範的客戶，提供與其他所有客戶相同的產品與相同的價格，包括續用折扣。其他公用雲端服務對於《健康保險流通與責任法案》雲端收取更高的費用，但我們並未採取同樣作法。

結論

Google Cloud 雲端基礎架構讓客戶能安全地儲存與分析健康資訊，從中取得深入分析的結果，不必擔心基礎架構的問題。

其他資源

• Google 安全性白皮書
• Google 基礎架構安全性設計總覽
• 《健康保險流通與責任法案》官方網站
• 《健康保險流通與責任法案》法規遵循與雲端運算的 HHS 指南