お客様のデータを脅威や攻撃から守り、お客様に対するデータの可用性を維持することは、Google の最優先事項の一つです。HIPAA(医療保険の相互運用性と説明責任に関する法律)の要件を遵守する必要があるお客様のために、Google Workspace および Cloud Identity は HIPAA コンプライアンスに対応しています。
HIPAA においては、個人の健康または保健サービスに関する特定の情報が保護医療情報(PHI)に分類されています。Google Workspace および Cloud Identity をご利用で HIPAA を遵守する義務のあるお客様が、PHI を Google Workspace または Cloud Identity で扱うことを希望される場合は、Google と業務提携契約(BAA)を締結していただく必要があります。
HIPAA の要件を遵守する義務があるかどうか、および PHI を Google サービスで扱う(または今後扱う意向がある)かどうかを判断する責任は、Google Workspace および Cloud Identity をご利用のお客様に帰属します。Google と業務提携契約(BAA)を締結していないお客様は、Google サービスで PHI を取り扱うことができません。
Google サービスで PHI を取り扱うにあたり、管理者は BAA を確認して同意しておく必要があります。HIPAA コンプライアンスを維持するためにどの Google Workspace プロダクトを利用できるかについては、HIPAA 対象機能をご確認ください。
Google は Google Workspace および Cloud Identity での HIPAA 履行ガイドを公開し、お客様が Google サービスで PHI を扱う場合のデータの管理方法についてご案内しています。このガイドは、Google Workspace および Cloud Identity での HIPAA の履行とコンプライアンスを担っている組織の従業員の方を対象としています。
よくある質問
電子的に同意した HIPAA BAA の契約書の写しを入手するにはどうすればよいですか?HIPAA に関する BAA への同意は、管理コンソールから電子的に行うことができます。このような電子契約には書面契約と同じ法的拘束力があります。電子的に同意した記録を示す必要がある場合は、管理コンソールの [法とコンプライアンス] に表示される、HIPAA に関する同意画面のスクリーンショットをお撮りください。特権管理者アカウントで管理コンソールのホームページを開き、[アカウント設定] [法とコンプライアンス] にアクセスします。
アドオンなどのサードパーティ製アプリケーションは、BAA の対象機能には含まれていません。詳細は、HIPAA 実装ガイドをご覧ください。
Google Workspace ドメインの内外で PHI を共有する場合は、お客様の組織で定められている PHI の取り扱いに関するポリシーに従う必要があります。Google Workspace 内外に対する共有方法を選択する際は、それらのポリシーを遵守し、Google Workspace のドメイン全体の設定と矛盾がないようにしてください。HIPAA 履行ガイドには Google Workspace ドメイン内の PHI へのアクセスを限定する方法が記載されており、リンクを知っている全員ではなく特定の相手とのみ情報を共有する方法などを確認できます。
対象機能の範囲の評価は Google にて継続的に行っており、将来的に対象プロダクトが追加される可能性はあります。なお、Cloud のデータ処理に関する追加条項(CDPA)および Google Workspace BAA の条項は、その他の Google サービスには適用されません。その他の Google サービスについては、管理を強化するための手段を Google で継続的に評価しています。それらは随時、その他の Google サービスの機能の一部として導入される可能性があります。