G Suite および Cloud Identity の HIPAA コンプライアンス

お客様のデータを安全に保護し、いつでもご利用いただけるようにすることが、Google の最優先事項の 1 つです。Google のサービスが業界のセキュリティ基準に適合していることの証明として、Google は ISO 27001 認証SOC 2 および SOC 3 Type II 監査などのセキュリティ認証を申請し、取得してきました。また、医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act、HIPAA)の要件を遵守する必要のあるお客様のために、G Suite および Cloud Identity は HIPAA コンプライアンスにも対応しています。

HIPAA では、個人の健康または保険サービスに関する特定の情報が、保護対象保健情報(Protected Health Information、PHI)とみなされます。HIPAA 準拠の対象となる G Suite および Cloud Identity のお客様で、PHI を G Suite または Cloud Identity で扱うことを希望される場合は、Google と業務提携契約(Business Associate Agreement、BAA)を締結していただく必要があります。

HIPAA 準拠の対象となるか、および Google サービスで PHI を扱うまたは今後扱う予定があるかを判断する責任は、G Suite および Cloud Identity をご利用のお客様が負うものとします。Google と BAA を締結していないお客様は、Google サービスで PHI を取り扱うことができません。

管理者は PHI を Google のサービスで取り扱うにあたり、事前に BAA を確認して承認しておく必要があります。Google では、Gmail、Google カレンダー、Google ドライブ(ドキュメント、スプレッドシート、スライド、フォームを含む)、Google ハングアウト(チャット メッセージ機能のみ)、Hangouts Chat、Hangouts Meet、Google Keep、Google Cloud Search、Google サイト、Google グループ、Google ToDo リスト、Jamboard、Google Vault のサービス、および Google Cloud Identity 管理を対象とする BAA を提供しています。

PHI を扱う場合の Google サービスでのデータ管理方法について、G Suite および Cloud Identity HIPAA 実装ガイドが公開されています。このガイドは、G Suite および Cloud Identity への HIPAA の実装と HIPAA への準拠を担当する組織内の従業員を対象とするものです。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。