ヘルスケアとライフ サイエンス用の米国のデータ境界
このページでは、ヘルスケアとライフサイエンス用の米国のデータ境界と、ヘルスケアとライフサイエンス用の米国のデータ境界(サポートあり)のコントロール パッケージを使用する際の制限、制限事項、その他の構成オプションについて説明します。
概要
ヘルスケアとライフサイエンス用の米国のデータ境界とヘルスケアとライフサイエンス用の米国のデータ境界とサポートのコントロール パッケージを使用すると、医療保険の相互運用性と説明責任に関する法律(HIPAA)と Health Information Trust Alliance(HITRUST)の要件に準拠したワークロードを実行できます。
サポートされているプロダクトはそれぞれ、次の要件を満たしています。
- Google Cloudの HIPAA 業務提携契約(BAA)ページに記載されている
- Google Cloudの HITRUST 共通セキュリティ フレームワーク(CSF)ページに記載されている
- Cloud KMS 顧客管理の暗号鍵(CMEK)のサポート
- VPC Service Controls のサポート
- アクセスの透明性ログのサポート
- アクセス承認リクエストのサポート
- 米国内に限定された保存データ所在地のサポート
追加サービスの許可
ヘルスケアとライフサイエンス用の米国のデータ境界の各コントロール パッケージには、サポートされているサービスのデフォルト構成が含まれています。これは、Assured Workloads フォルダに設定されたサービスの使用を制限する(gcp.restrictServiceUsage)組織のポリシー制約によって適用されます。ただし、ワークロードで必要な場合は、この制約の値を変更して他のサービスを含めることができます。詳細については、ワークロードのリソース使用量を制限するをご覧ください。
許可リストに追加する追加サービスはすべて、Google Cloudの HIPAA BAA ページまたは Google Cloudの HITRUST CSF ページで列挙されている必要があります。
gcp.restrictServiceUsage 制約を変更して追加サービスを追加すると、Assured Workloads モニタリングでコンプライアンス違反が報告されます。これらの違反を削除し、許可リストに登録されたサービスの今後の通知を防ぐには、違反ごとに例外を適用する必要があります。
サービスを許可リストに追加する際のその他の考慮事項については、次のセクションで説明します。
顧客管理の暗号鍵(CMEK)
サービスを許可リストに登録する前に、Cloud KMS ドキュメントの互換性のあるサービスページを参照して、CMEK がサポートされていることを確認します。CMEK をサポートしていないサービスを許可する場合は、Assured Workloads における責任の共有で説明されているように、関連するリスクを受け入れる必要があります。
CMEK の使用時に厳格なセキュリティ対策を適用する場合は、Cloud KMS のドキュメントの鍵の使用状況を表示するをご覧ください。
データ所在地
サービスを許可リストに追加する前に、データ所在地があるGoogle Cloud サービスページにサービスが記載されていることを確認します。データ所在地をサポートしていないサービスを許可する場合は、Assured Workloads における責任の共有で説明されているように、関連するリスクを受け入れる必要があります。
VPC Service Controls
サービスを許可リストに追加する前に、VPC Service Controls のドキュメントのサポートされているプロダクトと制限事項ページを参照して、VPC Service Controls でサポートされていることを確認してください。VPC Service Controls をサポートしていないサービスを許可する場合は、Assured Workloads における責任の共有で説明されているように、関連するリスクを受け入れる必要があります。
アクセスの透明性とアクセスの承認
サービスを許可リストに追加する前に、次のページを確認して、そのサービスがアクセスの透明性ログを書き込み、アクセス承認リクエストをサポートできることを確認します。
アクセスの透明性ログを書き込まず、アクセス承認リクエストをサポートしていないサービスを許可する場合は、Assured Workloads における責任の共有で説明されているように、関連するリスクを受け入れます。
サポートされているプロダクトとサービス
ヘルスケアとライフサイエンス用の米国のデータ境界とヘルスケアとライフサイエンス用の米国のデータ境界(サポートあり)のコントロール パッケージでは、次のプロダクトがサポートされています。
| サポートされているサービス | グローバル API エンドポイント | 制限事項 |
|---|---|---|
| Cloud Service Mesh |
mesh.googleapis.commeshca.googleapis.commeshconfig.googleapis.comnetworksecurity.googleapis.comnetworkservices.googleapis.com |
なし |
| Artifact Registry |
artifactregistry.googleapis.com |
なし |
| BigQuery |
bigquery.googleapis.combigqueryconnection.googleapis.combigquerydatapolicy.googleapis.combigqueryreservation.googleapis.combigquerystorage.googleapis.com |
なし |
| BigQuery Data Transfer Service |
bigquerydatatransfer.googleapis.com |
なし |
| Binary Authorization |
binaryauthorization.googleapis.com |
なし |
| Certificate Authority Service |
privateca.googleapis.com |
なし |
| Bigtable |
bigtable.googleapis.combigtableadmin.googleapis.com |
なし |
| Cloud Build |
cloudbuild.googleapis.com |
なし |
| Cloud Composer |
composer.googleapis.com |
なし |
| Cloud Data Fusion |
datafusion.googleapis.com |
なし |
| Dataflow |
dataflow.googleapis.comdatapipelines.googleapis.com |
なし |
| Dataproc |
dataproc-control.googleapis.comdataproc.googleapis.com |
なし |
| Cloud Data Fusion |
datafusion.googleapis.com |
なし |
| Identity and Access Management(IAM) |
iam.googleapis.com |
なし |
| Cloud Key Management Service(Cloud KMS) |
cloudkms.googleapis.com |
なし |
| Cloud Logging |
logging.googleapis.com |
なし |
| Pub/Sub |
pubsub.googleapis.com |
なし |
| Cloud Router |
networkconnectivity.googleapis.com |
なし |
| Cloud Run |
run.googleapis.com |
影響を受ける機能 |
| Spanner |
spanner.googleapis.com |
影響を受ける機能と組織のポリシーの制約 |
| Cloud SQL |
sqladmin.googleapis.com |
なし |
| Cloud Storage |
storage.googleapis.com |
なし |
| Cloud Tasks |
cloudtasks.googleapis.com |
なし |
| Cloud Vision API |
vision.googleapis.com |
なし |
| Cloud VPN |
compute.googleapis.com |
なし |
| Compute Engine |
compute.googleapis.com |
組織ポリシーの制約 |
| 会話型分析情報 |
contactcenterinsights.googleapis.com |
なし |
| Eventarc |
eventarc.googleapis.com |
なし |
| Filestore |
file.googleapis.com |
なし |
| Google Kubernetes Engine |
container.googleapis.comcontainersecurity.googleapis.com |
なし |
| Memorystore for Redis |
redis.googleapis.com |
なし |
| Persistent Disk |
compute.googleapis.com |
なし |
| Secret Manager |
secretmanager.googleapis.com |
なし |
| Sensitive Data Protection |
dlp.googleapis.com |
なし |
| Speech-to-Text |
speech.googleapis.com |
なし |
| Text-to-Speech |
texttospeech.googleapis.com |
なし |
| Virtual Private Cloud(VPC) |
compute.googleapis.com |
なし |
| VPC Service Controls |
accesscontextmanager.googleapis.com |
なし |
制限事項
以降のセクションでは、 Google Cloud全体またはプロダクト固有の制限、または機能の制限について説明します。これには、ヘルスケアとライフ サイエンス用の米国のデータ境界のフォルダにデフォルトで設定されている組織ポリシーの制約も含まれます。
Google Cloud全体の組織ポリシー制約
次の組織のポリシーの制約は、該当するすべての Google Cloud サービスに適用されます。
| 組織のポリシーの制約 | 説明 |
|---|---|
gcp.resourceLocations |
allowedValues リストで次のロケーションに設定します。
|
gcp.restrictServiceUsage |
すべてのサポートされているサービスを許可するように設定します。 リソースへのランタイム アクセスを制限することで、使用できるサービスを決定します。詳細については、ワークロードのリソース使用量を制限するをご覧ください。 |
gcp.restrictTLSVersion |
次の TLS バージョンを拒否するように設定します。
|
Compute Engine
Compute Engine の組織のポリシーの制約
| 組織のポリシーの制約 | 説明 |
|---|---|
compute.disableGlobalCloudArmorPolicy |
True に設定します。 Google Cloud Armor セキュリティ ポリシーの作成を無効にします。 |
Cloud Run
影響を受ける Cloud Run 機能
| 機能 | 説明 |
|---|---|
| サポートされていない機能 | 次の Cloud Run 機能はサポートされていません。 |
Spanner
影響を受ける Spanner 機能
| 機能 | 説明 |
|---|---|
| スプリットの境界 | Spanner は、主キーとインデックス付き列の小さなサブセットを使用して、顧客データとメタデータを含むスプリットの境界を定義します。Spanner のスプリットの境界は、連続する範囲の行が小さな部分に分割される場所を示します。 これらのスプリットの境界は、Google の担当者がテクニカル サポートとデバッグ目的でアクセスできますが、ヘルスケアとライフサイエンス用の米国のデータ境界における管理者権限データ管理の対象ではありません。 |
Spanner 組織のポリシーの制約
| 組織のポリシーの制約 | 説明 |
|---|---|
spanner.assuredWorkloadsAdvancedServiceControls |
True に設定します。 Spanner リソースに追加のデータ主権とサポート性の制御を適用します。 |
spanner.disableMultiRegionInstanceIfNoLocationSelected |
True に設定します。 マルチリージョン Spanner インスタンスを作成してデータ所在地とデータ主権を適用する機能を無効にします。 |
次のステップ
- Assured Workloads のコントロール パッケージについて理解する。
- 各コントロール パッケージでサポートされているプロダクトを確認する。