お客様のデータを脅威や攻撃から守り、お客様に対するデータの可用性を維持することは、Google の最優先事項の一つです。HIPAA(医療保険の相互運用性と説明責任に関する法律)の要件を遵守する必要があるお客様のために、Google は Google Workspace と Cloud Identity で HIPAA コンプライアンスをサポートする特定のサービスを提供しています。
HIPAA においては、個人の健康または保健サービスに関する特定の情報が保護医療情報(PHI)に分類されています。HIPAA を遵守する義務のある Google Workspace および Cloud Identity のお客様が、HIPAA 対象機能のリストに記載されている Google Workspace または Cloud Identity の特定のサービスを使用することを希望される場合は、Google と業務提携の修正条項(BAA)を締結していただく必要があります。
HIPAA の要件を遵守する義務があるかどうか、および PHI を Google サービスで扱う(または今後扱う意向がある)かどうかを判断する責任は、Google Workspace および Cloud Identity をご利用のお客様に帰属します。Google と BAA を締結していないお客様は、Google Workspace または Cloud Identity のサービスで PHI を取り扱うことができません。
Google サービスで PHI を取り扱うにあたっては、管理者が事前に BAA を確認し、その内容に同意する必要があります。HIPAA コンプライアンスを維持するために利用できる Google Workspace サービスについては、HIPAA 対象機能をご確認ください。
Google は、Google Workspace と Cloud Identity: HIPAA 実装ガイドを公開し、お客様が Google サービスで PHI を扱う場合のデータの管理方法についてご案内しています。このガイドは、Google Workspace と Cloud Identity で、HIPAA の履行とコンプライアンスを担っている組織の従業員を対象としています。
よくある質問
電子的に同意した HIPAA BAA の写しを入手するにはどうすればよいですか?
HIPAA に関する BAA への同意は、管理コンソールから電子的に行うことができます。このような電子契約には書面契約と同じ法的拘束力があり、法的効力は同じです。電子的に同意した記録を示す必要がある場合は、管理コンソールの [法とコンプライアンス] に表示される、HIPAA に関する同意画面のスクリーンショットをお撮りください。特権管理者アカウントで管理コンソールのホームページを開き、[アカウント設定] 
[法とコンプライアンス] にアクセスします。
Gmail のスマート機能は HIPAA コンプライアンスの対象ですか?
文書作成サポート、コンテキストに応じたスマート リプライ、サイドパネルの機能は、HIPAA 対象機能の Google Workspace with Gemini の一部として対象となります。スマート機能について詳しくは、Gemini in Gmail を活用するをご覧ください。
サードパーティ製アプリケーションは Google Workspace BAA の対象ですか?
アドオンなどのサードパーティ製アプリケーションは、BAA の対象機能には含まれていません。詳しくは、Google Workspace および Cloud Identity: HIPAA 実装ガイドをご覧ください。
HIPAA コンプライアンスに即した方法で外部ドメインにドキュメントを送信するにはどうすればよいですか?
Google Workspace ドメインの内外で PHI を共有する場合は、PHI の取り扱いに関する組織のポリシーに従う必要があります。お客様は、これらのポリシーに準拠し、Google Workspace のドメイン全体の設定に一致する、Google Workspace 内外での共有方法を選択できます。Google Workspace および Cloud Identity: HIPAA 実装ガイドには、リンクを知っている全員ではなく特定の受信者と共有する方法など、Google Workspace ドメイン内の PHI へのアクセスを制限する場合のガイドが記載されています。
現在のところ「HIPAA 対象機能」に含まれていない Google サービスが対象に追加される予定はありますか?
対象機能の範囲の評価は Google にて継続的に行っており、将来的に対象プロダクトが追加される可能性はあります。なお、Cloud のデータ処理に関する追加条項(CDPA)および Google Workspace の BAA の条項は、その他の Google サービスには適用されません。その他の Google サービスについては、管理を強化するための手段を Google で継続的に評価しています。それらは随時、その他の Google サービスの機能の一部として導入される可能性があります。