HIPAA
このページでは、 Databricksの HIPPA コンプライアンス コントロールについて説明します。
HIPPA の概要
HIPPAは、保護された健康情報(PHI)のプライバシーとセキュリティを保護するための国家基準を確立する米国の医療法です。
キーポイント:
- PHI を取り扱う医療提供者、保険会社、およびベンダーに適用されます。
- プライバシー、セキュリティ、および違反通知に関するルールが含まれています。
- PHI の管理上、技術上、および物理的な保護手段が必要です。
- PHI を保存または処理するクラウド サービス プロバイダーに適用されます。
PHIを処理するためのビジネスアソシエイト契約(BAA)要件
HIPPAおよび関連規制では、保護された健康情報(PHI)を取り扱う組織に特定の保護措置を満たすことが義務付けられています。 対象となるエンティティまたはビジネス アソシエイトが Databricks のようなクラウド サービス プロバイダー (CSP) を使用する場合、CSP もビジネス アソシエイトと見なされます。
その結果、コンプライアンスセキュリティプロファイルを使用して HIPPA を有効にすると、別途実装されたバージョンがない場合、ビジネスアソシエイト契約 (BAA) を Databricksすることに同意したことになります。 Databricks BAA を読むには、「 ビジネス アソシエイト契約」を参照してください。
HIPPA コンプライアンス制御を有効にする
HIPPA コンプライアンス コントロールでは、コンプライアンス セキュリティ プロファイルを有効にする必要があり、これによりモニタリング エージェントが追加され、強化されたコンピュート イメージが提供されます。 規制対象のデータの処理では、特定のプレビュー機能のみがサポートされています。コンプライアンス セキュリティ プロファイルとサポートされているプレビュー機能の詳細については、「 コンプライアンス セキュリティ プロファイル」を参照してください。
HIPPA コンプライアンス コントロールを有効にするには、「 拡張セキュリティとコンプライアンスの設定を構成する」を参照してください。
各ワークスペースでコンプライアンス セキュリティ プロファイルが有効になっていることを確認するのは、ユーザーの責任です。また、PHI データを処理する 前に 、Databricks と有効な BAA 契約を結んでいる必要があります。
コンプライアンス セキュリティ プロファイルのリリース前にアカウントで HIPPA が有効になっていた場合は、すべてのワークスペースで HIPPA を使用してコンプライアンス セキュリティ プロファイルを構成する必要があります。 「強化されたセキュリティとコンプライアンスの設定を構成する」を参照してください。
HIPPA コンプライアンスの共同責任
HIPAA コンプライアンスは3つの主要な領域にわたっており、それぞれ異なる責任を伴います。各当事者は多くの責任を負いますが、以下のセクションでは、Databricks と共有する主要な責任について説明します。
このセクションでは、Databricksアーキテクチャの 2 つの主要な部分である コントロール プレーン と コンピュート プレーン という用語を使用します。
- Databricks コントロール プレーンには、Databricks が独自の Google Cloud アカウントで管理するバックエンド サービスが含まれています。
- コンピュートプレーンは、データレイクが処理される場所です。 従来のコンピュートプレーンには、Google Cloud アカウント内の VPC と、ノートブック、ジョブ、プロまたはクラシック ウェアハウスを処理するためのコンピュート リソースのクラスタリングが含まれています SQL。
詳細については、 情報 「高レベルのアーキテクチャ」を参照してください。
ワークスペース名、コンピュート リソース名、タグ、ジョブ名、ジョブ実行名、ネットワーク名、資格情報名、ストレージ アカウント名、 Gitリポジトリ ID または URL などの機密情報がカスタマー定義の入力フィールドに決して入力されていないことを確認する責任はお客様にあります。 これらのフィールドは、コンプライアンス境界外で保存、処理、またはアクセスされる可能性があります。
- お客様は、適用されるすべての法令のコンプライアンスの全責任があります。Databricksのオンラインドキュメントに記載されている情報は、法的助言とはなりません。規制コンプライアンスに関するご質問については、法務アドバイザーにご相談ください。
- Databricksでは、 サポートされているプレビュー機能PHI に記載されている機能を除き、Google Cloud プラットフォーム上の HIPPA プラットフォームでのの処理にプレビュー機能を使用することはサポートされていません。
Google の主な責任は次のとおりです。
- Google との BAA に基づく業務提携者としての義務を履行する。
- Google Cloud との契約に基づき、HIPPA コンプライアンスをサポートする仮想マシンを提供します。
- GCE クラスター内で保存時および転送中の暗号化を提供し、これは HIPPA で適切です。
- Databricks が VM インスタンスをリリースするときに、暗号化キーとデータを削除します。
Databricksの主な責任は次のとおりです。
- コントロールプレーンとの間で送受信される転送中のPHIデータを暗号化します。
- コントロールプレーンに保存されているPHIデータを暗号化
- Databricks で指定したときに (たとえば、自動終了または手動終了を通じて) VM インスタンスのプロビジョニングを解除して、GCP が VM インスタンスをワイプできるようにします。
あなたの主な責任:
-
Databricksの書面による許可なしに、Databricks内のプレビュー機能を使用してPHIを処理しないでください。ただし、「 サポートされているプレビュー機能」に記載されているプレビュー機能を使用することはサポートされています。
-
コンピュート プレーンからの不要なエグレスを無効にしたり、Databricksシークレット 機能 (またはその他の同様の機能) を使用して、PHIへのアクセスを提供するアクセス キーを格納したりするなど、 セキュリティのベストプラクティスに従います。
-
Google Cloud と業務提携契約を締結し、VM インスタンスがデプロイされている VPC 内で処理されるすべてのデータを対象とします。
-
仮想マシン内で HIPPA に違反するような操作を行わないでください。 たとえば、暗号化されていない PHI をエンドポイントに送信するように Databricks に指示します。
-
Databricks プラットフォームが連携する可能性のある場所に保存される際に、PHI を含む可能性のあるすべてのデータが保存時に暗号化されていることを確認します。Databricks が各ワークスペースのお客様のアカウント内に作成するバケット、およびその他のすべてのデータソースについては、お客様が暗号化(およびバックアップの実行)を確実に行う責任があります。
-
PHI を含む可能性のあるすべてのデータが、Databricks とデータストレージの場所、またはコンピュートプレーンマシンからアクセスする外部ロケーションとの間の転送中に暗号化されていることを確認してください。たとえば、外部データソースに接続する可能性があるノートブックで使用するあらゆるAPIsは、すべての送信接続で適切な暗号化を使用する必要があります。
-
ワークスペースのバケットおよびその他のすべてのデータソースの暗号化(およびバックアップの実行)を確認してください。
-
PHI を含む可能性のあるすべてのデータが、Databricks とデータストレージの場所、またはコンピュートプレーンマシンからアクセスする外部ロケーションとの間の転送中に暗号化されていることを確認してください。たとえば、外部データソースに接続する可能性があるノートブックで使用するあらゆるAPIsは、すべての送信接続で適切な暗号化を使用する必要があります。
機能の地域別サポート
この表は、選択されたコンプライアンス基準について、サポートされているすべてのDatabricksリージョンにおける機能の利用可能性を示しています。一部の機能は、実際にリリースされる前に利用可能として表示される場合があります。
機能 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
AI Functions - 分類 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||
AI Functions - 文書解析 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||
AI Functions - 情報抽出 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||
AI Functions - 準備検索 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||
AI Runtime インタラクティブ | |||||||||||||||
異常検出 | ✓ | ✓ | ✓ | ✓ | |||||||||||
Classic Compute | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
クリーンルーム | ✓ | ✓ | |||||||||||||
データ分類 | ✓ | ✓ | ✓ | ✓ | |||||||||||
Databricks Apps | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
デフォルトのストレージ | ✓ | ✓ | ✓ | ✓ | |||||||||||
Genie | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
GenieエージェントMode | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Genie Code | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Genie Codeエージェントモード | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Genie Codeダッシュボードエージェント | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Genieスペース | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
ナレッジアシスタント | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||
Lakebaseオートスケール | |||||||||||||||
LakeFlow Connect - Confluence | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
LakeFlow Connect - Dynamics 365 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
LakeFlow Connect - GA4 | |||||||||||||||
LakeFlow Connect - Google広告 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
LakeFlow Connect - Hubspot | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
LakeFlow Connect - メタ広告 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
LakeFlow Connect - MySQL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
LakeFlow Connect - NetSuite | |||||||||||||||
LakeFlow Connect - PostgreSQL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
LakeFlow Connect - SFTP | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
LakeFlow Connect - Salesforce | |||||||||||||||
LakeFlow Connect - ServiceNow | |||||||||||||||
LakeFlow Connect - SharePoint | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
LakeFlow Connect - TikTok広告 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
LakeFlow Connect - Workday HCM | |||||||||||||||
LakeFlow Connect - Workdayレポート(RaaS) | |||||||||||||||
LakeFlow Connect - Zendeskサポート | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
LakeFlow Connect - Zerobus Ingest | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Lakeflow ジョブ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Lakeflowパイプラインエディター | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
レイクハウスモニタリング | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Databricks 上の MLflow | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
マネージドMCP サーバー | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Model Serving - AIゲートウェイ(v1) | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||
モデルサービング - AIガードレール | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||
モデルサービング - AI Playground | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||
モデルサービング - カスタムモデル | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||
モデルサービング - 外部モデル | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||
モデルサービング - 基盤モデルAI関数 ( ai_query ) | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||
モデルサービング - 基盤モデル単位の従量課金 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||
予測最適化 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
サーバーレス Jobs/ワークフロー/ノートブック | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
サーバーレスLakeFlow Pipelines | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
サーバーレスSQLウェアハウス | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
サーバレスワークスペース | ✓ | ✓ | ✓ | ✓ | |||||||||||
スーパーバイザーエージェント | ✓ | ✓ | ✓ | ✓ | |||||||||||
ベクトル検索(標準) | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |||||||
ベクトル検索(ストレージ最適化済み) | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |