MENU

会員登録（無料）

PCSE#1(compliance)

この問題のディスカッション

PCSE#1(compliance)

医療機関が Google Cloud に電子カルテ (PHI) を保存する際、HIPAA 準拠のために最初に締結すべき契約はどれですか。

A. Google Cloud が公開している SOC 2 Type II レポートに顧客側で署名し、HIPAA 準拠の証跡として提出します
B. DPA (Data Processing Addendum) のみを締結し、PHI の処理委託契約として HIPAA 要件を満たします
C. BAA (Business Associate Agreement) を Google Cloud と締結する
D. HITRUST CSF 認証を医療機関側で取得し、Google Cloud との契約は標準利用規約のままにします

正解と解説ディスカッション 0

正解：C

正解の根拠

HIPAA の対象事業者 (Covered Entity) がクラウドで PHI を扱う場合、Google Cloud と BAA を締結することが必須です。BAA を締結せずに PHI を扱うことは HIPAA 違反となります。

契約	用途
BAA	HIPAA PHI の取扱責任を明文化
DPA	GDPR 等の個人データ処理

不正解の理由

B: DPA は GDPR 用であり HIPAA 要件を満たしません
A: SOC 2 はレポート閲覧であり契約ではありません
D: HITRUST は任意のフレームワークで HIPAA 契約代替にはなりません

参考：Google Cloud HIPAA Compliance

コメント

コメント

コメントするコメントをキャンセル