GCP コンプライアンス完全ガイド｜HIPAA・FedRAMP・ISO・PCI DSS・3 省 2 (GCP)

GCP のコンプライアンス対応を完全網羅します。 HIPAA / FedRAMP / PCI DSS / ISO / GDPR / 日本 3 省 2 等の主要規制と、Assured Workloads による自動化を解説します。

主要認証一覧

カテゴリ	認証・規制
セキュリティ全般	ISO 27001 / 27017 / 27018 / 27701、SOC 2 / 3
BCP	ISO 22301
品質	ISO 9001
金融	PCI DSS Level 1
米国政府	FedRAMP High / Moderate、IL2 / IL4 / IL5、ITAR
医療	HIPAA BAA、HITRUST CSF
欧州	GDPR、EU Cloud Code of Conduct、C5 (ドイツ)
日本	FISC、3 省 2 ガイドライン、ISMAP
その他国別	HITRUST (US)、PIPEDA (Canada)、APRA CPS 234 (オーストラリア)

Assured Workloads

規制対応を 1 クリックで実現するフォルダレベル機能。許可サービス / リージョン / Access Transparency / CMEK 等が自動適用されます。

レジーム	対象
FedRAMP High	米国政府 (機密)
FedRAMP Moderate	米国政府 (一般)
CJIS	米国法執行機関
IL2 / IL4 / IL5	米国国防総省
HIPAA	医療
HITRUST	医療セキュリティ
ITAR	米国輸出規制
Canada Public Sector	カナダ政府
EU Sovereign Controls	EU 主権
EU Regions and Support with Sovereignty Controls	EU 規制

HIPAA 対応構成例

Google Workspace 経由で BAA 締結
Assured Workloads for HIPAA でフォルダ作成
許可サービスのみ使用 (Cloud Healthcare API / GCE / GCS / BQ 等)
CMEK 全 PHI データに適用
Cloud Audit Logs 全有効化 + BQ エクスポート (6 年保持)
Access Transparency + Approvals 有効化
VPC Service Controls で持ち出し防止
Sensitive Data Protection で PHI 検知 + マスキング

FedRAMP 対応 (US Federal)

FedRAMP High Authorization (Compute / GKE / Storage / BigQuery 等)
FedRAMP Moderate 範囲はさらに広い
専用 GovCloud Region (us-central-fedramp 等)
Assured Workloads for US Government で自動化

日本固有: 3 省 2 ガイドライン

医療情報を扱う際の総務省 + 経産省 + 厚労省の 2 ガイドライン (3 省 2 ガイドライン)。

asia-northeast1 (Tokyo) で完結 + asia-northeast2 (Osaka) DR
Cloud Healthcare API + CMEK
Cloud Audit Logs 全有効化
Access Transparency でサポートアクセス透明性
Sensitive Data Protection で PHI 検知
VPC Service Controls

ISMAP (政府情報システム)

日本政府のクラウド利用基準 (Information system Security Management and Assessment Program)
GCP は ISMAP 登録済みクラウドサービス
asia-northeast1 / 2 リージョン + 日本人 SI 経由が一般的

EU GDPR / Data Sovereignty

EU regions (europe-west1 等) でデータ完結
Data Residency Controls (Organization Policy)
Sovereign Cloud パートナー

T-Systems Sovereign Cloud (ドイツ)
S3NS Sovereign Cloud (フランス、Thales + Google)

EU GDPR Data Processing Addendum (DPA) 提供

Access Transparency / Approvals

Access Transparency: Google サポート / SRE のデータアクセスを Audit Log 記録
Access Approvals: 顧客の事前承認なしにアクセス不可
Key Access Justifications: KMS 鍵利用時にも承認
規制業界の説明責任に必須

Shared Responsibility Model

項目	Google	顧客
物理セキュリティ	◎	—
ハードウェア	◎	—
ネットワークインフラ	◎	VPC / Firewall 設計
ハイパーバイザ	◎	—
OS	マネージドのみ	GCE は顧客
アプリ	—	◎
データ	—	◎
IAM 設定	—	◎

コンプライアンス情報ソース

Compliance Reports Manager: GCP コンソールから認証レポート PDF DL
Trust Center (cloud.google.com/security/compliance)
Compliance Resource Center で各規制詳細

GCP は HIPAA BAA を締結している？

可能。Cloud Healthcare API、Compute Engine、Cloud Storage、BigQuery、Vertex AI 等の主要サービスが HIPAA BAA 対象。Google Workspace 経由で BAA 締結後に利用可能。

FedRAMP は対応している？

FedRAMP High (Compute / Storage / BigQuery 等) と Moderate に対応。Assured Workloads for US Government で簡単に規制対応環境を構築可能。

EU GDPR / Data Sovereignty は？

Sovereign Cloud (T-Systems / S3NS) でフランス / ドイツの主権要件対応。EU regions で完結 + Data Residency Controls で対応可。

PCI DSS Level 1 は？

GCP インフラは PCI DSS Level 1 認定済み。顧客側の責任分担 (Shared Responsibility) で、顧客アプリの PCI DSS 認証は別途必要。

ISO 認証は？

ISO 27001 / 27017 (クラウド固有) / 27018 (PII) / 27701 (プライバシー情報マネジメント) / 22301 (BCP) / 9001 等多数。

Assured Workloads とは？

規制対応 (HIPAA / FedRAMP / IL5 / EU Regions 等) を 1 クリックで実現するフォルダレベル機能。許可サービス / リージョン / アクセスポリシーが自動適用。

Access Transparency / Customer Lockbox は？

Google サポートが顧客データにアクセスした際にログを提供 (Transparency)。事前承認も要求できる (Approvals)。規制業界の説明責任に必須。

日本の医療情報ガイドラインは？

3 省 2 ガイドライン (医療情報システムの安全管理に関するガイドライン) に対応。Healthcare API + asia-northeast1 + CMEK + Access Transparency 構成が標準。

この記事で学んだ内容を問題で確認しましょう

16,000問以上の問題で実力チェック

GCP 試験対策ページを見る

この記事の著者

NicheeLab編集部

データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。

GCP コンプライアンス完全ガイド｜HIPAA・FedRAMP・ISO・PCI DSS・3 省 2