Google のサービス全般、特に Google Cloud について最も多く寄せられるご質問は、セキュリティとプライバシーに関するものです。Google はセキュリティとプライバシーを非常に重視しており、Google によるお客様組織のデータの取り扱い方法をお客様ご自身で管理していただくためのツールをご用意しています。Google のビジネスは、お客様からお寄せいただく信頼の上に成り立っています。それは、お客様のデータの安全性を適切に確保し Google のシステムに保管された情報のプライバシーを尊重する取り組みを続けていることに対する信頼であり、お客様ご自身に情報を管理していただくために提供しているツールへの信頼でもあります。
信頼性、プライバシー、セキュリティに関する Google の見解について詳しくは、Google によるお客様データの取り扱いについての記事をご参照ください。
Google サービスの利用に関する不正行為を発見された場合は、サポートチームまでご報告ください。
Google Cloud の SOC 2 および SOC 3 監査は、管理者にとってどのような意味がありますか?Google Cloud は、SOC(Service Organization Control: サービス提供会社の内部統制)2 および SOC 3 監査において、独立した第三者監査人より無限定適正意見を得ています。Google Cloud でお預かりしているデータの安全性は、業界標準の監査を経たものですのでご安心ください。詳しくは、SOC 3 の一般公開監査報告(英語)をご覧ください。
Google Cloud が次の管理機能とプロトコルを備えていることが、独立した第三者監査人によって確認されています。
- 論理的セキュリティ - 承認済みの個人のみに Google Cloud サービスの本番システムとデータへの論理的アクセスが許可されていることが、合理的に保証されています。
- プライバシー - Google Cloud に関する顧客データのプライバシーに対処するためのポリシーと手続きを導入していることが、合理的に保証されています。
- データセンターの物理的セキュリティ - Google Cloud のデータを保存するデータセンターと Google のオフィスの安全性が、合理的に保証されています。
- インシデントの管理と可用性 - Google Cloud のシステムを冗長化し、インシデントに関する適切な報告、対処、記録を行っていることが合理的に保証されています。
- チェンジ マネジメント - Google Cloud の開発や変更を行う際に、機能のテストおよび独立したコードレビューを経てから本番環境に導入していることが合理的に保証されています。
- 組織と管理 - 管理者が Google Cloud に関する社内インフラなどのシステムを整え、確認・連絡体制を統率していることが合理的に保証されています。
新しいユーザー アカウントのパスワードを生成する際、Google では記号、大文字、小文字、数字の混在するパターンを使用しています。パスワードは、最小文字数(8 文字)またはドメインに設定されているパスワードの最小文字数よりも長くなります。
管理者またはエンドユーザーが削除した Google Cloud 内のデータは、顧客契約と Google のプライバシー ポリシーに従って削除されます。
管理者がユーザー アカウントを削除すると、データは元に戻せなくなります。おすすめのユーザー削除方法については、ヘルプセンターをご確認ください。
メールの復元が必要な場合のために、Google Workspace、Education エディションでは追加のアーカイブ サービスが提供されています。メール以外のデータの復元ソリューションについては、Google Workspace Marketplace で Google のパートナー企業が提供しているソリューションをお探しください。
迷惑メールの「From」アドレスは偽装されている場合があり、信頼している組織のドメインから届いたメールであるかのように見えることがあります。この手法はフィッシングと呼ばれ、センシティブ データを収集する試みとして多用されます。フィッシングを防ぐため、Google は DMARC(Domain-based Message Authentication, Reporting & Conformance: ドメインに基づくメッセージ認証、レポート送信、適合)プログラムに参加しています。このプログラムでは、ドメイン所有者がメール プロバイダに対して、自分のドメインから送信された未認証メールの処理方法を指定できます。Google Cloud をご利用のお客様は、管理者用の設定画面で DMARC レコードを作成し、すべての送信メール ストリームに対して SPF レコードと DKIM キーを導入することで DMARC を実装することができます。
利用規程に基づいて対処します。
- 迷惑メールを送信している Google Workspace のメールのユーザーを発見した場合、Google には直ちにそのユーザーを停止する権限があります。
- 迷惑メールがドメイン全体に及んでいる場合には、アカウント全体を停止し、管理者による Google Cloud サービスへのアクセスをすべて拒否する権限があります。
Google Cloud の管理者アカウントを作成できるのは、ドメイン名の所有者と管理者だけです。Google Cloud 管理者は、ドメインの管理権限の確認のため、お申し込み時にドメイン ネーム システム(DNS)レコードの変更を求められます。この確認が完了しない限り、管理者アカウントを開設できません。ドメイン所有権の確認が完了するまで、ドメイン用の Google サービスを管理することはできません。
所有権の証明が完了すると、管理者の裁量によりアカウント内の他のユーザーに管理者権限を付与することができます。
ドメインの管理者以外のユーザーが、サポートチームに管理者権限をリクエストすることもできます。通常のドメイン所有権の証明によって、リクエスト送信者にドメイン管理権限があることが証明されます。
また、登録されている予備のメールアドレスにアクセスできるユーザーであれば、パスワードを再設定してメインの管理者アカウントにアクセスすることができます。
ドメインの Google Cloud 管理者は、ドメインの顧客契約に基づき、すべてのユーザー アカウントと関連データにアクセスできます。このことは、Google のプライバシー ポリシーにも記載されています。
ドメイン管理者は、ドメイン内のすべてのユーザー名とパスワードを管理できます。また、顧客契約に準拠してユーザーのアカウントにアクセスできます。Google ではお客様に対し、こうした行為についてポリシーを定めてユーザーに公開するよう求めています。
迷惑メールに関する違反があった場合は、登録されている予備のメールアドレスにお知らせが届きます。
EU の一般データ保護規則(GDPR)は、1995 年に制定された EU データ保護指令に代わるものです。GDPR は、個人データに関するその個人の権利を強化し、データの処理場所を問わず、データ保護に関する法律を欧州圏内で統一することを目的としています。
Google では、Google Cloud が GDPR に準拠するよう取り組んでおりますので、ご安心ください。また、お客様の GDPR 準拠を支援するために、長年にわたって Google のサービスや契約に取り入れられてきた堅牢なプライバシーおよびセキュリティ保護を提供しています。
なお、データ管理者がデータ処理業務を任せられるのは、GDPR で定められたデータ処理方法に従い、技術的かつ組織的に適切な対応を行うことを十分に保証できるデータ処理業者のみです。
Google のデータ処理規約には、お客様に対するプライバシー保護の責任が明記されています。Google は数年間にわたり、お客様と規制当局からの要請に基づいて規約の内容を検討し、GDPR の変更内容に合わせて改定を重ねてきました。
詳細については、Google の GDPR に関するサイトをご参照ください。
