コンプライアンス

Google は、世界各国で定められている各種規制に加え、医療や教育などさまざまな業種の規制にも準拠しています。Google のサービスにはお客様がコンプライアンス要件を満たすために必要なツールや管理機能が組み込まれているので、安心してご利用いただけます。

お客様より多数寄せられたご質問の一部を「よくある質問」として下記にまとめ、対応する G Suite セキュリティ サイトをご用意しました。これらの重要な問題に対する Google の考え方をご確認いただくことで、ご不明な点が解消されれば幸いです。なお、個人のお客様向けツールと、個人のお客様のプライバシーに関する情報については、Google のプライバシーと利用規約のページをご覧ください。

不正行為の問題についてご報告いただく場合は、不正行為の報告についての詳細をご覧ください。

G Suite と Google Cloud Platform の安全性はどのように確認したらよいですか?

Google のお客様や規制当局より、Google のセキュリティ、プライバシー、コンプライアンスの管理の内容は独立した機関が検証すべきという要請をいただいています。これを受けて Google では、独立した第三者機関による複数の監査を定期的に受け、Google のデータセンター、インフラ、オペレーションの管理状況を確認してもらっています。具体的には、次の規格について年次監査を受けています。

  • SOC1(SSAE-16/ISAE-3402)- G Suite、Google Compute Engine、Google Cloud Storage、Google App Engine
  • SOC2 - G Suite、Google Compute Engine、Google Cloud Storage、Google App Engine
  • SOC3 - G Suite、Google Compute Engine、Google Cloud Storage、Google App Engine
  • ISO27001 - G Suite、Google Cloud Platform
  • ISO27017 - G Suite、Google Cloud Platform
  • ISO 27018 - G Suite、Google Cloud Platform
  • HIPAA - G Suite、Google Compute Engine、Google Cloud Storage、Google BigQuery、Google Cloud SQL
  • FISMA - Google App Engine、G Suite
  • FEDRAMP - Google App Engine、G Suite
これらの認定書や監査報告書のコピーを入手することはできますか?SOC3 監査報告書はどこでダウンロードできますか?Google の ISO27001 認定書はどこで見ることができますか?

SOC3 報告書は、Google の統制環境が基準を満たしていることを外部の監査機関が証明するもので、Google の受託ビジネスが適切な Trust サービスの原則と基準に準拠していることが報告書としてまとめられています。SOC3 監査報告書の全体をダウンロードすることもできます。ISO27001 認定書は、サービスが ISO/IEC 27001:2005 の規格に合致していることを証明するものです。G Suite(および G Suite for Education)、Google Cloud Platform、Google+、Google Now、Google アナリティクス、アナリティクス プレミアムの各サービスと、これらのサービスと特定施設が保有または収集するデータがこの認定を受けています。

Google はどのようにして欧州のデータ保護要件に対応していますか?

Google は欧州に広範な顧客基盤を持つ他に、企業顧客の 50% 以上は米国外を拠点としています。そこで、欧州連合(EU)のデータ保護指令第 29 条作業部会が定めるデータ保護の推奨事項に対応する機能を提供するとともに、契約上の義務を定めています。また、EU Model Contract Clauses(EU 標準契約条項)Data Processing Amendment(データ処理の修正条項)の締結を申し入れています。

データ処理の修正条項を承認するには、次の手順を実施してください。

チームの管理コンソールにログインします。ナビゲーション アイコンをクリックし、[会社プロフィール] を選択します。

[セキュリティとプライバシーの追加規約] で、[データ処理の修正条項] の横にある [確認して同意] をクリックし、[同意する] をクリックします。

[EU モデル契約条項] の横にある [確認して同意] をクリックし、[同意する] をクリックします。

Google で実施しているデータ保護対策については、独立した第三者機関による監査を受け、ISO 27001 認定を取得しています。また、ISO/IEC 27018:2014 の規格に沿ってプライバシー保護を行い、契約上の義務を履行しています。さらに、コンプライアンス対策のための各種設定を用意することで、EU のデータ保護規制にお客様が準拠できるようサポートしています。

EU のデータ保護に関する法律では、個人データを EU や EEA 域内に保管することが義務付けられていないのですか?

欧州委員会のデータ保護指令は、1995 年に欧州連合(EU)によって可決された重要なプライバシー立法です。この法律は、個人情報保護の観点から、EU の基準を満たさないデータを EU 域外へ移動することを制限するものです。これに準拠するために個人データの取り扱いを EU 域内に限定することも 1 つの方法ですが、欧州委員会承認の標準契約条項などの他のコンプライアンス既定では、データの保管場所を EU 域内に置くことは義務付けられません。

米国政府についてはどうですか?米国外にデータを保管しても、データに関する米国政府の要求の対象にはなりませんか?

ある国にデータを保管しているからといって、必ずしもそのデータが外国政府からのアクセスを免れるわけではありません。データの保管場所が特定の管轄内にあるので他の管轄はそのデータの開示を強制できない、ということではありません。また、世界中の複数の場所でデータセンター間のケーブル回線を直接盗聴する政府の試みが行われているという報告もあります。Google が監視法の改革を提唱しているのはこのことが理由です。Google システムへのアクセス権を政府に提供することや、政府がユーザーデータにアクセスするための機能を設置することは拒みます。政府からのデータに関する要請に Google がどのように対応しているかについて詳しくは、Google の透明性レポートをご覧ください。

ユーザーのデータはどこに保管されていますか?

お客様のデータは Google のデータセンター ネットワークに保管されます。Google は地理的に分散されたデータセンターを多数運用しています。Google のコンピュータ クラスタは障害許容力と冗長性を考慮して設計されているので、単一障害点は存在せず、一般的な設備故障や環境リスクの影響を最小限に抑えることができます。

医療関係のデータを Google のシステムに保管することはできますか?

G Suite をご利用のお客様には、米国の医療保険の相互運用性と説明責任に関する法律(HIPAA: U.S. Health Insurance Portability and Accountability Act)に準拠していただけるようになっています。HIPAA に準拠する義務のあるお客様が、保護対象の医療情報(PHI: Protected Health Information)を G Suite で扱うことを希望される場合、業務提携契約(BAA: Business Associate Agreement)を Google と締結していただく必要があります。G Suite、G Suite for Education、G Suite for Government の各ドメインの管理者の方は、PHI を Google のサービスで管理するにあたり、BAA の締結を要請してください。BAA の対象となるサービスは、Gmail、Google カレンダー、Google ドライブ、Google Vault です。Google Cloud Platform をご利用の場合、Compute Engine、Cloud Storage、Cloud SQL、BigQuery が BAA の対象となります。

Google のサービスは学生や児童が使用するためのプライバシー要件を満たしていますか?

G Suite for Education は 4,000 万人を超える生徒の皆さまにご利用いただいています。G Suite for Education は米国の家庭教育の権利とプライバシーに関する法律(FERPA: Family Educational Rights and Privacy Act)に準拠しており、その遵守義務が契約に含まれています。また、児童オンライン プライバシー保護法(COPPA: Child Online Privacy Protection Act)の要件に基づき、G Suite for Education をご利用の学校に対して、サービスを利用する際に保護者の同意を得ることを契約で義務付けています。これにより、COPPA の各種要件を遵守してサービスをご利用いただけています。

Google のサービスは米国の政府機関でも利用できますか?

米国の政府機関が使用する情報システムの安全性を定めた法律として、FISMA(Federal Information Security Management Act of 2002: 2002 年連邦情報セキュリティ マネージメント法)という連邦法があります。FISMA は、米国政府、または政府に代わる請負業者やその他の組織が使用もしくは運用するすべての情報システムに適用されます。

米国政府が使用するクラウド コンピューティング サービスにおいては、FISMA に代わって FedRAMP(Federal Risk and Authorization Management Program: 米国連邦政府によるリスクおよび認証管理プログラム)という認証制度があります。米国政府が使用するクラウド サービスは、FedRAMP のセキュリティ コンプライアンス基準を満たすことが義務付けられています。

G Suite(G Suite、G Suite for Education、G Suite for Nonprofits、G Suite for Government を含む)と Google App Engine は、FIPS 199 中位影響レベル(非機密扱い情報の標準レベル)で運用する FedRAMP 認証を取得しています。

私の会社では支払いカードデータを扱っており、PCI DSS に準拠する必要があります。コンプライアンスの維持に役立てることのできるツールにはどのようなものがありますか?

支払いカード業界データ セキュリティ基準(PCI DSS: Payment Card Industry Data Security Standard)は、支払いカード情報を保有または処理するシステムについて定義された一連のポリシーと技術要件です。Google Cloud Platform は認定審査機関(QSA)による評価を受け、PCI DSS に準拠していることが証明されています。Google ではコンプライアンスに関する QSA の報告書を基に、アプリケーションのデベロッパーが Google のプラットフォームを使用して、安全でコンプライアンスに準拠した独自のソリューションを作成、運用できることを確認しています。また、G Suite はクレジット カード決済のデータを処理または保管するためのツールではないので、お客様は、クレジット カード情報を含むメールが G Suite から送信されないよう設定することができます。この設定は、PCI DSS コンプライアンスの維持に役立ちます。また Google ドライブでは、監査が実行されるように Vault を設定し、クレジット カード情報が保管されないようにすることができます。

法律やコンプライアンス要件に沿うために利用できる電子情報開示のツールにはどのようなものがありますか?

Google Vault は、電子情報開示やコンプライアンスの要件に沿えるよう組織のメールの保持、アーカイブ、検索、書き出しを行うための、G Suite のアドオン サービスです。完全にウェブベースのサービスであるため、ソフトウェアのインストールやメンテナンスを行う必要がありません。Vault を使用すると次のようなことが可能です。

ITAR の規制下にあるデータを Google のサービスで扱うことはできますか?

ITAR(International Traffic in Arms Regulations: 国際武器取引規則)とは、USML(United States Munitions List: 米国軍需品リスト)に登録されている防衛関連の品目とサービスの輸出入を制限する、米国政府が定める一連の規制です。Google のサービスは、ITAR の規制対象データの取り扱いには対応していません。

Google のクラウド サービスはどのようにして EU の一般データ保護規制(GDPR: General Data Protection Regulation)に準拠していますか?

EU の一般データ保護規則(GDPR: General Data Protection Regulation)は、1995 年に制定された EU データ保護指令(EU Data Protection Directive)に代わるものです。GDPR は、個人の自らに関わるデータに対する権利を強固なものとし、個人データの処理場所にとらわれない、欧州圏内での統一的なデータ保護規則を確立することを目的としています。

Google では、G Suite および Google Cloud Platform の各種サービスが GDPR に準拠するよう対応を行っています。また、長年にわたって Google のサービスや契約に取り入れてきた、堅牢なプライバシーおよびセキュリティ保護機能をお客様に提供することで、お客様の GDPR への準拠をサポートしています。

なお、データ管理者がデータ処理業務を任せられるのは、GDPR で定められたデータ処理方法に従い、技術的かつ組織的に適切な対応を行うことを十分に保証できる人物のみですのでご注意ください。

G Suite と Google Cloud Platform に適用される Google のデータ処理規約には、お客様に対するプライバシー保護の責任が明記されています。Google は数年間にわたり、お客様や規制当局からのご意見に基づいて規約の内容を検討し、GDPR の変更内容に合わせて改定してきました。

詳細については、Google の GDPR に関するサイトをご覧ください。

この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。