Google は、世界各国で定められている各種規制に加え、医療や教育などさまざまな業種の規制の遵守にも注力しています。Google のサービスにはお客様がコンプライアンス要件を満たすために必要なツールや管理機能が組み込まれているため、安心してご利用いただけます。
お客様より多数寄せられたご質問の一部を「よくある質問」として下記にまとめ、対応する Google Workspace セキュリティ サイトをご用意しました。なお、個人のお客様のプライバシーに関するツールや情報については、Google のポリシーと規約のページをご覧ください。
不正行為の問題についてご報告いただく場合は、不正行為の報告をご覧ください。
Google Workspace と Google Cloud Platform のセキュリティを確認するにはどうすればよいですか?Google のお客様と規制当局より、Google のセキュリティ、プライバシー、コンプライアンスの管理の内容は、独立した機関が検証すべきという要請をいただいています。そのため、Google は独立した第三者機関による複数の監査を定期的に受け、データセンター、インフラ、オペレーションの管理状況を確認してもらっています。具体的には、次の規格について年次監査を受けています。
- SOC1™(SSAE-18 / ISAE-3402)- Google Workspace および Google Cloud Platform
- SOC2™ - Google Workspace および Google Cloud Platform
- SOC3™ - Google Workspace および Google Cloud Platform
- ISO27001 - Google Workspace および Google Cloud Platform
- ISO27017 - Google Workspace および Google Cloud Platform
- ISO27018 - Google Workspace および Google Cloud Platform
- ISO27701 - Google Workspace および Google Cloud Platform
- HIPAA - Google Workspace および Google Cloud Platform
- FedRAMP - Google Workspace および Google Cloud Platform
SOC3 報告書は、Google の統制環境が基準を満たしていることを外部の監査機関が証明するもので、Google の受託ビジネスが適切な Trust サービスの原則と基準に準拠していることが報告書としてまとめられています。
ISO27001 認定書は、ISO/IEC 27001:2013 標準の規格への準拠を証明するものです。この認定を受けているのは、Google Workspace(および Google Workspace for Education)、Google Cloud Platform、Google Plus、Google Now、Google アナリティクス、アナリティクス プレミアムの各サービスと、こうしたサービスや特定施設が保有または収集するデータです。
コンプライアンス レポートのコピーは、アカウントにログインして Compliance Reports Manager から入手できます。
Google は欧州でも多数のお客様にご利用いただいております。企業のお客様の 50% 以上は米国外を拠点とされています。そこで、データ保護に関する適用法を遵守するための機能を提供するとともに、契約上の義務を定めています。Google Workspace と Google Cloud については Cloud のデータ処理に関する追加条項(CDPA)を設けています。
Google で実施しているデータ保護対策については、独立した第三者機関による監査を受け、ISO 27001 認定を取得しています。また、ISO/IEC 27018:2014 の規格に沿ってプライバシー保護を行い、契約上の義務を履行していることの検証を受けています。さらに、コンプライアンス対策のための各種設定を用意することで、EU のデータ保護規則をお客様が遵守できるようサポートしています。
EU の一般データ保護規則(GDPR)は欧州経済領域(EEA)の居住者の個人データを保護するものであり、「適切な」データ保護を提供していると認められていない EEA 以外の国への個人データ移転は限られた条件下でのみ許可されます。英国の GDPR とスイス連邦データ保護法は、これに類似した制限を課しています。承認を受けた標準契約条項(SCC)の使用は、このような制限を遵守するための手段のひとつです。
Google Cloud では、Cloud のデータ処理に関する追加条項(CDPA)とデータ処理およびセキュリティ規約(DPST)に SCC が組み込まれています。移転の代替手段がない場合、SCC によって欧州、中東、アフリカ(EMEA)のお客様の個人データが自動的に保護されます。EMEA 以外のお客様は、(移転の代替手段がない場合に)自社データに SCC が適用されるようにするには、欧州のデータ保護法の適用対象であることを管理コンソールから証明する必要があります。
特定の国以外にデータを保管しているからといって、必ずしも政府によるアクセスを免れるわけではありません。政府は国境を越えて情報の開示を強制できる可能性があるためです。Google が監視法の改革を提唱しているのはこれが理由です。Google は、政府が Google のシステムにアクセスすることや、ユーザーデータへのアクセスを可能にするような機器を設置することを許可していません。データに関する政府の要請への対応方法について詳しくは、Google Cloud でのデータの越境移転に対する安全保護対策のホワイトペーパーと、Google の透明性レポートをご覧ください。
お客様のデータは Google のデータセンター ネットワークに保管されます。Google は地理的に分散されたデータセンターを多数運用しています。Google のコンピュータ クラスタはレジリエンスと冗長性を考慮して設計されているため、単一障害点は存在せず、一般的な設備故障や環境リスクの影響を最小限に抑えることができます。
Google Workspace は、お客様の HIPAA(1996 年に米国で制定された医療保険の相互運用性と説明責任に関する法律)遵守を支援します。HIPAA を遵守する義務のあるお客様が、保護対象保健情報(PHI)を Google Workspace で扱うことを希望される場合は、Google と業務提携契約(BAA)を締結していただく必要があります。Google Workspace、Google Workspace for Education、政府および行政機関向け Google Workspace を使用している組織の管理者は、Google サービスで PHI を取り扱う前に BAA をリクエストすることができます。HIPAA 対応の Google Workspace 機能のリストについては、こちらをご覧ください。
Google Workspace for Education は数多くの生徒や児童の皆さまにご利用いただいています。Google Workspace for Education は米国の家庭教育の権利とプライバシーに関する法律(FERPA: Family Educational Rights and Privacy Act)を遵守しており、その遵守義務が契約に含まれています。また、児童オンライン プライバシー保護法(COPPA: Children's Online Privacy Protection Act)の要件に基づき、Google Workspace for Education をご利用の学校に対して、サービスを利用する際に保護者の同意を得ることを契約で義務付けています。これにより、COPPA の各種要件を遵守してサービスをご利用いただいています。
米国の政府機関が使用する情報システムの安全性について定めた法律として、FISMA(Federal Information Security Management Act of 2002: 2002 年連邦情報セキュリティ マネージメント法)という連邦法があります。FISMA は、米国政府、または政府に代わる請負業者やその他の組織が使用もしくは運用するすべての情報システムに適用されます。
米国政府が使用するクラウド コンピューティング サービスについては、FISMA に代わって FedRAMP(Federal Risk and Authorization Management Program: 米国連邦政府によるリスクおよび認証管理プログラム)という認証制度があります。米国政府が使用するクラウド サービスは、FedRAMP のセキュリティ コンプライアンス基準を満たすことが義務付けられています。
Google Workspace(Google Workspace、Google Workspace for Education、非営利団体向け Google Workspace、政府および行政機関向け Google Workspace、Google App Engine を含む)は、FIPS 199 中規模影響レベル(管理対象非機密情報の標準レベル)で FedRAMP Authorization to Operate(ATO)を取得しています。
支払いカード業界データ セキュリティ基準(PCI DSS: Payment Card Industry Data Security Standard)は、支払いカード情報を保有または処理するシステムについて定義した一連のポリシーと技術要件です。Google Cloud Platform は認定審査機関(QSA)による評価を受け、PCI DSS に準拠していることが証明されています。Google ではコンプライアンスに関する QSA の報告書を基に、アプリケーションのデベロッパーが Google のプラットフォームを使用して、安全でコンプライアンスを満たした独自のソリューションを作成、運用できることを確認しています。また、Google Workspace はクレジット カード決済のデータを処理または保管するためのツールではないので、お客様は、クレジット カード情報を含むメールが Google Workspace から送信されないよう設定することができます。この設定は、PCI DSS への準拠に役立ちます。
Google Cloud Platform は年に 1 回、第三者監査を実施し、PCI DSS に照らして個々のプロダクトの認証を受けています。こうしたサービスによって、カード所有者のデータを保存、処理、送信する独自のサービスまたはアプリケーションをお客様が構築するためのインフラストラクチャが提供されます。とはいえ、お客様はご自身のアプリケーションが PCI DSS に確実に準拠するようにする責務を負っていることに注意する必要があります。Google Cloud Platform を使用してアプリケーションに PCI DSS を実装する方法については、PCI データ セキュリティ基準への準拠をご覧ください。
Google Vault は、電子情報開示やコンプライアンスの要件を満たせるように、組織のメールの保持、アーカイブ、検索、書き出しを行うための Google Workspace のアドオン サービスです。完全にウェブベースのサービスであるため、ソフトウェアのインストールやメンテナンスを行う必要がありません。Vault を使用すると、次のようなことが可能になります。
- 必要な期間データを保管する。
- 不要になったデータを削除する。
- 必要とするデータの検索、記録保持(リティゲーション ホールド)、書き出しを行う。
詳しくは、Google Vault とはをご覧ください。
ITAR(International Traffic in Arms Regulations: 国際武器取引規則)とは、USML(United States Munitions List: 米国軍需品リスト)に登録されている防衛関連の品目とサービスの輸出入を制限する、米国政府が定める一連の規制です。Google のサービスは、ITAR の規制対象データの取り扱いには対応していません。
GDPR は複雑な法律です。Google Cloud の GDPR への取り組みについて詳しくは、Google Cloud と一般データ保護規則(GDPR)のリソースをご覧ください。GDPR によって課されるデータ移転の制限に関して、Google Cloud は CDPA と DPST に標準契約条項(SCC)を規定しています。移転の代替手段がない場合、SCC によって欧州、中東、アフリカ(EMEA)のお客様の個人データが自動的に保護されます。EMEA 以外のお客様については、欧州のデータ保護法の適用対象であることを Google 管理コンソールからご証明いただければ、SCC によって個人データが保護されます。
Google Workspace サービスは、Google Workspace 利用規約および Cloud のデータ処理に関する追加条項に基づいて、Google によって組織に提供されます。一方、一般ユーザー向けアプリは、Google 利用規約および Google プライバシー ポリシーに基づいて、Google によってエンドユーザーに直接提供されます。Google Workspace アプリと一般ユーザー向けアプリには特長や機能に共通の部分が多くありますが、Google Workspace サービスには管理機能も備わり、組織で利用するアプリのセキュリティやプライバシーの設定を管理者が調節できるという特色があります。
いいえ。Google Cloud データ処理に関する追加条項(組み込まれた標準契約条項を含む)は、Google Workspace を使用するお客様のみご利用いただけます。一般ユーザー向けの Google Workspace アプリは、Google 利用規約およびプライバシー ポリシーに基づいて提供されています。
お客様に課されるプライバシーとデータ保護に関する具体的な義務や、貴社のコンプライアンス要件に適したモデルについては、弁護士に確認されることをおすすめいたします。
Google は、デフォルトでセキュリティが確保され、プライバシーを重視した設計を備え、ユーザーが完全に制御できるプロダクトの構築に取り組んでいます。また、Google のポリシーでは同意年齢に満たないお子様が通常の Google アカウントを作成することは認められていないものの、Google は設計に力を入れることで、特にお子様と家族を対象にプロダクト エクスペリエンスの充実を図って参りました。
Age Appropriate Design Code(AADC)など、お子様のプライバシーを重視した規制に関する義務については、弁護士と協力して評価することをおすすめします。
Google Workspace Business および Google Workspace Enterprise アカウントの場合、AADC をドメイン内の任意のユーザーに適用するかどうかは、ドメイン管理者の判断に任されます。AADC を適用する場合、18 歳未満のユーザーに対しては、追加サービスをすべて無効にすることをおすすめします。これは、Google Workspace Business プランと Google Workspace Enterprise プランがビジネス アカウントであるためです。ビジネス アカウント経由でアクセスする追加サービスには、現在のところお子様向けのプライバシー保護機能は含まれていません。Google Workspace for Education アカウントでは、Google Workspace for Education ドメインに年齢ベースのアクセス設定が適用されています(詳しくは、Google サービスへのアクセスを年齢で制御するをご覧ください)。