コンプライアンス

Google は、世界各国で定められている各種規制に加え、医療や教育などさまざまな業種の規制にも準拠しています。Google のサービスにはお客様がコンプライアンス要件を満たすために必要なツールや管理機能が組み込まれているため、安心してご利用いただけます。

お客様より多数寄せられたご質問の一部を「よくある質問」として下記にまとめ、対応する G Suite セキュリティ サイトをご用意しました。これらの重要な問題に対する Google の考え方をご確認いただくことで、ご不明な点が解消されれば幸いです。なお、個人のお客様向けツールと、個人のお客様のプライバシーに関する情報については、Google のポリシーと規約のページをご覧ください。

不正行為の問題についてご報告いただく場合は、不正行為の報告についての詳細をご覧ください。

G Suite と Google Cloud Platform の安全性はどのように確認したらよいですか?

Google のお客様や規制当局より、Google のセキュリティ、プライバシー、コンプライアンスの管理の内容は独立した機関が検証すべきという要請をいただいています。そのため、Google は独立した第三者機関による複数の監査を定期的に受け、データセンター、インフラ、オペレーションの管理状況を確認してもらっています。具体的には、次の規格について年次監査を受けています。

  • SOC1(SSAE-16、ISAE-3402)- G Suite、Google Compute Engine、Google Cloud Storage、Google App Engine
  • SOC2 - G Suite、Google Compute Engine、Google Cloud Storage、Google App Engine
  • SOC3 - G Suite、Google Compute Engine、Google Cloud Storage、Google App Engine
  • ISO27001 - G Suite、Google Cloud Platform
  • ISO27017 - G Suite、Google Cloud Platform
  • ISO 27018 - G Suite、Google Cloud Platform
  • HIPAA - G Suite、Google Compute Engine、Google Cloud Storage、Google BigQuery、Google Cloud SQL
  • FISMA - Google App Engine、G Suite
  • FEDRAMP - Google App Engine、G Suite
これらの認定書や監査報告書のコピーを入手することはできますか?SOC3 監査報告書はどこでダウンロードできますか?Google の ISO27001 認定書はどこで見ることができますか?

SOC3 報告書は、Google の統制環境が基準を満たしていることを外部の監査機関が証明するもので、Google の受託ビジネスが適切な Trust サービスの原則と基準に準拠していることが報告書としてまとめられています。SOC3 監査報告書はダウンロードしていただくこともできます。ISO27001 認定書は、サービスが ISO/IEC 27001:2005 の規格に合致していることを証明するものです。この認定を受けているのは、G Suite(および G Suite for Education)、Google Cloud Platform、Google+、Google Now、Google アナリティクス、アナリティクス プレミアムの各サービスと、これらのサービスや特定施設が保有または収集するデータです。

Google はどのようにして欧州のデータ保護要件に対応していますか?

Google は欧州に広範な顧客基盤を持つ一方、企業顧客の 50% 以上は米国外を拠点としています。そこで、欧州連合(EU)のデータ保護指令第 29 条作業部会が定めるデータ保護の推奨事項に対応する機能を提供するとともに、契約上の義務を定めています。また、EU モデル契約条項データ処理の修正条項の締結を申し入れています。

データ処理の修正条項を承認するには、次の手順を実施してください。

管理コンソールにログインし、[会社プロフィール] > [プロフィール] をクリックします。

[セキュリティとプライバシーの追加規約] で、[G Suite のデータ処理の修正条項と関連サービス(例: Cloud Identity)の契約] の横にある [確認して同意] をクリックし、[同意する] をクリックします。

[EU モデル契約条項] の横にある [確認して同意] をクリックし、[同意する] をクリックします。

Google で実施しているデータ保護対策については、独立した第三者機関による監査を受け、ISO 27001 認定を取得しています。また、ISO/IEC 27018:2014 の規格に沿ってプライバシー保護を行い、契約上の義務を履行しています。さらに、コンプライアンス対策のための各種設定を用意することで、EU のデータ保護規則にお客様が準拠できるようサポートしています。

EU のデータ保護に関する法律では、個人データを EU や EEA 域内に保管することは義務付けられていませんか?

欧州委員会のデータ保護指令は、1995 年に欧州連合(EU)によって可決された重要なプライバシー立法です。この法律は、個人情報保護の観点から、EU の基準を満たさないデータを EU 域外へ移動することを制限するものです。これに準拠するためには、個人データの取り扱いを EU 域内に限定することも 1 つの方法ですが、欧州委員会が承認しているモデル契約条項などの他のコンプライアンス規制では、データの保管場所を EU 域内に置くことは義務付けられていません。

米国政府についてはどうですか?米国外にデータを保管しても、データに関する米国政府の要求の対象にはなりませんか?

ある国にデータを保管しているからといって、必ずしもそのデータが外国政府からのアクセスを免れるわけではありません。データの保管場所が特定の管轄内にあるので他の管轄はそのデータの開示を強制できない、ということにはなりません。また、世界中の複数の場所でデータセンター間のケーブル回線を直接盗聴する政府の試みが行われているという報告もあります。Google が監視法の改革を提唱しているのはこれが理由です。そのため、Google システムへのアクセス権を政府に提供することや、政府がユーザーデータにアクセスするための機能を設置することは拒否しています。政府からのデータに関する要請に Google がどのように対応しているかについて詳しくは、Google の透明性レポートをご覧ください。

ユーザーのデータはどこに保管されていますか?

お客様のデータは Google のデータセンター ネットワークに保管されます。Google は地理的に分散されたデータセンターを多数運用しています。Google のコンピュータ クラスタは障害許容力と冗長性を考慮して設計されているため、単一障害点は存在せず、一般的な設備故障や環境リスクの影響を最小限に抑えることができます。

医療関係のデータを Google のシステムに保管することはできますか?

G Suite をご利用のお客様には、米国の医療保険の相互運用性と説明責任に関する法律(HIPAA: U.S. Health Insurance Portability and Accountability Act)に準拠していただけるようになっています。HIPAA に準拠する義務のあるお客様が、保護対象の医療情報(PHI: Protected Health Information)を G Suite で扱うことを希望される場合は、Google と業務提携契約(BAA)を締結していただく必要があります。G Suite、G Suite for Education、G Suite for Government の各ドメインの管理者の方は、PHI を Google のサービスで管理するにあたり、BAA の締結を要請してください。BAA の対象となるサービスは、Gmail、Google カレンダー、Google ドライブ、Google Vault です。Google Cloud Platform をご利用の場合、Compute Engine、Cloud Storage、Cloud SQL、BigQuery が BAA 締結の対象となります。

Google のサービスは学生や児童が使用するためのプライバシー要件を満たしていますか?

G Suite for Education は 4,000 万人を超える生徒の皆さまにご利用いただいています。G Suite for Education は米国の家庭教育の権利とプライバシーに関する法律(FERPA: Family Educational Rights and Privacy Act)に準拠しており、その遵守義務が契約に含まれています。また、児童オンライン プライバシー保護法(COPPA: Child Online Privacy Protection Act)の要件に基づき、G Suite for Education をご利用の学校に対して、サービスを利用する際に保護者の同意を得ることを契約で義務付けています。これにより、COPPA の各種要件を遵守してサービスをご利用いただけています。

Google のサービスは米国の政府機関でも利用できますか?

米国の政府機関が使用する情報システムの安全性について定めた法律として、FISMA(Federal Information Security Management Act of 2002: 2002 年連邦情報セキュリティ マネージメント法)という連邦法があります。FISMA は、米国政府、または政府に代わる請負業者やその他の組織が使用もしくは運用するすべての情報システムに適用されます。

米国政府が使用するクラウド コンピューティング サービスについては、FISMA に代わって FedRAMP(Federal Risk and Authorization Management Program: 米国連邦政府によるリスクおよび認証管理プログラム)という認証制度があります。米国政府が使用するクラウド サービスは、FedRAMP のセキュリティ コンプライアンス基準を満たすことが義務付けられています。

G Suite(G Suite、G Suite for Education、G Suite for Nonprofits、G Suite for Government を含む)と Google App Engine は、FIPS 199 中位影響レベル(非機密扱い情報の標準レベル)で運用する FedRAMP 認証を取得しています。

私の会社では支払いカードデータを扱っており、PCI DSS に準拠する必要があります。コンプライアンスの維持に役立てることのできるツールにはどのようなものがありますか?

支払いカード業界データ セキュリティ基準(PCI DSS: Payment Card Industry Data Security Standard)は、支払いカード情報を保有または処理するシステムについて定義された一連のポリシーと技術要件です。Google Cloud Platform は認定審査機関(QSA)による評価を受け、PCI DSS に準拠していることが証明されています。Google ではコンプライアンスに関する QSA の報告書を基に、アプリケーションのデベロッパーが Google のプラットフォームを使用して、安全でコンプライアンスに準拠した独自のソリューションを作成、運用できることを確認しています。また、G Suite はクレジット カード決済のデータを処理または保管するためのツールではないため、お客様はクレジット カード情報を含むメールが G Suite から送信されないように設定することができます。この設定は、PCI DSS の遵守に役立ちます。また Google ドライブでは、監査が実行されるように Vault を設定し、クレジット カード情報が保管されないようにすることが可能です。

法律やコンプライアンス要件に沿うために利用できる電子情報開示のツールにはどのようなものがありますか?

Google Vault は、電子情報開示やコンプライアンスの要件に沿えるように、組織のメールの保持、アーカイブ、検索、書き出しを行うための G Suite のアドオン サービスです。完全にウェブベースのサービスであるため、ソフトウェアのインストールやメンテナンスを行う必要がありません。Vault を使用すると、次のようなことが可能になります。

ITAR の規制下にあるデータを Google のサービスで扱うことはできますか?

ITAR(International Traffic in Arms Regulations: 国際武器取引規則)とは、USML(United States Munitions List: 米国軍需品リスト)に登録されている防衛関連の品目とサービスの輸出入を制限する、米国政府が定める一連の規制です。Google のサービスは、ITAR の規制対象データの取り扱いには対応していません。

Google のクラウド サービスはどのようにして EU の一般データ保護規則(GDPR)に準拠していますか?

EU の GDPR は、1995 年に制定された EU データ保護指令に代わるものです。GDPR は、個人の自らに関わるデータに対する権利を強固なものとし、個人データが処理される場所を問わず、欧州圏内での統一的なデータ保護規則を確立することを目的としています。

Google では、G Suite および Google Cloud Platform の各種サービスが GDPR に準拠するよう対応を行っています。また、長年にわたって Google のサービスや契約に取り入れてきた堅牢なプライバシーおよびセキュリティ保護機能をお客様に提供することで、お客様の GDPR への準拠をサポートしています。

なお、データ管理者がデータ処理業務を任せられるのは、GDPR で定められたデータ処理方法に従い、技術的かつ組織的に適切な対応を行うことを十分に保証できるデータ処理業者のみです。

G Suite と Google Cloud Platform に適用される Google のデータ処理規約には、お客様に対するプライバシー保護の責任が明記されています。Google は数年間にわたり、お客様や規制当局からのご意見に基づいて規約の内容を検討し、GDPR の変更内容に合わせて改定してきました。

詳細については、Google の GDPR に関するサイトをご覧ください。

G Suite と一般ユーザー向けバージョンのアプリの違いは何ですか?

G Suite サービスは、G Suite 利用規約およびデータ処理の修正条項に基づいて、Google によって組織に提供されます。一方、一般ユーザー向けアプリは、Google 利用規約および Google プライバシー ポリシーに基づいて、Google によってエンドユーザーに直接提供されます。G Suite アプリと一般ユーザー向けバージョンのアプリには、特長や機能に共通の部分が多くあります。G Suite サービスには管理機能があり、ドメインで利用するアプリのセキュリティやプライバシーの設定を管理者が調節することができます。

Google では、一般ユーザー向けバージョンのアプリに対して、G Suite のデータ処理の修正条項を提供していますか?

いいえ。G Suite のデータ処理規約(データ処理の修正条項モデル契約条項を含む)は、G Suite を使用するお客様にのみ適用されます。一般ユーザー向けバージョンのアプリは、Google 利用規約およびプライバシー ポリシーに基づいて提供されます。

お客様に課されるプライバシーとデータ保護に関する具体的な義務や、貴社のコンプライアンス要件に適したモデルについては、弁護士に確認されることをおすすめいたします。

この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。