Google Cloud と一般データ保護規則(GDPR)
一般データ保護規則(GDPR)は、2018 年 5 月 25 日に施行された、1995 年 10 月 24 日のデータ保護に関する 95/46/EC 指令に代わるプライバシー法です。 GDPR では、ヨーロッパで設立された企業や組織、またはヨーロッパのユーザーにサービスを提供する企業や組織に求められる具体的な要件が規定されています。つまり、
- 企業による個人データの収集、使用、保管方法を規制します。
- 現行の文書化要件と報告要件をベースとしてアカウンタビリティを向上させます。
- 要件を遵守しない企業に罰金を科します。
Google は Google Cloud において、お客様の個人データのセキュリティとプライバシーを優先順位付けして改善するイニシアチブを支持しており、Google Cloud のお客様が GDPR の要件に照らして Google のサービスを安心して使用できるよう努めています。Google Cloud と提携していただいたお客様に対しては、以下の形で GDPR の遵守を支援します。
- Google Cloud および Google Workspace のすべてのサービスにおけるお客様の個人データの処理に関して、GDPR を遵守するという契約を確実に果たす
- 特に機密性の高い個人データの保護を強化する追加のセキュリティ機能を提供する
- お客様が実施する Google サービスのプライバシー評価を支援するためにドキュメントとリソースを提供する
- 規制状況の変化に合わせて、お客様に提供する機能 / 能力を継続的に進化させる
Google Workspace および Google Cloud における GDPR へのコミットメント
データ管理者は、適切な技術的および組織的措置を取ったデータ プロセッサを使用する必要があります。Google Cloud の GDPR 評価を実施する際は、次の点を考慮してください。
エキスパートの知識、信頼性、リソース
データ保護の専門知識
Google のセキュリティとプライバシーは、情報、アプリケーション、ネットワークのセキュリティに精通した世界有数のエキスパートのチームによって守られています。このエキスパート チームは Google の防御システムの運用、セキュリティ レビュー プロセスの開発、より強固なセキュリティ インフラストラクチャの構築、Google のセキュリティ ポリシーの厳密な適用などを任されています。
また、Google は Google Cloud のプライバシーとセキュリティ遵守の管理にあたる弁護士団、規制遵守のエキスパート、公共政策の専門家から成るチームも編成しています。
このようなチームがお客様、業界関係者、監督当局と連携して、Google Workspace および Google Cloud Platform のサービスがお客様の規制遵守のニーズを確実に満たせるよう取り組んでいます。
データ保護責任
データ処理契約
Google Workspace と Google Cloud のデータ処理契約には、お客様に対するプライバシー保護の責任が明記されています。これらの規約は、お客様や規制当局からのフィードバックを基に数年の歳月をかけて練り上げたものです。
GDPR を反映するため、またお客様が Google Cloud サービスを使用する際の遵守の評価と GDPR への対応準備を容易にするため、Google は規約を更新しました。詳しくは、Google Workspace のデータ処理の修正条項、Google Workspace EU 標準契約条項、Google Cloud のデータ処理およびセキュリティ規約、Google Cloud EU 標準契約条項(SCC)をご覧ください。
お客様は、オプトイン プロセスを通じて新しいデータ処理規約に移行できます。Google Workspace のデータ処理の修正条項と Google Cloud のデータ処理およびセキュリティ規約をご覧ください。
指示に基づく処理
お客様とお客様のユーザーが Google システムに送信するデータは、GDPR を反映した新しいデータ処理契約に準じ、お客様の指示に従ってのみ処理されます。
従業員の機密保持義務
すべての Google 社員には、機密保持契約の締結、機密性保持とプライバシーに関する必須トレーニング、および行動規範トレーニングの受講が義務付けられています。Google の行動規範には、情報の保護に関する責任と、それに伴って期待される行動が明記されています。
復処理者の利用
Google グループ各社では、Google Workspace および Google Cloud サービスの提供に必要なデータ処理活動の大半を直接的に実施しています。一方で、これらのサービスのサポートにおいてサードパーティ ベンダーと提携することもあります。各ベンダーは、必要となる専門技術を有していること、そして適切なセキュリティおよびプライバシー レベルを提供できることを条件に、厳密な選考手続きを経て選ばれています。
Google は、Google Workspace および Google Cloud サービスをサポートする Google グループの復処理者と、これらのサービスに関与するサードパーティの復処理者についての情報を公開しています。Google Workspace の復処理者の詳細についてはこちらを、Google Cloud の復処理者の詳細についてはこちらをご覧ください。また、Google のデータ処理契約には復処理者に関するコミットメントも含まれています。
サービスのセキュリティ
GDPR では、リスクに応じた適切なセキュリティ レベルを提供できるように技術的および組織的な措置を講じることが義務付けられています。
Google は、情報処理サイクル全体を通して最先端のセキュリティを提供するグローバル インフラストラクチャを運用しています。このインフラストラクチャは、サービスのデプロイにおけるセキュリティ、データ ストレージのセキュリティ(およびエンドユーザーのプライバシー保護)、サービス間の通信のセキュリティ、インターネット経由でのお客様との通信における機密性とセキュリティ、管理者による安全な運用を提供する目的で構築されています。Google Workspace と Google Cloud は、このインフラストラクチャで実行されます。
Google のインフラストラクチャのセキュリティは、データセンターの物理的なセキュリティから、ハードウェアやソフトウェアのセキュリティ保護、そして運用のセキュリティをサポートするプロセスまでが階層型で設計されています。このような階層型の保護により、どのような処理に対しても強固なセキュリティ基盤が提供されます。インフラストラクチャ セキュリティについて詳しくは、Google インフラストラクチャのセキュリティ設計の概要をご覧ください。
可用性、整合性、レジリエンス
Google のプラットフォームの構成要素は、冗長性に優れた設計になっています。Google のデータセンターは地理的に分散されているため、ある地域で自然災害や局地的な停電などが生じてグローバルなプロダクトが使用できなくなっても、その影響は最小限に抑えられます。ハードウェア、ソフトウェア、ネットワークの障害が発生しても、サービスは自動的かつ瞬時に別の施設に切り替わるため、オペレーションは中断されずに継続されます。冗長性の高いインフラストラクチャにより、お客様をデータ損失から保護します。
機器のテストとセキュリティ
Google はバーコードとアセットタグを使用して、データセンターの機器を取得から設置、廃用、破壊までステータスと場所を追跡します。ライフサイクル中に性能試験に合格しなかったコンポーネントは、在庫から除外され、廃棄されます。Google のハードドライブは、フルディスク暗号化(FDE)やドライブロックなどのテクノロジーを活用して保存データを保護します。
障害復旧のテスト
Google は、インフラストラクチャ チームとアプリケーション チームがコミュニケーション計画やフェイルオーバー シナリオ、オペレーション移行、その他の緊急対策を共通した手順で実施できるように、障害復旧テストを毎年実施しています。障害復旧訓練に参加するすべてのチームがテスト計画を策定し、テストの結果とそこから得た知見を分析する事後検証を行います。
暗号化
Google は、暗号化を使用して転送中のデータと保存中のデータを保護しています。Google Workspace のリージョン間で転送されるデータは HTTPS を使用して保護されます。HTTPS はデフォルトですべてのユーザーに対して有効です。Google Workspace と Google Cloud サービスでは、1 つ以上の暗号化メカニズムを使用して、保存されているお客様のコンテンツを暗号化しています。お客様による操作は必要ありません。データの暗号化の方法について詳しくは、Workspace の暗号化に関するホワイトペーパー、移動中と保存時の Google Cloud の暗号化をご覧ください。
アクセス制御
Google 社員に対するアクセス権やアクセスレベルは、職務や役割に基づいて付与されており、責務に対して必要なアクセス権が、最小権限および need to know(知る必要がある人にのみ知らせる)原則に則して与えられています。追加のアクセス権を得るには、Google のセキュリティ ポリシーに従い、データまたはシステムのオーナー、マネージャー、他のエグゼクティブなどへのリクエストとその承認による正式な手順を踏む必要があります。Google Cloud システムとインフラストラクチャのコンポーネントを収納するデータセンターは物理的なアクセス制限の対象となり、24 時間年中無休のセキュリティ要員、セキュリティ ガード、アクセスバッジ、生体認証識別メカニズム、物理的な鍵、施設の内部と外部のビデオカメラによる監視が使用されています。
インシデント管理
Google にはお客様のデータのセキュリティとプライバシーを担当する専任のセキュリティ チームが存在しており、全世界におけるセキュリティ管理を毎日 24 時間、年中無休体制で実施しています。このチームの要員はインシデントに関連する通知を受け取り、24 時間年中無休で緊急事態の解決に当たっています。インシデント対応ポリシーが規定され、重要なインシデントを解決するための手順が文書化されています。これらのイベントからの情報は、将来のインシデントを防止するために使用され、情報セキュリティ トレーニングの例としても使用できます。Google のインシデント管理プロセスと対応ワークフローは文書化されています。Google のインシデント管理プロセスは、Google の ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 27001、PCI-DSS1、SOC 2、FedRAMP プログラムの一部として定期的にテストが行われており、Google のお客様と規制当局に Google のセキュリティ、プライバシー、コンプライアンスの制御についての独立機関による検証結果を提供しています。Google のインシデント対応プロセスの詳細については、データ インシデント対応プロセスに関するホワイトペーパーをご覧ください。
脆弱性の管理
Google は、市販ツールと社内で開発された専用のツール、自動および手動による集中的な侵入テスト、品質管理プロセス、ソフトウェア セキュリティ レビュー、外部監査を組み合わせ、ソフトウェアの脆弱性をスキャンしています。また、Google は広範なセキュリティ研究コミュニティとも連携しており、Google Workspace、Google Cloud、その他の Google プロダクトの脆弱性を発見するため、このような提携を重視しています。Google の脆弱性報奨金プログラムでは、お客様のデータを危機にさらす可能性のある設計上および実装上の問題点を報告するよう、研究者に呼びかけています。
プロダクトのセキュリティ: Google Workspace
Google Workspace のお客様は、個人データを無許可の処理や不正な処理からさらに保護するため、次のようなプロダクトの機能や構成を活用できます。
Google Workspace コアサービスには、Gmail、Google 管理コンソール、カレンダー、ドライブ、ドキュメント、Keep、Google サイト、Jamboard、ハングアウト、Chat、Meet、Cloud Search、Google グループが含まれ、設定を構成可能で、組織のデータのセキュリティ保護、使用、アクセスが組織に固有の要件に従って行われていることを保証するため役立ちます。2 段階認証プロセスを導入すると、ユーザーのログイン時に身元が追加確認されるため、不正アクセスのリスクが低減します。セキュリティ キーを適用すると、物理的なキーの使用が必須となり、ユーザー アカウントのセキュリティがさらに強化されます。高度な保護機能プログラムは、オンライン攻撃の対象となるリスクからユーザーを保護するための、Google が提供する最も強力な保護機能です。不審なログインのモニタリングは、強力な機械学習機能を使用して不審なログインを検出します。メールのセキュリティを強化するため、メールに対して Secure/Multipurpose Internet Mail Extensions(S/MIME)を使用した署名と暗号化を必須にできます。暗号化: Google Workspace のお客様のデータはディスク上、バックアップ メディアへの保存時、インターネットでの転送時、データセンター間の移動時に暗号化されます。データ損失防止(DLP)とは、Gmail や Google ドライブの機密情報が不正に共有されないように保護する機能です。高度なフィッシングおよびマルウェア保護は、信頼できない送信者から送られた疑わしい添付ファイルやスクリプト、および悪意のリンクや画像からの保護を行います。Google ドライブの Information Rights Management では、高度な共有メニューからファイルをダウンロード、印刷、コピーできないようにし、ファイル アクセスに有効期限を設定できます。エンドポイント管理は継続的なシステム モニタリングを行い、デバイスで疑わしいアクティビティが行われた場合はアラートを発します。アラート センターでは、Google Workspace 全体の重要な通知、アラート、アクションを参照できます。管理者は、このような潜在的なアラートに関する分析情報をもとに、組織がセキュリティに関する脅威にどの程度さらされているのかを評価できます。セキュリティ センターは、セキュリティ分析、ベスト プラクティスの推奨、統合された修正を組み合わせ、組織のデータ、デバイス、ユーザーを保護します。外部とのファイル共有、スパム、組織内のユーザーを対象としたマルウェアを把握できるようにし、調査ツールを使用して統合された修正を行えます。コンテキストアウェア アクセスを使用すると、ユーザーの ID とリクエストのコンテキストに応じて Google Workspace アプリのアクセスを細かく制御できます。Google Vault を使用すると、組織のメール、Google ドライブに保存されたファイルの内容、オフレコが解除されているチャットを保持、アーカイブ、検索、エクスポートできます。これは電子情報開示やコンプライアンスのニーズに役立ちます。 アプリのアクセス制御は、OAuth 2.0 を使用して Google Workspace サービスへのアクセスを制御します。組織は、どのサードパーティおよび社内アプリが Google Workspace データにアクセスできるかを制御でき、すでに使用されているサードパーティ アプリについて詳細を確認できます。データ リージョンでは、データ リージョン ポリシーを使用することで、対象データをどの地域に保管するかを指定できます。 アクセスの透明性を使用すると、Google 要員がユーザー アカウントにアクセスするとき行ったアクションのログをレビューできます。
詳しくは、https://workspace.google.com/security をご覧ください。
プロダクトのセキュリティ: Google Cloud
Google Cloud のお客様は、製品の機能と構成を活用して、不正または違法な処理から個人データをさらに保護できます。
リージョン間の移送時の暗号化は GCP ではデフォルトで適用され、送信前のリクエストの暗号化と、Transport Layer Security(TLS)プロトコルを使用して元データを保護するために使用されます。データが Google Cloud に転送されて保存されると、Google Cloud はデフォルトで保存データの暗号化を適用します。2 段階認証プロセスにより、ログイン時に追加の本人確認をユーザーに求めることで、不正アクセスのリスクが低減します。セキュリティ キーの使用を必須にすると、物理的なキーの使用を義務付けられるため、ユーザー アカウントのセキュリティがさらに強化されます。Cloud Identity and Access Management(Cloud IAM)では、Google Cloud リソース向けにきめ細かいアクセス権や変更権限を作成し、それを管理できます。Data Loss Prevention API は、特別なカテゴリの個人を特定し、その処理をモニタリングして、適切な制御を実装します。Cloud Logging および Cloud Monitoring は、ロギング、モニタリング、アラート、異常検出のシステムを Google Cloud に統合します。 Cloud Identity-Aware Proxy(Cloud IAP)は、Google Cloud Platform で実行されるクラウド アプリケーションへのアクセスを制御します。Cloud Security Scanner は、Google App Engine アプリケーションの一般的な脆弱性をスキャンして検出します。VPC Service Controls により、機密性の高いデータを保存するサービスの境界保護が行われ、サービスレベルでのデータ分割が可能になります。Cloud KMS と HSM により、FIPS 140-2 Level 3 認定済みのハードウェア セキュリティ モジュール(HSM)のクラスタ内から、暗号鍵と暗号オペレーションを管理できます。KMS により、お客様はコンプライアンスの要件を満たすため、必要に応じて Google またはお客様の管理する暗号鍵を使用できます。Cloud Security Command Center をにより、お客様はクラウド アセットのインベントリの表示およびモニタリング、ストレージ システムでの機密データのスキャン、一般的なウェブ脆弱性の検出、自社の重要なリソースへのアクセス権のレビューを、一元化された単一のダッシュボードから行うことができます。Access Approval により、Google によるデータアクセスの前に Google の管理者がお客様の明示的な承認を得ることを義務付けられます。この手続きは、アクセス リクエストをメール、Cloud Pub/Sub メッセージ、または両方でお客様に送信し、お客様が承認することで行われます。メッセージ内の情報を使用して、お客様は Google Cloud コンソールまたは Access Approval API を使用してアクセスを承認できます。
詳しくは、https://cloud.google.com/security/ をご覧ください。
1 Google Cloud のみ。
データの保持と削除
管理者は契約の期間中いつでも、Google Workspace または Google Cloud サービス(詳細については、Google Cloud のドキュメントをご覧ください)の機能を通じて顧客データをエクスポートできます。Google のデータ処理規約には数年前からデータ エクスポートへのコミットメントが含まれており、今後も Google のデータ エクスポート機能を強化し、お客様が顧客データのコピーを Google Workspace および Google Cloud サービスからより簡単にダウンロードできるようにしていきます。
また、顧客データはいつでも Google Workspace または Google Cloud サービスの機能を通じて削除できます。Google は、データの完全な削除の指示をお客様から受け取った時点(たとえば、削除したメールを「ゴミ箱」から復元できなくなった時点)から遅くとも 180 日以内に、関連する顧客データをすべてのシステムから削除します。ただし、保持義務が適用される場合はこの限りではありません。
データ管理者の支援
データ主体の権利
データ管理者は、Google Workspace および Google Cloud の管理コンソールとサービス機能を利用し、データ管理者とそのユーザーが Google システムに送信したデータへのアクセス、修正、処理の制限、削除を行えます。 この機能により、データ主体から GDPR に基づく権利行使の要求があった場合に、その義務を遂行できます。
データ保護チーム
Google は、Google LLC とその子会社向けに、GDPR の対象となるデータ処理(Google Cloud プロダクトやサービスの一部を含む)を扱うデータ保護オフィサー(DPO)を指定しています。Google のデータ保護オフィサーは Kristie Chon Flynn です。Kristie Chon Flynn の拠点は米国サニーベールです。
Google Cloud プロダクトでは、必要に応じてデータ保護に関する問い合わせに対応するチームが指定されています。これらのチームと連絡を取る方法は関連契約書に記載されています。Google Workspace の場合、Cloud データ保護チームに連絡を取るには、お客様の管理者が管理者アカウントにログインした状態で https://support.google.com/a/contact/googlecloud_dpr から連絡します。または、適用される契約の記載に従って Google に通知することで直接連絡することもできます。Google Cloud の場合、https://support.google.com/cloud/contact/dpo でチームに連絡できます。
インシデント通知
Google Workspace と Google Cloud は、長年にわたってインシデント通知に関する契約責任を果たしてきました。Google は今後も引き続き、顧客データに関するインシデントが発生した場合、Google の現在の契約のデータ インシデント条項に沿って速やかに通知を行います。
データの越境移転
GDPR では、EU 域外への個人データの移転を簡便化するメカニズムが提供されます。このメカニズムには個人データを域外に転送するに際し、十分な保護を提供していること、および適切な安全保護対策を講じていることを確認するという目的があります。
十分な保護が提供されているかどうかは、日本の個人情報の保護に関する法律(APPI)およびスイスのデータ保護法などをサポートする十分性認定によって確認できます。
十分性認定の対象外である EU 域外の諸国に個人データが転送される場合、Google は自社のデータ処理契約に従い、このような転送を GDPR の要求に基づいて行えるようにするメカニズムを維持します。 Google のモデル契約条項は、2017 年に欧州データ保護機関から適合確認を受けています。つまり、Google Workspace と Google Cloud の契約責任は、EU 域内から、十分な保護を提供していない域外の諸国へ個人データを転送するための法的枠組みとしての要件を満たしていることが認定されています。
規格と認証
Google のお客様や規制当局は、セキュリティやプライバシー、コンプライアンスに対する監査が独立した機関によって実施されることを求めています。Google Workspace と Google Cloud は、これに対する第三者による監査を定期的に受け、この保証を提供しています。
ISO/IEC 27001(情報セキュリティ管理)
ISO/IEC 27001 は、世界的に広く認められている独立したセキュリティ規格です。Google は、共有の Common Infrastructure および Google Workspace と Google Cloud の各プロダクトを構成するシステム、アプリケーション、人、技術、プロセス、データセンターについて ISO/IEC 27001 認証を受けています。これらの認証には、Compliance Reports Manager でアクセスできます。
ISO/IEC 27017(クラウド セキュリティ)
ISO/IEC 27017 は、ISO/IEC 27002 に基づく情報セキュリティ管理の実践方法を、クラウド サービスに特化して定めた国際規格です。Google は、Google Workspace と Google Cloud の ISO/IEC 27017 に準拠していると認定されています。これらの認証には、Compliance Reports Manager でアクセスできます。
ISO/IEC 27018(クラウド プライバシー)
ISO/IEC 27018 は、パブリック クラウド サービスで個人情報(PII)を保護する方法を定めた国際規格です。Google は、Google Workspace と Google Cloud について ISO/IEC 27018 認証を受けています。これらの認証には、Compliance Reports Manager でアクセスできます。
ISO/IEC 27701(プライバシー情報の管理)
ISO/IEC 27701 は、個人情報(PII)の収集と処理に焦点を当てた、プライバシーに関する国際規格です。この規格は、ISO/IEC 27001 と ISO/IEC 27002 の要件を、データのプライバシーを含めるよう拡張したものです。Google は Google Workspace と Google Cloud の両方について、PII データ処理者として ISO/IEC 27701 認定を受けています。これらの認証には、Compliance Reports Manager でアクセスできます。
SSAE18 / ISAE 3402(SOC 2 / 3)
American Institute of Certified Public Accountants(AICPA: 米国公認会計士協会)の SOC 2(Service Organization Controls)と SOC 3 は、信頼の原則と、セキュリティ、可用性、処理の整合性、機密性保持の基準を定めた監査フレームワークです。Google は、Google Workspace と Google Cloud について SOC 2 と SOC 3 の両方の保証報告書を取得しています。これらの認証には、Compliance Reports Manager でアクセスできます。
第 28 条に基づく Google Cloud の評価
GDPR の第 28 条は、データ管理者の代わりにデータを処理するデータ処理者の要件を規定しています。Google の利用規約がこれらの要件をどのように反映しているかご確認ください。
復処理者の利用
Google Cloud - データ処理およびセキュリティ規約(DPST)
定義 | セクション 2.1
データ セキュリティ | セクション 7.1.2
データ セキュリティ | セクション 7.3.1(b)
データ転送 | セクション 10.1
復処理者 | セクション 11
第三者の受益者 | セクション 14
Google Cloud - EU 標準契約条項(SCC)
SCC(EU のコントローラとプロセッサ) | 付録 II、付録 III
SCC(EU プロセッサとコントローラ) | 該当なし
SCC(EU プロセッサ間) | 付録 II、付録 III
SCC(EU プロセッサ間、Google エクスポータ) | 付録 II、付録 III
SCC(英国のコントローラとプロセッサ) | 第 1 条、第 3 条 3 項、第 4 条(g)および(i)、第 5 条(i)および(j)、第 6 条、第 8 条、第 11 条、第 12 項、付録 1、付録 2.5
関連コンテンツ: Google Cloud 復処理者
Google Workspace - データ処理規約
定義 | セクション 2.1
データ セキュリティ | セクション 7.1.2
データ セキュリティ | セクション 7.3.1(b)
データ転送 | セクション 10.1
復処理者 | セクション 11
第三者の受益者 | セクション 14
セキュリティ対策 | 付録 2.1 ~ 2.5
Google Workspace - EU 標準契約条項(SCC)
SCC(EU のコントローラとプロセッサ) | 付録 II、付録 III
SCC(EU プロセッサとコントローラ) | 該当なし
SCC(EU プロセッサ間) | 付録 II、付録 III
SCC(EU プロセッサ間、Google エクスポータ) | 付録 II、付録 III
SCC(英国のコントローラとプロセッサ) | 第 1 条、第 3 条 3 項、第 4 条(g)および(i)、第 5 条(i)および(j)、第 6 条、第 8 条、第 11 条、第 12 項、付録 1、付録 2.5
関連コンテンツ: Google Workspace 復処理者の契約
一般的な書面による契約
文書化された指示の下での処理
守秘義務の下での処理
Google Cloud - Google Cloud 利用規約
機密情報 |セクション 7
Google Cloud - データ処理およびセキュリティ規約(DPST)
データ セキュリティ | セクション 7.1.2
データ セキュリティ | セクション 7.5.3
担当者のセキュリティ | 付録 2.4
Google Cloud - EU 標準契約条項(SCC)
データ転送先の義務 | 第 5 条
Google Workspace - Google Workspace 契約
機密情報 | セクション 6
Google Workspace - データ処理規約
データ セキュリティ | セクション 7.1.2
データ セキュリティ | セクション 7.5.3
担当者のセキュリティ | 付録 2.4
Google Workspace - EU 標準契約条項(SCC)
セキュリティ対策
データ管理者に対する支援
データの削除と返却
コンプライアンスの証明
Google Cloud - データ処理およびセキュリティ規約(DPST)
データ セキュリティ | セクション 7.4
関連コンテンツ: Google Cloud コンプライアンス
Google Workspace - データ処理規約
データ セキュリティ | セクション 7.4
関連コンテンツ: Google Cloud コンプライアンス
関連するホワイトペーパー
GDPR の対象となる Google Cloud のお客様に関連するホワイトペーパーを読む
よくある質問
Google Cloud と GDPR に関するよくある質問とその回答
GDPR では、個人データを EU 域内に保管することが義務付けられていますか?
いいえ。データ保護に関する 95/46/EC 指令と同様、GDPR でも一定の条件のもとに EU 域外への個人データの移転が認められています。こうした条件は、標準契約条項などのメカニズムによって満たすことができます。
Google の規約は、GDPR の要件をどのように反映していますか?
Google Cloud のデータ処理規約には長年にわたって、お客様に対するプライバシーおよびセキュリティ保護の責任が明記されており、Google は GDPR を反映するためそれらの規約を更新しました。新しい規約では特に、データ管理者によるデータ処理者の使用について定めた GDPR の第 28 条の規定が反映されています。
GDPR では、Google Cloud を監査する権利がお客様側に与えられていますか?
GDPR では、データ管理者とデータ処理者との間で締結される契約において、データ管理者に監査の権利を与えることを義務付けています。Google の新しいデータ処理契約には、GDPR の対象となるお客様の利益のために監査を行う権利が定められています。
第三者による ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 27701、SOC 2/3 の報告書は、GDPR の規制遵守においてどのような役割を果たしていますか?
お客様がリスク評価を行うにあたり、第三者機関が Google に対し発行した ISO 認証および SOC 2/3 監査報告書を参照することにより、技術的および組織的に適切な措置がとられているかどうかを判断できます。Google は ISO/IEC 27701 認定を受けているため、プライバシー関連のロールと責任範囲をより明確に定義でき、GDPR を含むプライバシー規制の遵守を推進できます。
Google Cloud はクラウドでのデータの越境移転をどのようにサポートしていますか?
GDPR では、EU 域外への個人データの移転を簡便化するメカニズムが提供されます。このメカニズムには個人データを域外に転送するに際し、十分な保護を提供していること、および適切な安全保護対策を講じていることを確認するという目的があります。
十分な保護が提供されているかどうかは、日本の個人情報の保護に関する法律(APPI)およびスイスのデータ保護法などをサポートする十分性認定によって確認できます。
十分性認定の対象外である EU 域外の諸国に個人データが転送される場合、Google は自社のデータ処理契約に従い、このような転送を GDPR の要求に基づいて行えるようにするメカニズムを維持します。 Google のモデル契約条項は、2017 年に欧州データ保護機関から適合確認を受けています。つまり、Google Workspace と Google Cloud の契約責任は、EU 域内から、十分な保護を提供していない域外の諸国へ個人データを転送するための法的枠組みとしての要件を満たしていることが認定されています。
Privacy Shield(プライバシー シールド)が無効化されても、EU の個人データ処理に Google Cloud を使い続けて GDPR の要件を満たすことができますか?
Google は欧州連合司法裁判所(CJEU)の判例 C-311/18 の影響に注目し続けますが、Google が EU の市民向けに高いレベルのプライバシー保護を維持するため適切な作業を行うことは変わりません。
Google Cloud には、Google のお客様向けの標準契約条項またはモデル契約条項(MCC)があり、Google から別の移行ソリューションが用意されない限りは自動的に適用されます。データの場所に関係なく、データ保護は常に Google の優先事項です。詳細については、Google Cloud による国際的なデータ転送の安全保護対策に関するホワイトペーパーをご覧ください。
Google は ISO/IEC 27001、ISO/IEC 27018、ISO/IEC 27017 など広く認知されている国際標準の認定を受けています。Google のコンプライアンス サービスの完全なリストについては、コンプライアンス リソース センターでご覧になれます。
Google は GDPR について他にどのような情報やリソースを提供していますか?
Google のプライバシー リソース センターと Google のビジネス情報とデータのウェブサイトをご覧ください。
欧州のプライバシーに関する他のリソースはどこにありますか?
欧州のコンプライアンス サービスと Cloud のプライバシー リソース センターをご覧ください。
免責事項: 本文書に記載されている内容は、本文書が作成された 2021 年 8 月時点での現状を示すものです。お客様の保護の継続的な改善のために、Google のセキュリティ ポリシーとシステムは変更される場合があります。Google Workspace を参照する場合は、Google Workspace for Education もご覧ください。今後数か月以内に、教育機関および非営利団体のお客様にも Google Workspace をご提供予定です。
次のステップ
$300 分の無料クレジットと 20 種類以上の Always Free プロダクトを活用して、Google Cloud で構築を開始しましょう。
次のステップ
プロジェクトを開始してインタラクティブなチュートリアルを体験し、アカウントを管理しましょう。
-
開始にあたりサポートが必要な場合お問い合わせ
-
信頼できるパートナーの活用パートナーを探す
-
もっと見るすべてのプロダクトを見る
-
開始にあたりサポートが必要な場合お問い合わせ
-
信頼できるパートナーの活用パートナーを探す
-
ヒントとベスト プラクティスを入手するチュートリアルを見る