セキュリティ & アイデンティティ

お客様のプライバシーに対する Google の取り組みの拡大

2020年11月19日

Google Cloud Japan Team

※この投稿は米国時間 2020 年 11 月 13 日に、Google Cloud blog に投稿されたものの抄訳です。

世界中のあらゆる業界の企業が、ビジネスの運営に Google のクラウドサービスを活用しています。Google はその責任を真摯に受け止めています。そのため、Google では業界トップクラスのセキュリティ、Google サービスに関する専門性認定、認証、取り組みを提供するとともに、顧客データへのアクセス日時や方法がわかるように透明化と可視化に重点を置いています。本日は、こうした取り組みの拡大と、この分野での Google の最近の取り組みについて最新情報をお伝えします。

プライバシーへの取り組み

Google Cloud Enterprise Privacy Commitments では、Google Workspace、G Suite for Education、Google Cloud Platform（GCP）をご利用のお客様のプライバシーを保護する方法について説明しています。これらのプラットフォームには、顧客データとサービスデータの 2 つの異なるデータタイプが考慮されます。

顧客データ: Google では、Google Cloud のお客様が自身の顧客データを所有していることを前提としています。厳格なセキュリティ対策を実施して顧客データを保護し、お客様が条件に合わせてデータをコントロールできるようにするツールを提供しています。顧客データとは、組織や組織のユーザーを含めたお客様が、Google Workspace、G Suite for Education、GCP にアクセスするときに Google に提供するデータと、これらのサービスを使用して作成するデータです。
サービスデータ: また、すべてのサービスデータ、つまり Google が Google Workspace、G Suite for Education、GCP の提供および管理の中で収集または生成する情報も同様に保護されます。サービスデータは、セキュリティとサービス可用性の確保に必要不可欠です。サービスデータには顧客データは含まれません。セキュリティ設定、運用の詳細、お支払い情報が含まれます。Google がサービスデータを処理する目的については、Google Cloud プライバシーに関するお知らせに詳細が記載されています。このお知らせは、サービスデータの処理方法に関するより具体的な情報を提供するために新たに開始されたもので、2020 年 11 月 27 日に発行されます。サービスデータの処理目的には、Google Workspace と GCP を最適にご利用いただくための推奨事項の作成や、パフォーマンスと機能の向上が挙げられます。

Google Cloud サービスのご利用において、次のことをお約束します。

データを管理するのはお客様です。顧客データを所有するのはお客様であり、Google ではありません。お客様のデータは常に契約に基づいた方法で処理されます。
広告のターゲット設定にお客様のデータを使用することはありません。広告プロファイルの作成や Google 広告サービスの改善を目的として、顧客データやサービスデータを処理することはありません。
Google はデータの収集と使用について透明性を確保しています。Google は透明性、GDPR などの規制の遵守、プライバシー保護のベストプラクティスに取り組んでいます。
Google が顧客データやサービスデータを販売することはありません。Google が顧客データやサービスデータを第三者に販売することはありません。
セキュリティとプライバシーは、Google のすべてのプロダクトの主要な設計基準です。お客様のプライバシーを優先するということは、お客様から預かったデータを保護するということです。Google のプロダクトには、特に強固なセキュリティ技術を組み込んでいます。

これらの取り組みは、Google がお客様に提供する、契約に基づいたプライバシー保護の責任を基盤にしています（Google Workspace についてはこちら、G Suite for Education についてはこちら、GCP についてはこちらをご覧ください）。

顧客管理の強化と新しい第三者認証認定

Google では最近、クラウド内のデータへのアクセス方法と処理方法について可視性と制御性を改善する新機能をリリースしました。2018 年、Google は主要なクラウドプロバイダで初めて、アクセスの透明性の機能を導入しました。これは、Google Cloud 管理者が（まれに）お客様のコンテンツにアクセスしたときに、ほぼリアルタイムのログを記録するものです。また、可視性と制御性をさらに高めるため、GCP にアクセス承認機能を導入しました。お客様は、サービスのサポート任務にあたっている Google 社員からのアクセスリクエストを確認した後、必要に応じてこれを承認または拒否できます。

Transparency and Control Center は、GCP Console の一部として一般提供されています。データ処理機能を有効または無効にすることができます。この機能は、組織レベルおよびプロジェクトレベルでの推奨事項や分析情報などの提供に役立ちます。さらに、推奨事項や分析情報の生成に利用できる個人データをエクスポートできます。Google Workspace では詳細な監査ログを入手できるだけでなく、組織の管理者とユーザーがデータエクスポートツールと Google データエクスポートを使ってデータのコピーをダウンロードすることが可能です。こうした機能は、EU の GDPR やカリフォルニア州消費者プライバシー法（CCPA）といったプライバシー規制で定められたデータポータビリティ要件の遵守を支援する方法のほんの一部です。

Google は、国際的に認知されているプライバシーに関する法律、規制、基準の要件を満たすことにより、プライバシー保護の取り組みを引き続き強化していきます。今年の夏、Google はデータ処理者として ISO/IEC 27701 認証を取得したことを発表しました。これは、主要なクラウドプロバイダとして初めてであり、生産性向上スイートとしても初めてのことです。Google Workspace および GCP が取得した ISO/IEC 27701 認証により、お客様は監査プロセスの簡素化、ユニバーサルなプライバシー管理、プライバシー関連の役割と責任の透明性向上などのメリットを得られます。今回取得した認証は、世界水準のセキュリティとプライバシーに対する Google の継続的な取り組みが独立系機関によって評価されたことを証明するものです。Google は今後もさらなる認証の取得に取り組んでいく予定です。