アイデンティティとセキュリティ

Google Cloud における GDPR 施行への準備について

0ayPXL4XqZKvYDXvevPq8HoOM6fOmhyOAIhZAUI_Vd20wiipv1kBD437aEpGNWJDUldUsz_wEAvCmnEA6VSHn63MPuBHq6q9KqFTuNdljtT8fXpNLtL99ihCuC2wsFiuCu_8G736qly0.PNG

* この記事は米国時間 5 月 11 日に Keyword に投稿されたものの抄訳です。

昨年 5 月に、G Suite および Google Cloud Platform(GCP)の GDPR(EU の一般データ保護規則)準拠に向けた取り組みについて、その概要をこのブログで紹介しました。Google Cloud がこれまでずっと注力してきたデータ セキュリティ、プライバシー、透明性の確保に向けた施策は、GDPR 準拠に対応するうえで重要なベースとなるほか、今回ご紹介するアップデートが、GDPR 施行後(今年 5 月 25 日)も、お客様が安心して Google Cloud のサービスをお使いいただくための安心材料となるものと考えています。

GDPR 遵守においては、管理者と処理者双方がそれぞれの役割に沿って責任を分担する仕組みになっている点に留意する必要があります。Google Cloud は一般にデータ処理者の役割を果たし、お客様の指示に従ってデータを処理します。お客様のデータはお客様のものであり、Google Cloud はお客様が簡単に管理できるようツールやリソースを進化させていきます。

この投稿では、お客様にとって重要な GDPR 準拠のためのポイントに焦点を当てながら Google Cloud の取り組みを紹介します。

データ処理条項

GDPR の施行に先立ち、 昨年 10 月に G Suite1と Google Cloud Platform のサービス規約におけるデータ処理に関する条件において、GDPR の要件に直接対応する重要な改訂を加えました。この改訂は、プライバシーに関する Google のコミットメントをお客様に明確に示すものであると共に、Google と Google Cloud のお客様が GDPR に準拠する上で重要な改訂です。
既存のお客様には新しい条項についての通知をすでにお送りしていますが、まだ受け取っていないお客様は G SuiteGoogle Cloud Platform からそれぞれのガイドに従って、オプトインすることができます。

データ ポータビリティ

GDPR に明記されたデータ ポータビリティの権利は、Google が長年に渡りその信念としている「お客様のデータはお客様のものである」という考え方と通じています。Google Cloud のGoogle Cloud Trust Principles(信頼原則)では、お客様が望むときにいつでもお客様のビジネス データにアクセスしたり、それらを削除したりできることを規定しており、Google はデータ エクスポート機能をさらに堅牢にするべく継続して開発に取り組んでいます。たとえば、G Suite や Cloud Identity サービスから、ビジネス データのコピーの安全で簡単なダウンロードのためにデータ エクスポート機能を改良しました。

データ インシデントの通知

G Suite と GCP は長年にわたり、契約においてインシデント通知をお約束してきました。GDPR 第 33 条では、データ処理者に対して通知期限が定められており、改訂した Google Cloud の契約条項でもこれを反映しています。Google はグローバルに数百人のセキュリティ専任のエンジニアを擁し、これまでと同様に脅威検知や防止、インシデント レスポンス機能への投資を継続していきます。

処理のセキュリティを確保するためのサービスとインフラストラクチャ

Google Cloud は、機密データの秘匿性、可用性、耐障害性を確保するために効果的なソリューションを提供します。たとえば、デフォルトで提供している保存データの暗号化機能などはその一例です。Cloud Data Loss Prevention(DLP)API は、企業や団体等が保有する機密データの分類、発見、モニタリング、非特定化を可能にし、データがどこにあっても、お客様がその管理と保護を行えるようサポートします。Google のサポートチームやエンジニアリング チームがお客様のデータやシステム構成を操作する場合には、常にお客様に通知し、監査ログを記録しています。こちらのセキュリティ ページで、詳細をご紹介していますのでご覧ください。

第三者機関による監査、認証

Google は、G Suite と GCP に対する第三者機関の監査・認証を通じて、技術的および組織的なセキュリティ対策やプライバシー対策による効果を定期的に検証、評価、検討しています。たとえば、情報セキュリティ管理システム向けの ISO 27001、クラウド セキュリティ管理のための ISO 27017、個人識別情報(PII)処理者の役割を果たすパブリック クラウドでの PII 保護に関する ISO 27018 といった国際標準の認証を受けています。これらに加え、Google Cloud サービスの多くは第三者機関による SOC1SOC2SOC3 の対象に含まれています。こうした監査・認証の取得に、今後も注力してまいります。

国際的なデータ転送

G Suite と GCP は Privacy Shield による認証を受けており、現行の EU データ保護法制に対応しています。G Suite や GCP の利用において、EU から域外へのデータ転送に関する法的枠組みの要件を十分に満たすために、Google では同法制に沿ってモデル契約条項を用意しています。データ転送の仕組みが依って立つ規制当局の考え方は、現行の法制でも GDPR の下においても変わりません。

関連情報の提供

GDPR に関連するドキュメント、ホワイトペーパー、動画、その他の情報をGDPR Resource Center でお客様に公開しています(日本語では、Google Cloud と一般データ保護規則に関連情報を掲載しています)。今年は世界各地で実施する Cloud Summit や Cloud Next において、プレゼンテーションやワークショップに加え、お客様が Google のコンプライアンス チームと直接お話いただける機会をご用意します。

GDPR やプライバシー関連の法律はこれからも変化していくことでしょう。Google では、そのような変化にも法律顧問やコンプライアス エキスパート、公共政策の専門家からなるチームを置き、規制当局と協力しながら、これらを適切に理解し対処していくことをお約束します。
Google Cloud は、お客様の情報を安全に保護し、プライバシーを守ることをミッションのひとつとしています。そして「コンプライアンス」は、その根幹にあたるとも言えるでしょう。Google は引き続きこの分野を強化し、GDPR 準拠へのニーズに対応するために力を注いでいきます。詳細は前述の GDPR Resource Center 及びを Google Cloud と一般データ保護規則をご覧ください。

1 G Suite には G Suite for Business と G Suite for Education が含まれます。

- By Suzanne Frey, Director, Security, Trust, & Privacy, Google Cloud and Marc Crandall, Director of Data Protection and Compliance, Google Cloud