EDPB による推奨事項の発表を踏まえた EU 域内のビジネスに対する Google Cloud の取り組みの再確認
Google Cloud Japan Team
※この投稿は米国時間 2021 年 7 月 15 日に、Google Cloud blog に投稿されたものの抄訳です。
小売企業から自動車メーカーや金融サービス機関まで、欧州のさまざまな組織が Google のクラウド サービスを使用してビジネスを運営しています。Google は、お客様が厳格なデータ保護の要件を満たせるよう支援することに注力しています。そのために、リスク評価とコンプライアンスに関するニーズを支える業界最高水準の技術管理手段、契約責任、継続的な透明性を提供しています。
2021 年 6 月 21 日、欧州データ保護会議(EDPB)は、欧州連合司法裁判所の裁定に従い、補助的な施策に関する最終的な推奨事項を発表しました。この裁定は、EU-U.S. Privacy Shield(EU-US プライバシー シールド)を無効であるとし、EU 標準契約条項(SCC)の正当性を支持するものでした。EDPB の提案は、組織が国際的なデータ移転に対処できるようにするために重要です。同会議の推奨事項の多くは、Google が長年にわたり実践してきた慣行と一致しています。
上述の発表を踏まえ、Google は GDPR の遵守という公約を再確認し、Google Cloud のお客様が Google のサービスを使用する際に遵守目標を満たせるよう支援していきたいと考えています。そのため、特に次のような取り組みに注力してまいります。
お客様がコントロールするクラウド
お客様のデータはお客様のものであり、クラウドに保存されているデータに対してお客様が最も高いレベルのコントロールを保持しているべきであると Google は考えます。Google のパブリック クラウドは、Google のサービスを通じて、お客様のデータに対して世界最高レベルの可視性とコントロールを提供します。
Google の提供する能力により、Google Cloud Platform のお客様は、欧州地域にデータを保存し、欧州の外に移動されることがないようにするとともに、欧州外のユーザーや管理者がデータにアクセスできないようにすることができます。お客様は、独自の暗号鍵を管理することで、自社データにアクセスできるユーザーをコントロールすることができます。鍵は欧州地域内に、かつ Google Cloud のインフラストラクチャの外に確実に保存されます。またお客様は、データを復号するために鍵が要求されるたびに、External Key Manager を使用して詳細な理由と同意を求めることができます。また、Key Access Justifications(現在は一般提供されています)を使用して、理由を問わず Google によるデータの復号を拒否することができます。詳細については、クラウドにおけるコントロールと可視性の提供についての Google のブログをご覧ください。技術的な観点から見たお客様にとってのこの公約の具体的な意味については、データの所在地、運用の透明性、コントロールのオプションについての Google の投稿をご覧ください。Google Cloud は、クラウドに存在するデータの暗号鍵をプロバイダのインフラストラクチャの外にお客様が保存および管理でき、政府によるアクセス要求を含む特定の事由に基づく復号に対してプログラムによるコントロールを行える、最初にして現在のところ唯一のクラウド プロバイダです。
Google Workspace(旧称 G Suite)のお客様は、対象となるデータを欧州に保存することを選択できます。さらに、Workspace における暗号化の次の段階として、暗号鍵や、それらの鍵にアクセスするための ID サービスをお客様が直接コントロールできます。クライアントサイド暗号化を使うと、Google はお客様のデータを解読できなくなりますが、ユーザーは Google ネイティブのウェブベースのコラボレーション、モバイル デバイス上のコンテンツへのアクセス、暗号化されたファイルの外部との共有を引き続き利用できます。この機能は、現在のところ Google ドライブ、ドキュメント、スプレッドシート、スライドで公開ベータ版として使用できます。今後、他の Workspace サービスにも拡大される予定です。お客様は、Gmail 用にエンドツーエンドの暗号化を行うサードパーティのソリューションも利用できます。これらのソリューションにより、お客様は自分の希望する地域や場所に鍵を保管し、対象となるコンテンツへのアクセスを管理できます。
Google Cloud は、お客様が自社のデータの場所や、データへのアクセスを確実にコントロールできるようにする機能に、今後も投資を続けてまいります。
新しい標準契約条項
欧州委員会は、欧州の個人データを保護するための新しい標準契約条項を発表しました。Google Cloud は、お客様のデータを保護し、欧州のプライバシー関連法の要件を満たすため、新しい SCC の実装を計画しています。従来の SCC と同様に、これらの条項はデータの合法的な転送を促進するために使用できます。
リスクベースの評価に役立つ透明性
EDPB の推奨事項にはリスクベースの手法が取り入れられており、データのエクスポータは、ある種の転送に必然的に生じる基本的な権利に対するリスクのレベルを評価する必要があります。
Google の透明性レポートでは、法執行機関や政府機関によるエンタープライズ クラウドの顧客情報に対するリクエストの回数が開示されます。過去のリクエスト数の記録から、Google のエンタープライズ クラウドの顧客数と比較して、エンタープライズ関連のリクエストが非常に少ないことがわかります。たとえば、Google のレポートによれば、直近のレポート対象期間の間、政府のリクエストへの応答として生成された Google Cloud Platform のエンタープライズ顧客データは 1 つもありません。したがって、エンタープライズ クラウドの顧客情報データがこうしたリクエストの影響を受ける可能性は低いことがわかります。
また Google は、クラウド顧客データに対する政府のリクエストが実際に発生する稀な場合に Google が実行する処理を明確かつ詳細に理解していただくことで、お客様が意味のある評価を行えるよう努めています。
説明責任
Google は、アカウンタビリティとお客様へのコンプライアンス サポートを強化する方法を常に模索しています。Google は最近、EU GDPR 行動規範を遵守していることを発表しました。行動規範は、業界各社とデータ保護機関との間で共同作業を行うための有効な道具となります。行動規範は、厳格なデータ保護要件を満たすため、業界における最新の慣行をカスタマイズして使うことができます。Google は、この規範がクラウド サービス用の世界的なデータ移転ツールを構築するための堅牢な基盤になると信じており、この面における業界の取り組みに対する支援を今後も続けてまいります。
また Google は、国際的に認知されているプライバシーとセキュリティの標準、たとえば ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 27701 などを引き続き遵守し、認定を受けてまいります。これらの認証は、世界水準のセキュリティとプライバシーに対する Google の継続的な取り組みが独立系機関によって評価されたことを証明するものです。
ポリシーに対する強固な支持
Google は、全世界のエンタープライズ データに対する政府機関によるアクセス リクエストの方針となるべきであると信じる原則に対する支持を、引き続き強く表明してまいります。2 国間および多国間レベルでの政府の関与は、法律を現状に合ったものに改正するうえできわめて重要です。また、電子的な証拠を生成するための国境を越えて通用するルールを、国際標準を尊重し、かつ法律の抵触が生じた場合にも解決できるような方法で規定するうえでも欠かすことができません。Google は、このような政府による関与を取り付ける取り組みを長年にわたって支援してきました。その中には、US-E.U. Privacy Shield(プライバシー シールド)の代わりとなる制度を見つけ、大西洋をまたいで移転する個人データに関する法的な確実性を回復する活動や、経済開発協力機構(OECD)レベルで政府によるデータアクセスの国際的な共通の原則を作成する活動なども含まれています。Google は、お客様のプライバシーとセキュリティを保護しながら、こうした取り組みに対する支援も続けてまいります。
欧州にユーザーが存在する数百万もの組織が、Google のクラウド サービスを使用して日々のビジネス活動を行っています。Google は、EDPB の推奨事項を踏まえた多様なコンプライアンス ツールのセットを維持していくことで、こうした組織が規制要件を満たすための支援を継続するよう確実に取り組んでまいります。
-Google Cloud プライバシー部門ディレクター兼グローバル ヘッド Marc Crandall
-Google Cloud EMEA データ ガバナンス ヘッド Nathaly Rey