米国と EU 間でのデータ移転の新たな枠組みに関する発表を踏まえた EU 域内のビジネスに対する Google Cloud の取り組みの最新情報

※この投稿は米国時間 2022 年 3 月 29 日に、Google Cloud blog に投稿されたものの抄訳です。

先週、欧州委員会と米国政府は、米国と EU 間のデータ移転に関する新たな枠組みについて合意しました。今朝ほど Google は、EU のデータに対するプライバシー保護を強化し、高信頼性の大西洋横断データフローを促進する米国政府の取り組みを歓迎することを表明しました。Google Cloud のお客様には、この新たな枠組みが施行されしだい、枠組みに基づいた保護を利用していただけるように計画しています。

昨年 Google は、欧州の最高裁判所が EU-US Privacy Shield（EU-US プライバシー シールド）フレームワークを無効であるとし、EU 標準契約条項（SCC）を支持したことに伴い、欧州データ保護会議（EDPB）が補助的な施策に関する勧告を発表したことを受け、EU 域内のビジネスに対する取り組みを再確認しました。

これ以降、Google は業界をリードする技術的な管理手段、契約責任、リスク評価のためのリソースを提供することで、お客様が厳格なデータ保護要件を満たせるようにサポートを続けています。また、大西洋横断データフローの法的な確実性をより高めるための支援も引き続き行っていきます。

今日は、この取り組みに関してお客様に最新情報を提供していきます。

お客様がコントロールするクラウド

Google Cloud1 は、これからも技術的な管理とセキュリティ管理の先進的なプロバイダであり続け、お客様のデータ保護要件や、高まるデータ主権への期待を満たすためのサポートを提供します。

Google は、顧客管理の暗号化および増え続ける主要プロダクトやローカル パートナーとの連携のためのデータ ローカリゼーションの提供などによって、欧州の規約に沿ったクラウドの構築に取り組んでいます。そして、欧州のビジネスや組織に新たな成長と変革の波を届けながら、最高水準の主権も提供しています。

Google Cloud Platform

Google は最近、EU 向けの Assured Workloads の一般提供について発表しました。このプロダクトでは、以下によって Google Cloud Platform（GCP）のお客様がデータを保護する際のサポートを行っていきます。

• 任意の EU 内の Google Cloud のリージョン内にデータを保存

• データへのアクセスとカスタマー サポートを EU 域内ユーザーに制限

• 顧客が管理する暗号鍵など、データアクセスの暗号化による制御をデプロイ

Cloud External Key Manager（EKM）は、Google のインフラストラクチャの外部にデプロイされたサードパーティの鍵管理システムで保存、管理されている暗号鍵を使用して、お客様によるさまざまなサービスのデータの暗号化を実現します。Google Cloud は、クラウドに存在するデータの暗号鍵をプロバイダのインフラストラクチャの外にお客様が保存および管理でき、行政機関によるアクセス リクエストを含む特定の事由に基づく復号に対してお客様によるコントロールが行える、唯一のクラウド プロバイダであり続けています。

Key Access Justifications は、外部でホストされている鍵を使用してデータを復号するたびに Justification を提示することで、GCP をご利用のお客様によるデータのコントロールを大いに進歩させています。署名付きアクセス承認（SAA）は、さらなる保証による強化が行われており、管理者による顧客データや構成へのアクセスに対しては、顧客からの明示的な同意を必須条件としています。

Google Cloud の Confidential Computing ポートフォリオは、特に機密性が高いデータを使用中であってもお客様が暗号化できる画期的なテクノロジーです。ユビキタスなデータ暗号化は、保存データ、使用中のデータ、転送中のデータを暗号保護することで、データ保護をさらに拡充します。GCP の外部にある顧客データを Cloud EKM を使って暗号化する際に使用された鍵は、機密環境内で運用しているアプリケーションによって安全に共有されます。

Google Workspace

Google Workspace（Workspace for Education を含む）のお客様は、対象となるデータを欧州に保存することを選択できます。さらに、クライアントサイド暗号化では、お客様が暗号鍵と、鍵にアクセスするために選んだ ID サービスを直接コントロールできる方法を提供しています。クライアントサイド暗号化を使うと、Google はお客様のデータを解読できなくなりますが、ユーザーは Google ネイティブのウェブベースのコラボレーション、モバイル デバイス上のコンテンツへのアクセス、暗号化されたファイルの外部との共有を引き続き利用できます。クライアントサイド暗号化は、現在のところ Google ドライブ、ドキュメント、スプレッドシート、スライドで公開ベータ版として使用できます。今後、Gmail、カレンダー、Meet にも拡大される予定です。加えて、お客様は特定の Google Workspace サービスで、同様の暗号化機能を提供するサードパーティのソリューションを選ぶことでもメリットが得られます。

国際的なデータ移転の法的根拠

Google は、GCP および Google Workspace と Cloud Identity のデータ処理規約を更新し、2021 年 6 月 4 日に欧州委員会によって承認された新しい EU の標準契約条項（SCC）、および別途、英国の SCC のさまざまなモジュールを盛り込みました。

Google Cloud は、米国と EU 間のデータ移転に関する新たな枠組みを導入し、転送ソリューションとしてクラウドのお客様に提供する予定です。詳しくは、データ処理規約をご覧ください。

支援および追加の役立つリソース

Google は業界の仲間たちと一緒に、Trusted Cloud Principles（信頼できるクラウド原則）を採用することで、Google Cloud のお客様の権利を守る取り組みを実践しています。Google は、行政機関によるデータアクセスに対する経済開発協力機構の取り組みや、監視法改革の手段としての CLOUD 法の合意交渉（米国と EU 間を含む）を継続してサポートしていきます。

Google では、Google Cloud による国際的なデータ移転のための安全保護対策に関するホワイトペーパーなどを、参考資料としてクラウド プライバシー リソース センターに継続して公開していきます。

欧州にユーザーを擁する数百万もの組織が、Google のクラウド サービスを使用して日々のビジネス活動を行っています。Google は、多様なコンプライアンス ツールのセットを維持していくことで、こうした組織が規制要件を満たせるよう支援を継続してまいります。

^{1. Google Cloud: Google Workspace（Google Workspace for Education を含む）と Google Cloud Platform（GCP）}