Google Cloud の更新版の契約で、DORA コンプライアンスの確保を容易に
Google Cloud Japan Team
※この投稿は米国時間 2024 年 2 月 7 日に、Google Cloud blog に投稿されたものの抄訳です。
まもなく施行される EU デジタル オペレーショナル レジリエンスに関する規制(規則(EU)2022/2554 - 「DORA」)のための準備期間が、残すところ 1 年を切りました。本日は、金融機関のお客様が DORA コンプライアンを確保できるように、Google Cloud がどのようなサポートをご提供するかについて詳しくご説明します。
Google は組織として DORA コンプライアンスに取り組んでおり、要件が最終決定された 2022 年より、Google Cloud の部門横断的なチームが DORA に対応する体制を整えるための対策を実施しています。これには、運用変更の適用とカスタマー サポート モデルの強化が含まれます。
お客様と Google Cloud の間で結ばれている契約の DORA コンプライアンスを 2025 年 1 月 17 日までに確保するため、本日から、金融機関のお客様は Google Cloud および Google Workspace の更新版の契約条件をご利用いただけるようになります。これは第 30 条の主要な契約条項に対処したものです。
Google Cloud がお客様による DORA への準備をサポートする方法
情報とコミュニケーション技術の管理におけるサードパーティー リスク: DORA の第 30 条には、金融機関が情報通信技術(ICT)サービスの契約に記載しなければならない主要な契約条項が含まれています。DORA は既存の契約からの移行期間を設けていないため、2025 年 1 月 17 日に先駆けて Google Cloud の契約において要件へ対応できるようにしたいと考えるお客様も多いでしょう。
Google Cloud および Google Workspace の契約条項を更新するだけでなく、Google は Google Cloud と Google Workspace のための第 30 条に向けてのマッピングを作成しました。これらのマッピングにより、Google の契約、管理、処理がどのようにお客様の DORA の義務をサポートするかを理解していただけます。DORA の契約条項が必要な場合は、詳細について Google Cloud の担当者にお問い合わせください。
インシデント報告: Google Cloud は、インシデント報告に取り組むとともに、お客様が必要とするインシデント報告を用意するお手伝いをしています。とりわけ DORA に関しては、2025 年 1 月 17 日以降、Google Cloud のご利用に影響する ICT 関連のインシデントを通知してまいります(ICT 関連のインシデント通知を受け取るには、お客様が DORA の契約条項を遵守している必要があります)。このような通知は、追加料金なしで、お客様がすでに使用している既存の通知チャンネル(メール、Service Health ダッシュボード、Google Cloud Support Center)を介して提供されます。
Google Cloud は、この分野における DORA の要件は、今後も順次発展していくことと認識していますが、必要な期間内に通知を提供し、お客様が組織内の評価とレポート作成を円滑に行うための情報をお送りするために、最終要件に合わせることに注力しています。
デジタル オペレーショナル レジリエンス検証: Google Cloud は、脅威ベースのペネトレーション テスト(TLPT)など、効果的で安全なクラウド テストを可能にするサポート モデルの提供に取り組んでいます。2025 年から、第 26(4)条に記載されている外部テスターによる共同検証を促進することにより、TLPT に参加する予定です。共同検証は Google Cloud のデジタル オペレーショナル レジリエンスの最も効果的なテストであるとともに、マルチテナント環境においてテストのその他のお客様への固有のリスクを管理するためにも最適であると確信しています。
Google Cloud によるレベル 2 規制法への取り組み
DORA の要件は最終決定済みですが、いくつかの重要な要件は DORA レベル 2 規制法として知られる二次法でさらに詳細に既定する必要があります。こうした要件には、インシデント報告、脅威ベースのペネトレーション テスト、下請け契約といった重要な分野についての技術標準の規制と実装(RTS と ITS)が含まれます。
政策立案者とお客様を支援するため、Google Cloud は DORA レベル 2 規制法に関する EU 政策議論に積極的に関与しています。今後も引き続き、率直かつ建設的な方法で DORA に関する話し合いに参加していく所存です。特に、Google は以下を提唱してまいります。
- 整合性: 各レベル 2 規制法と DORA で指定される義務の整合性。
- 調和: 世界中の金融セクターと、その他の匹敵する EU の制度での成熟したアプローチ(インシデント報告など)による調和。
- 均整: 特に、一部の ICT サービスには適切と思われる規制的アプローチが、パブリック クラウド サービスに適用されると金融セクターのレジリエンスに意図せず悪影響を与える可能性がある場合。
今後の展望
2024 年は、DORA の準備を進めている金融機関とその ICT プロバイダにとって、非常に重要な年です。期限が迫るなか、新しいリソースを提供し、適用される DORA の要件に対応することで、Google は引き続きお客様を支援してまいります。
目標は、欧州の組織が自社の条件に基づいて持続可能なデジタル トランスフォーメーションを実現するうえで Google Cloud が最適なサービスになるようにすることであり、今後もさらに多くの改善を加えていく予定です。
-規制リスクおよびコンプライアンス担当グローバル リード Gillian Hamilton
-CISO オフィス ディレクター Thiébaut Meyer