はじめに

DPIA とは、プロジェクトのデータ保護リスクを記述、評価、管理し、データ保護義務の遵守を実証するために、データ管理者が実施する文書化されたプロセスです。この文脈における「プロジェクト」とは、たとえば、Google の使用を含む組織によるアウトソーシング、または教育、学習、コラボレーションをサポートする Google Workspace for Education の使用などを指します。

組織が「データ管理者」として処理する個人データに関してのみ DPIA を完了する必要があります。この用語は GDPR で定義されており、基本的には、組織が、どのような目的でどのように個人データを処理するかを決定することを意味します。Google は、お客様自身がデータ処理者になる場合もあることを認識しています。ただ、このリソース センターは主にクラウド サービスをデータ管理者として使用する組織を対象としています。

DPIA では以下の内容を説明する必要があります。

• 個人データを処理する方法および理由、およびその処理についての GDPR の合法的な根拠。

• 処理の必要性と比例性の評価（目的を達成するために個人データを処理する必要がある理由）。これには、処理をサポートするために使用している Google などのデータ処理者が含まれます。

• 特定した潜在的リスクと、それらのリスクに対処し軽減するために講じる措置。DPIA は、データ保護の原則に対するプロジェクトのコンプライアンスを評価し、示すための効果的な方法です。

個人データの処理が関与する新しいプロジェクトを開始する場合は、DPIA が必要かどうかを早期に決定し、プロセスに慣れておくことが重要です。DPIA を早期に実施すると、プロジェクトに加える必要のある変更や、加えることのできる変更を特定しやすくなります。DPIA が必要である判断した場合は、個人データの処理を開始する前に DPIA を完了する必要があります。DPIA の必要性をご覧ください。

また、DPIA のレビューも継続的に行う必要があります。個人データの処理方法に大きな変更がある場合（新しいワークロードや、異なるデータセットの処理にクラウド サービスを使用する場合など）、リスクを再評価して、追加の措置を行いこれに対処する必要があるかどうかを判断する必要があります。

組織はデータ管理者として、DPIA の必要性を判断し、DPIA を準備する責任を負います。

組織にデータ保護オフィサー（DPO）がいる場合は、DPIA を実施する際にデータ保護オフィサー（DPO）の助言を求めることが重要です。また、関連するスキルや専門知識を持つ組織内の他のチームや個人（IT チーム、コンプライアンス チーム、法務チームなど）にサポートを依頼することもできます。

DPIA は組織内で行うことも、外部のアドバイザーに委託することもできますが、その責任はお客様にあります。

プロジェクトに関与する個人データの処理によって、個人の権利と自由が「高リスク」にさらされる可能性がある場合は、管理者として DPIA を実施する必要があります。一部の種類の処理は常に「高リスク」と見なされ、常に DPIA が必要になります。その他の種類の処理では、関連するリスクを客観的に評価する必要があります。

欧州データ保護会議は、「高リスク」を示す可能性のある要因の 1 つとして新しいテクノロジーの使用を挙げており、クラウド サービスに依存している多くの公共部門の処理業務には DPIA が必要になる可能性が高いとするガイダンスを公表しています。

詳しくは、以下の「処理が DPIA のトリガーを満たしているかどうかを判断する方法」のセクションをご覧ください。

以下の情報は、DPIA を実施する必要があるかどうかの初期評価に役立ちます。ただ、お客様の国のデータ保護機関のガイダンスを確認し、独立した法的助言を求めることも推奨します。  

データ処理者としての機能のみを担っている場合は、DPIA を完了する必要はありませんが、コンプライアンスの実践に役立つ可能性があります。

GDPR では、一部の処理アクティビティで常に DPIA が必要になります。これは、プロジェクトに次のいずれかが関与する場合に該当します。

• 個人の個人的側面の体系的かつ広範な評価（プロファイリングを含む）を伴う個人データの自動処理で、その処理に基づく意思決定が、その人物に対する法的（あるいは同等に重大な）影響につながる可能性がある。

たとえば、従業員に関する個人データ（仕事のパフォーマンスなど）をクラウド サービスを使用して自動的に（人による介入なしに）分析する場合で、その分析が従業員の雇用条件や給与に影響する可能性がある場合は、DPIA が必要になる可能性が高いです。

• 特殊なカテゴリのデータ、または有罪判決や犯罪行為に関するデータの大規模な処理。

たとえば、医療記録や臨床検査結果など、個人の健康データの大規模なデータセットをクラウド ストレージを使用して保存する場合は、DPIA が必要になる可能性が高いです。

• 一般公開されている領域の大規模かつ体系的なモニタリング。この文脈における一般公開されている領域とは、一般の人々全員に公開されている領域を指します。

たとえば、オフィスの敷地内の CCTV 映像をクラウドに保存するなどで、CCTV システムをクラウド サービスと統合する場合、DPIA が必要になる可能性が高いです。

注: 欧州の各データ保護機関は、常に DPIA が必要となる処理の種類を別に定めています。お客様の国の追加要件をご確認ください。

上記のセクションで説明した処理では、常に DPIA が必要になります。ただし、処理がこれらのカテゴリーに該当しない場合でも、処理が個人の権利と自由に対する「高リスク」をもたらす可能性があるかどうかを判断する必要があります。

この判断を行うには、処理におけるリスクを客観的に評価する必要があります。評価では、処理の性質、範囲、コンテキスト、目的を考慮する必要があります。言い換えれば、個人データを使って何をしているか、なぜ行っているか、およびそれに関連する状況すべてです。

新しいテクノロジーを使用する処理の場合は、DPIA が必要になる可能性が高くなります。これは必ずしも、新しいテクノロジーが関与するすべての処理にデフォルトで DPIA が必要になることを意味しません。ただし、革新的なテクノロジーを使用している場合、あるいは既存のテクノロジーを新しい手法で応用して使用している場合は、その利用も評価の一環として検討する必要があります。クラウド サービスのお客様には、リスク評価を準備する際に、処理において Google Cloud のテクノロジーが果たしている役割について特に注意を払うことをおすすめします。

欧州データ保護会議（EDPB）は、お客様の処理が「高リスク」となるかどうかの判断に関するガイダンスを提供しています。このガイダンスには、「高リスク」を示すことになる 9 つの要素が含まれています。

1. データの処理で、個人のプロファイリング、評価、スコア付け（信用照会スコアなど）が関与する。

2. 個人データを使用して、個人に対して法的あるいは同等に重大な影響を及ぼす自動化された決定を下す（オンラインでの求人や、オンラインのクレジット申請の拒否など）。

3. 個人を体系的にモニタリングする（例: CCTV、位置追跡など）。

4. 特殊なカテゴリのデータ、あるいはきわめて個人的な性質を持つ個人データ（医療記録など）を処理する。

5. 個人データを大規模に処理する。このガイダンスでは「大規模」が定義されていないため、これはご自身で判断していただくことになります。

6. 異なるデータセットを照合または組み合わせる（サードパーティから別のデータセットを取得して既存のデータセットを拡充する場合など）

7. 弱い立場にある個人（子供、患者など）に関するデータを処理する。

8. 新しい技術的または組織的ソリューションを適用する、あるいは革新的手法でテクノロジーを活用する（例: AI）

9. データ処理により、個人が権利を行使したり、サービスや契約を使用したりすることが制限される（たとえば、個人への融資を拒否する）

一般に、処理が上記のリスク要因の 2 つ以上に該当する場合、DPIA を実施する必要がある可能性が高いです。

決定に関連するもう一つの要素は、組織が公的機関であるか、または公共部門（行政機関、地方自治体など）の内部にある個人データの処理に関与しているかです。EDPB は、データの機密性や処理の規模などの理由から、クラウド サービスに依存する多くの公的機関の処理業務は「高リスク」になる可能性が高いとするガイダンスを公表しています。

一部のデータ保護機関は、DPIA が必要かどうかの判断に役立つリスク評価ツールを開発しています。機関のウェブサイトでガイダンスを確認することを強くおすすめします。

データ管理者として、DPIA が必要かどうかの判断と DPIA の準備は組織の責任になります。Google がお客様に代わって DPIA を実施することはできませんが、お客様がクラウド サービスの使用に関して DPIA を完了する際に役立つ情報やリソースを提供することで支援します。

DPIA は通常、いくつかの主要なフェーズで構成されています。各フェーズについては、このセクションで詳しく説明します。

1. データ処理の説明

2. 必要性と比例性の評価

3. リスクとその管理方法の説明

4. 追加の情報の収集

5. 結論の文書化

DPIA には決まった形式はありません。一部のデータ保護機関は、使用できるテンプレートを公開しています。また、Google Cloud が提供するテンプレートを使用することもできます（Google による DPIA のサポート方法をご覧ください）。

テンプレートを使用するか独自の DPIA 形式を作成するかにかかわらず、DPIA には以下を含める必要があります。

• 組織が個人データを処理する方法と理由、および GDPR の法的根拠（同意、契約の履行、正当な利益など）。

• 処理の必要性と比例性の評価（目的を達成するために個人データを処理する必要がある理由）。

• 特定した潜在的リスクと、それらのリスクに対処し軽減するために講じる措置。これは、データ保護の原則に対するプロジェクトのコンプライアンスを評価し、示すための効果的な方法です。

また、DPIA の対象となるデータ処理活動を定期的にモニタリングし、必要に応じて更新を組み込むことも、DPIA のライフサイクル全体における重要な部分です。データ処理活動に影響を与える重要な変更が発生した場合は、DPIA の該当部分を適宜見直し、更新することをおすすめします。

1. データ処理の説明

データ処理に関して具体的に説明することが求められます。その際に、以下のことを自問することをおすすめします。

• プロジェクトで使用される個人データの種類（名前、連絡先情報、財務情報、メールアドレスなど）

• 従業員、顧客、生徒など、個人データは誰に関するものか（これはデータ主体とも呼ばれます）。

• 個人データのソースは何か？データの収集は個人から行うか、第三者から行うか。

• どのような目的でデータを使用するか？言い換えれば、なぜそのデータを処理するのか？

• データをどのように使用するか？どのように保存するか？どれくらいの期間保管しますか？

• 組織内の誰が個人データにアクセスできるか？

• データを組織外の人と共有するか？

説明には、図やフローチャートなどの視覚的な資料を含めることもできます。

2. 必要性と比例性の評価 

必要性と比例性は、欧州のデータ保護法における重要な原則です。データ処理の必要性と比例性を示すために、GDPR に基づくデータ保護義務をどのように遵守するかを説明することが求められます。評価では、以下について検討したことを示す必要があります。

• 同意、契約の履行、正当な利益など、このデータを処理することについての GDPR 第 6 条の法的根拠は何か？正当な利益が根拠である場合には、その利益について説明する必要があります。

• データ処理は目的を達成するために必要か？個人データを処理しなければ、この目的を達成できないことに納得できるか？

• 必要以上に個人データを処理しないようにするために何を行うか？データの仮名化または匿名化を検討したか？

•  個人データを処理していることを関係者の個人にどのように伝え、GDPR で要求される情報（プライバシー ポリシーや通知など）をどのように提供するか。

• データ主体に、個人データの使用に関するデータ主題の権利（個人データにアクセスする権利、個人データの処理に異議を申し立てる権利など）を通知しているか？クラウド サービスでデータ主体の権利がどのようにサポートされるかについて詳しくは、Google による DPIA のサポート方法をご覧ください。

• 個人データに最大保持期間を設定しているか？これはどのようにして正当化されるか、また、データが適切なタイミンツで確実に削除されるようにするために、どのような対策を講じることができるか。

• 処理をサポートするためにどのデータ処理者を使用しているか？Google Cloud はデータ処理者の一つになるため、このことを DPIA に文書化する必要があります。Google とその復処理者について詳しくは、Google による DPIA のサポートをご覧ください。

• 欧州経済領域（または英国のような十分性認定がある国）以外を拠点とする相手（外部企業や自社の子会社など）とデータを共有する場合、その第 3 国のデータを保護するために、どのような安全保護対策を講じていますか？Google Cloud のデータ転送に対する安全保護対策について詳しくは、Google による DPIA のサポートをご覧ください。

• データ処理がデータ保護機関によって承認された行動規範に準拠している場合は、このことを考慮する必要があります。Google の EU クラウド行動規範の遵守については、Google による DPIA のサポート方法をご覧ください。

3. リスクとその管理方法の説明

DPIA では、データ処理によって生じる可能性のある個人の権利と自由に対するリスクを特定する必要があります。

こうしたリスクを特定することは、DPIA（データ処理活動の実際の影響の評価）の重要な部分です。その影響とリスクは、組織の活動、個人データの性質、関係者によって異なる可能性が高いです。

データ保護の影響とリスクを評価する方法は多数あり、GDPR は特定のアプローチの使用を要求しているわけではありません。一部のデータ保護機関は、組織がこの評価を実施する際に役立つ資料やツールを公開しています。

以下に、評価の一部として組み込まれる可能性の高い要素を示します。

A) どのような潜在的なリスクを考慮すべきか

DPIA では、プロジェクトによって生じる可能性のある悪影響を考慮する必要があります。個人データを処理される人の立場に立って、その人が何を心配するかについて考えてみると良いでしょう。

潜在的なリスクの例:

• 個人が想定していない形での個人データの使用。

• 個人が自分の個人データを管理できなくなる。

• 差別や偏見。

• 個人情報の盗難や不正行為のリスクが高まる。

• 人々の私生活の侵害。

• 機密性の喪失。

• 仮名化されたデータの再識別。

• 機密情報や立場の弱い人（子供など）の情報の暴露。

• 個人に関して不正確な情報を収集したり、不正確な推測をしたりすること。

評価には、風評被害、規制措置、社会的信用の喪失といったリスクなど、組織として独自のリスクを含めることもできます。

また、潜在的な危害の可能性と重大度の両方を考慮に入れて、リスクのレベルを考慮します。たとえば、リスクは非常に深刻であるが実際に発生する可能性が非常に低い場合もあれば、リスクは比較的小さいが発生する可能性は高い場合もあります。数値のリスクスコアを割り当てるか、赤/黄色/緑の「信号機」アプローチを使用すると役に立ちます。

B) リスクを軽減するためにどのような手順を踏めばよいか

リスクのレベルを評価したら、そのリスクを軽減するために実行できる手順を特定する必要があります。軽減策の例としては、次のようなものが挙げられます。

• 一部の個人データを収集しないことを決定する。

• データの仮名化。

• 可能な場合には、データセットから立場の弱い個人を除外する。

• リスクに応じた適切なセキュリティ・レベルを確保するための対策を実施する。

• スタッフ向けの内部データ処理ポリシーを導入する。

• 個人データの使用方法に関するスタッフのトレーニングを行う。

• 追加の措置を講じて、組織が個人データをどのように取り扱うのかについて個人に通知する。

• 個人データがどのように使用されるかについて、各個人が選択できるようにする。

すべてのリスクを完全に排除する必要はありません。ただし、GDPR に基づく義務に沿って、全体的なリスクを許容レベルまで低減できるはずです。残存リスクを評価する際はには、個人に対するプラスの側面も含め、プロジェクトのプラスの側面を考慮することができます。残存リスクが「高」のままの場合は、プロジェクトを続行しないか、あるいは続行する前にデータ保護機関に相談する必要があります。

4. 追加の情報の収集

組織にデータ保護オフィサー（DPO）がいる場合、GDPR により、DPIA を作成する際にそのデータ保護オフィサー（DPO）の助言を求めることが義務付けられています。また、組織内の他の関係者（例: IT、コンプライアンス、法務チーム）に助言を求めることもできます。

プロジェクトの性質やそれに伴うリスクによっては、処理されるデータを持つ所有者の個人から意見を集めることもできます。この意見は、プロジェクトや場所に応じてさまざまな形式になると考えられます。たとえば、従業員が抱える疑問や懸念に答えるために従業員と対話する、組織内の従業員代表者（労働組合や委員会など）と相談する、エンドユーザー（小売組織の場合は顧客）の意見を調べるために市場調査を実施するなどが考えられます。

5. 結論の文書化

評価が完了したら、DPIA に次の情報を記録する必要があります。

• 特定された、計画的な個人データ処理のリスク。

• これらのリスクを軽減するために講じる対策。

• 残存リスクがどの程度残っているか、およびそのリスクのレベル。

• データ保護機関に相談するなど、追加の手順が必要かどうか。

DPIA により、特定したリスクを十分に軽減できたと判断された場合は、組織のデータ保護機関に相談せずに続行することを選択できます。

ただし、残存リスクを許容レベルまで減らすことができないと判断し、評価に基づいて処理が引き続き「高リスク」であると判断した場合は、処理を開始する前にデータ保護機関に相談する必要があります。または、プロジェクトを続行しないことにすることもできます。

Google では、Google Workspace（Google Workspace for Education を含む）用と Google Cloud 用の 2 つの DPIA テンプレートを用意しています。

• Google Workspace 向け DPIA テンプレート

• Google Cloud 向け DPIA テンプレート

これらのテンプレートを、DPIA の検討、計画、実施に役立てることができます。クラウド サービスに関連する使用を念頭に置いて設計されていますが、クラウド サービスで起こりうるすべてのユースケースを想定しているわけではなく、またそのようなことはできません。そのため、汎用的なものであり、提案される出発点として扱う必要があります。また、記載されている情報は、法的な助言を行うものではありません。DPIA の完了はデータ管理者としての責任であり、クラウド サービスの計画されたユースケースに固有のものである必要があることに注意してください。

DPIA には決まった形式がなく、規制要件を遵守しているのであればどのようなアプローチでも使用できます。データ保護機関によっては、独自の DPIA テンプレートを公開しているので、データ保護機関が推奨する形式も確認することをおすすめします。

関連するデータ処理についてお客様が説明できるよう、クラウド サービスに関する情報を以下に示します。また、クラウド サービスに関するその他の資料へのリンクも提供されているため、DPIA のこのセクションに記入する際にこれを役立てることができます。

データ保護影響評価の対象となる個人データ

DPIA では、お客様がデータ管理者として処理する個人データのうち、Cloud のデータ処理に関する追加条項（以下「CDPA」）の「お客様の個人データ」の定義に該当するものを対象とする必要があります。

CDPA の付録 1 に規定されているとおり、クラウド サービスを介して処理される個人データのカテゴリには、顧客またはエンドユーザーによって（またはその指示により）クラウド サービスを介して Google に提供される個人に関連するあらゆるデータが含まれます。

実際には、次のような内容が含まれます。

• 個人の詳細（名前、住所、連絡先情報、年齢、生年月日、性別、身体的特徴など、データ主体やその個人的特徴を特定する情報を含む）。

• データ主体の雇用に関する情報を含む雇用情報。雇用およびキャリア履歴、採用および解雇の詳細、出席記録、業績評価、研修記録、セキュリティ記録など。

• 財務情報（収入、給与、資産と投資、支払い、信用力、ローン、福利厚生、補助金、保険の詳細、年金情報など、データ主体の財務状況に関する情報を含む）。

• 教育とトレーニングの詳細（学歴、資格、スキル、トレーニング記録、専門知識、学生としての記録など、データ主体の教育や専門的なトレーニングに関連する情報を含む）。

• 公的機関が識別子とした発行した個人の情報（パスポート番号、国民保険番号、身分証明書番号、運転免許証の詳細など）。

• 家族、ライフスタイル、社会的状況。これには、データ主体の家族、およびデータ主体のライフスタイルと社会的状況に関連する情報（家族および他の世帯員の詳細、習慣、住宅、旅行の詳細、レジャー活動、および慈善団体やボランティア団体の加入など）が含まれます。

• 組織が管理しているその他の個人データ。

クラウド サービスの使用目的によっては、個人データには、特殊なカテゴリの個人データが含まれる場合があります。これには、人種または民族的出自、政治的意見、宗教または哲学的信条、労働組合への加入状況がわかるデータ、遺伝子データ、生体認証データ（識別目的で使用される場合）、健康、性生活、性的指向に関するデータがあります。

Google がデータ処理者としてサービスデータを処理する場合の追加情報

Google によるお客様の個人データの処理とは別に、Google はクラウド サービスを提供するときにサービスデータも処理します。Google Cloud のプライバシーに関するお知らせにおいて、サービスデータとは、クラウド サービスの提供または管理中に Google が収集または生成する個人情報を意味し、お客様データは含まれません。

Google Workspace for Education　の利用者は、Googleとの間で契約条件（Google Workspace for Education Service Data Addendum）を締結することができます。この契約条件では、利用者はサービスデータの管理者となり、Googleをサービスデータの処理者として指定します。ただし、限定的なサービスデータの処理については、Googleが管理者として引き続き行います。該当のお客様は、このサブセクションと同じ見出しを持つこのリソース センターの部分を使用して、DPIA でのサービス データの使用に対処することができます。

クラウド サービスの使用に関与する処理について、どのように説明しますか。

処理活動について説明する際には、クラウド サービスの一部として利用可能なサービスと機能の説明を読んでこれを役立てることができます。

• Google Workspace と Google Workspace for Education は、生産性向上とコラボレーションのためのツールです。サービスについては、Google Workspace サービスの概要をご覧ください（関連するエディション / SKU をご確認ください）。これらのサービスの詳細については、こちら（Google Workspace）およびこちら（Google Workspace for Education）をご覧ください。

• Google Cloud は、150 を超えるクラウド コンピューティング、データ分析、ML プロダクトで構成されています。Google Cloud のお客様が利用できるサービスについては、Google Cloud サービスの概要をご覧ください。これらのサービスについて詳しくは、こちらをご覧ください。

クラウド サービスの使用は、お客様のデータ処理の目的にとってどのような意味を持ちますか？

DPIA で、データ管理者としてのお客様に代わりデータ処理者に個人データを処理させる目的を説明する必要があります。

目的がどのようなものであれ、クラウド サービスを使用する場合は、Google Cloud がお客様に代わり、顧客の個人データを（お客様の目的を 1 つ以上達成するために）処理することになります。当該データの管理者として、該当するクラウド サービス契約（CDPA を含む）および適用される法律に従って、以下の目的のためにのみ、データ処理としての Google Cloud にデータ処理を指示します。

• お客様のクラウド サービス契約に基づいて提供されるクラウド サービスと技術サポート サービスを提供、保護、および監視するため。

• お客様による、関連するクラウド サービスとテクニカル サポート サービスの利用を通じて、または CDPA に基づいてお客様が提供し、Google により承認されたその他の書面による指示によって、詳細に指定されます。

Google は、かかる処理に関して、CDPA に基づいてお客様の指示に従います（欧州の法律で禁止されている場合を除きます）。

Google がデータ処理者としてサービスデータを処理する場合の追加情報

Google Workspace for Education のお客様であり、Google Workspace for Education サービスデータ追加条項に同意することを選択した場合、サービスデータに関して Google Cloud がデータ処理者として従う指示は、この追加条項で規定されます。

クラウド サービス内の個人データには、どのような第三者がアクセスできますか？

DPIA では、個人データを共有する第三者を以下に示す必要があります。

• クラウド サービスを使用する場合、CDPA で規定される Google の契約主体と顧客の個人データを共有することになりますが、これが、データの処理者になります。正しいエンティティはこちらで確認できます。

• Google Cloud は、技術サポート サービス、データセンターの運用、サービス メンテナンスなど、クラウド サービスに関連する限定的なアクティビティを実行するために復処理者も使用します。お客様が Google の CDPA に同意すると、これらの第三者の選任を承認したことになります。

注: Google Workspace（Google Workspace for Education を含む）の復処理者のリスト（および実行するアクティビティに関する情報）についてはこちらから確認できます。Google Cloud　についてはこちらから確認できます。

復処理者を使用する場合、Google は以下のことを保証することを約束します。

• 各復処理者は、Google との間で締結されたクラウド サービス契約（CDPA を含む）に従って顧客データ（個人データを含む）にアクセスできます。ただし、下請けされた限定的なアクティビティの範囲内に限られます。

• 顧客の個人データの処理が GDPR（またはその他の欧州のデータ保護法）の対象となる場合、CDPA に規定されているデータ保護義務が復処理者に課されます。

• 新しい復処理者が顧客データ（顧客の個人データを含む）の処理を開始する前に、復処理者の名前と所在地、復処理者が行うアクティビティなどがお客様に事前に通知されます。

Google がデータ処理者としてサービスデータを処理する場合の追加情報

Google Workspace for Education のお客様であり、Google Workspace for Education サービスデータ追加条項に同意することを選択した場合、顧客の個人データの復処理者は、サービスデータの復処理者にもなります。また、この追加条項で規定されるサービスデータに関する同様のコミットメントの対象となります。

データの保存と処理が行われる場所

Google はそのパブリック・クラウド・サービスのグローバルな性質を考慮して、顧客データ（顧客の個人データを含む）を保存および処理する施設をすべてのリージョンでグローバルに維持しています。

Google とその復処理者が施設を維持している場所の詳細については、以下をご覧ください。

Google Workspace（Google Workspace for Education を含む）:

• Google の施設

• 復処理者の施設

Google Cloud:

• Google の施設

• 復処理者の施設

顧客データ（顧客の個人データを含む）の処理に使用されるインフラストラクチャ（ハードウェアやネットワークなど）の詳細については、セキュリティ インフラストラクチャ設計の概要および以下をご覧ください。

• Google Workspace（Google Workspace for Education を含む）については、Google Workspace のセキュリティに関するホワイトペーパーをご覧ください。

• Google Cloud の場合: Google セキュリティの概要。

また Google は、顧客データの保管場所について、さらなる選択肢や管理機能を求めるお客様もいることを理解しています。

• Google Cloud の場合: こちらに記載されているサービスを構成して、顧客データを特定のリージョンまたはマルチリージョンに、Cloud のロケーション ページに記載されているように保存するように構成できます。このコミットメントは、Google Cloud サービス固有の規約の「データのロケーション」セクションに反映されています。さらに、組織のポリシーを設定して、サポート対象サービスの新しいリソースの物理的な場所を制限することもできます。

• Google Workspace（Google Workspace for Education を含む）: 対象となるエディションのお客様は、データ リージョン機能を使用してデータ リージョン（ヨーロッパなど）を選択し、対象の顧客データ（バックアップを含む）を保存できます。この機能は現在、こちらに記載されている Google Workspace のコアサービスとデータに適用されています（これは Google Workspace サービス固有の利用規約の「データ リージョン」セクションに反映されています）。

Google がデータ処理者としてサービスデータを処理する場合の追加情報

Google Workspace for Education サービスデータ追加条項に同意された Google Workspace for Education のお客様について、「復処理者」の施設に関する該当情報は、追加条項の関連リンクでご確認ください。

Google Cloud は顧客データをどのくらいの期間保持しますか？

Google のお客様が早期にデータを削除しない限り、Google Cloud は以下の期間顧客データを処理します。

• CDPA の期間中（クラウド サービスの提供が終了した時点で終了します）。

• 契約期間終了後、データが削除されるまでの一定期間。最長で 30 日間の復元期間を経て、法律で保管が義務付けられている場合を除き、Google は合理的に実行可能な範囲で速やかに、最長で 180 日以内にデータを削除します。契約期間終了後もデータの保持を希望する場合は、データ エクスポート ツールなどの組み込み機能を使用して、契約期間の終了前にデータをお客様に戻すように Google に指示できます。

また、お客様は、利用中のクラウド サービスの組み込み機能を使用して、契約期間中いつでも顧客データを削除できます。クラウド サービスの機能を使用して顧客データを削除する場合、Google は、法律により保存が義務付けられている場合を除き、合理的に実行可能な範囲で速やかに、最長で 180 日以内にデータを削除します。

保持と削除の詳細については、以下をご覧ください。

• Google Workspace（Google Workspace for Education を含む）については、組織からユーザーを削除すると 組織の Google アカウントを削除するに関するヘルプセンターの記事をご覧ください。

• Google Cloud については、Google Cloud でのデータの削除ページをご覧ください。

Google またはその復処理者のシステムの外部に保存することを選択したデータのコピーについては、お客様の責任となります。

Google がデータ処理者としてサービスデータを処理する場合の追加情報

Google Workspace for Education サービスデータ追加条項に同意された Google Workspace for Education のお客様に関して、サービスデータに関する Google の保持と削除に関する義務はこの追加条項に記載されています。

データ処理の必要性と比例性を評価する際には、データ保護原則の遵守に関するさまざまな側面を DPIA でカバーする必要があります。

コンプライアンスを実証するのはデータ管理者の責任ですが、評価の際には、クラウド サービスに組み込まれている安全保護対策や機能を役立てることができます。

データ最小化の取り組みを Google からどのようにサポートできますか？

特定の目的を達成するために必要な最小限の個人データのみを処理するようにお客様が実装する技術的および組織的な措置とは別に、クラウド サービスで処理されるデータ量の削減に役立つ Google Cloud の機能やリソースを使用できる場合があります。例として、センシティブ データの匿名化と仮名化に関する Google Cloud ドキュメントをご覧ください。

データ主体の権利の遵守に関して Google はどのようにサポートしますか？

個人データの管理者には、個人データに関する権利（アクセス権、消去の権利、ポータビリティの権利など）について個人に通知し、これらの権利を行使する個人からの要求に対応する責任があります。

お客様が義務を履行できるように、Google はお客様が、クラウド サービスの機能に従って、顧客データ（個人データを含む）の削除、アクセス、エクスポート、修正、または処理の制限をお客様が行えるようにします。

Google のクラウドデータ保護チームが、顧客の個人データに関連するリクエストを個人から受け取った場合で、お客様の組織であると特定された場合、Google はその個人に対して、リクエストをお客様に提出するようにアドバイスします。Google はリクエストを受領したことを速やかにお客様に通知します。これ以外にお客様の許可なく対応することはありません。

Google Workspace（Google Workspace for Education を含む）については、Google Workspace データ主体リクエスト（DSR）ガイドに、データ主体からのリクエストに対応するためにこれらのサービスをどのように使用できるかに関する詳細情報が記載されています。

Google がデータ処理者としてサービスデータを処理する場合の追加情報

Google Workspace for Education サービスデータ追加条項に同意された Google Workspace for Education のお客様の場合、Google は、Google が処理者として処理するサービスデータについても、このセクションで概説される義務を担います。

データの越境移転に対してどのような安全保護対策がとられていますか？

顧客の個人データ（および Google Workspace for Education サービスデータ追加条項に同意した Google Workspace for Education のお客様の場合はサービスデータ）を欧州経済領域の外部の国（十分性認定のない国）に移転する場合、お客様（データ管理者）と Google（データ処理者）の双方が、その移転が GDPR のデータ移転に関する要件に準拠していることを確認する義務を担います。こうした国は一般に「第三国」と呼ばれます。

Google が代替移転ソリューション（EU-US データ プライバシー フレームワークなど）を採用していない限り、データが第三国に転送される場合は、EU 委員会が承認した標準契約条項（SCC）に従います。詳しくは、欧州標準契約条項に対する Google Cloud のアプローチに関するホワイトペーパーをご覧ください。特に、ホワイトペーパーの「Google Cloud の SCC に対する新しいアプローチ」というセクションを確認して、お客様の個人データの関連する転送に関してどの SCC モジュールが適用されるかを把握することをおすすめします。個人データの第三国への移転に関する Google の契約上の義務は、CDPA の「データ処理場所」セクションで規定されています。

また、国際的なデータ移転を保護するために Google が講じている技術的、法的、組織的な安全保護対策について、追加情報も提供します。

• Google Workspace（Google Workspace for Education を含む）については、Google Workspace および Google Workspace for Education の国際的なデータ移転に関する安全保護対策のホワイトペーパーをご覧ください。

• Google Cloud については、Google Cloud を使用した国際的なデータ転送に対する安全保護対策のホワイトペーパーをご覧ください。

これらのホワイトペーパーには、米国の法律とクラウド サービスへのその適用に関する情報が記載されており、「Schrems II」として知られる欧州司法裁判所の判決に照らして完了する必要があるリスク評価を行う際に、これを役立てることができます。

代替移転ソリューションに関しては、Google は DPF を歓迎しており、EU の個人データの米国への移転においてこれの導入に取り組んでいます。DPF を代替移転ソリューションとして採用する際には、CDPA の要求に従いお客様にお知らせします。これは近いうちに達成される予定です。代替移転ソリューションとして DPF を採用した後には、関連する国際的なデータ移転が DPF に従って行われるようにします。

Google は承認された行動規範を遵守していますか？

Google は、クラウド サービスに関して EU GDPR クラウド行動規範を遵守しています。

Cloud 行動規範は、クラウド プロバイダが GDPR を遵守するデータ処理者として適切な技術的および組織的な措置を講じることを保証する方法を示すための仕組みです。対象となるクラウド サービスを確認するには、こちら をご覧ください。

Cloud 行動規範は、欧州データ保護会議の肯定的な意見に基づき、2021 年 5 月 20 日にベルギーのデータ保護機関によって承認されました。

処理のリスクを評価したら、DPIA でそれらのリスクを軽減する計画について説明する必要があります。これは通常、データ・セキュリティ対策を含め、関連するリスクに適した技術的および組織的な対策が講じられていることを示すことを意味します。

クラウド サービスを使用する場合、顧客データの処理で以下を活用できるようになります。

• Google が導入、維持する、業界をリードするセキュリティ対策。

• 任意で使用できる、クラウド サービスのユーザーが利用できる追加のセキュリティ リソース、機能、および/またはコントロール。

• 技術的、組織的、物理的な対策に関する Google の契約上の義務。

Google がデータ処理者としてサービスデータを処理する場合の追加情報

Google Workspace for Education サービスデータ追加条項に同意された Google Workspace for Education のお客様の場合、これには、Google が処理者として処理するサービスデータのセキュリティ対策に関する同等の契約上の義務も含まれます。

CDPA を締結するにあたり、お客様の情報処理に伴うリスクを考慮した上での適切なレベルのセキュリティがこれらの対策により提供されることに同意したものとみなされます。

Google はクラウド サービスに対してどのようなセキュリティ対策を行っていますか？

クラウドのイノベーターとして、Google はクラウドでのセキュリティについて理解しています。Google は、セキュリティを業務の最優先事項としており、Google のクラウド サービスは多くのオンプレミスのアプローチよりも優れたセキュリティを提供できるように設計されています。

Google の組織体制、文化、研修の優先順位、雇用プロセスにおいても、セキュリティは重要視されています。セキュリティは、Google のデータセンターの設計と、データセンターで採用される技術の基準です。これは Google の日常業務の中心であり、顧客データとサービスデータの両方を処理する際に優先されるものです。これは、Google が維持する認証と監査レポートにも影響します。

Google のグローバル規模の技術インフラストラクチャが、クラウド サービスの安全なデプロイ、サービス間の安全な通信、インターネットを介した顧客との安全でプライベートな通信、管理者による安全な運用を実現するためにどのように設計されているかの詳細については、Google のセキュリティ インフラストラクチャ設計の概要をご覧ください。

また、Google が維持する技術的対策や組織的対策に関するその他の情報も以下でご覧いただけます。

• Google Workspace（Google Workspace for Education を含む）については、Google Workspace のセキュリティに関するホワイトペーパーをご覧ください。

• Google Cloud については、Google のセキュリティの概要と Google Cloud のセキュリティに関するホワイトペーパーをご覧ください。

クラウド サービスに関する Google の技術および組織的セキュリティ対策に関するその他のリソースは、セキュリティ ベスト プラクティス センターおよびプライバシー リソース センターでご覧いただけます。

クラウド サービスの使用に対して、どのようなセキュリティ管理をオプションとして適用できますか。

また、Google は、クラウド サービスのお客様がセキュリティとコンプライアンスのニーズを満たすのに役立つ追加のセキュリティ管理をオプションとして提供しています。これらは、管理コンソール、暗号化ソリューション、ロギングおよびモニタリング ツール、Identity and Access Management など、お客様がオプションで使用できるセキュリティ リソース、機能、コントロールです。

組織がクラウド サービス、特徴、機能を構成する方法の詳細について、以下のリソースもご確認いただけます。

• Google Workspace（ Google Workspace for Education を含む）については、Google Workspace および Google Workspace for Education データ保護実装ガイドにて、関連するサービスと設定をどのように使用、構成できるかについての情報を確認できます。

• Google Cloud については、Google Cloud アーキテクチャ フレームワークにてベスト プラクティスと実装に関する推奨事項が説明されています。お客様は、ビジネスニーズに合わせて Google Cloud のデプロイを設計する際にこれを役立てることができます。

セキュリティとコンプライアンスのニーズを満たすのに役立つその他のリソースをセキュリティ ベスト プラクティス センターとプライバシー リソース センターにご用意しています。

Google が担う契約上の義務やその他の約束は何ですか？

CDPA は、個人データを含む顧客データに関する Google の契約上の義務を規定しています。Google は、偶発的または違法な破壊、紛失、改変、不正な開示またはアクセスから顧客データを保護するための、技術、組織、物理的対策を実装し、維持することに尽力します。

これらの対策については、CDPA の付録 2 で詳しく説明されています。これには、データセンターとネットワークのセキュリティ、アクセスとサイトの管理、データ セキュリティ、従業員のセキュリティ、復処理者のセキュリティに関するコミットメントが含まれます。

また、Google Cloud の企業プライバシーに対するコミットメントでは、Google のクラウド サービスを利用するお客様のデータを Google がどのように保護するかについて、より一般的な用語で説明しています。

1. お客様のデータはお客様が管理: お客様のデータはお客様のものであり、Google の所有物ではありません。お客様のデータは常に契約に基づいた方法で処理されます。

2. Google が広告のターゲット設定にお客様のデータを使用することは決してない: 広告プロファイルの作成や Google 広告サービスの改善のために、顧客データを処理することはありません。

3. データの収集および使用に関する透明性の確保: Google は透明性の確保、GDPR などの規制の遵守、プライバシー保護のベスト プラクティスの実施に取り組んでいます。

4. Google がお客様データやサービスデータを販売することはない: Google がお客様データやサービスデータを第三者に販売することはありません。

5. セキュリティとプライバシーは Google のすべてのサービスの主な設計基準: お客様のプライバシーを優先するということは、お客様から預かったデータを保護するということです。Google のプロダクトには、最も強固なセキュリティ技術を組み込んでいます。

Google がデータ処理者としてサービスデータを処理する場合の追加情報

Google Workspace for Education のお客様であり、Google Workspace for Education サービスデータ追加条項に同意することを選択した場合、Google が処理者として処理するサービス データに関する契約上の義務は、この追加条項で規定されます。

Google は法執行機からの要求にどのように対応していますか？

Google は、法執行機関や政府からのデータアクセスへの要請に対し、国際的なベスト プラクティスの要件を満たす、透明性のある徹底したプロセスを整備しました。Google Cloud では、さまざまな状況を考慮しながら、法的要件、顧客契約、プライバシー ポリシーに基づき、個別に対応を行っています。

このような要請に関して Google Cloud が従うプロセスは、クラウド顧客データに関する政府からのリクエストのホワイトペーパーに記載されています。

また、Google の透明性レポートでは、適用される法律で認められている場合は、法執行機関や政府機関が Enterprise Cloud 顧客情報に対して行われたリクエストの件数を開示しています。

Google Cloud はコンプライアンスをどのように実証していますか？

クラウド サービスは、独立した機関によるセキュリティ、プライバシー、コンプライアンス統制の監査を定期的に受けており、それらを遵守していることを示す認証、証明書、監査レポートを取得しています。Compliance Reports Manager を使用すると、さまざまな認証（ISO 27001、27017、27018、27701 など）、監査レポート（SOC 1、SOC 2、SOC 3 など）、その他の関連リソースに直接アクセスしてダウンロードできます。

さらに、サービスデータの保護に対する Google の継続的な取り組みを示すため、ISO 27001、27017、27018、および 27701 認証の範囲を拡大し、Google が該当する Google Workspace サービスのデータ処理者として機能するサービスデータも対象にしました。

さらに、前述のとおり、Google は EU GDPR クラウド行動規範を遵守しています。これは、クラウド プロバイダが GDPR に基づくデータ処理者として適切な技術的および組織的な措置を実装するために十分な保証をどのように提供しているかを示すためのメカニズムです。