米国 | すべての業種
Google Cloud のデータ処理に関する追加条項のマッピング - 米国のプライバシー関連州法
このページは、Google Cloud Platform、Google Workspace、Looker(オリジナル)、Google SecOps サービスを含む Google Cloud の提供、保護、モニタリングにおいて、Google がお客様のデータ(お客様の個人データを含む)のデータ処理者として機能し、お客様が米国州のプライバシー法に準拠できるようサポートする Google のアプローチを理解していただくことを目的としています。
これらの州法の中で、お客様がコンプライアンスを確保するために Google のサポートを必要とする可能性がある分野として、消費者の権利、一般的な事業者 / データ管理者の義務、サービス プロバイダ / データ処理者関連の義務に焦点を当てています。各要件について、Cloud のデータ処理に関する追加条項の契約上のコミットメントと Google Cloud サービスの機能により、お客様が関連する要件に対応する方法について解説します。多くの州の法律が似ていることから、以下のセクションでは、参照しやすいように「トピック」を要約して、大まかな説明にまとめています。また、これらの説明を関連する州の法律にマッピングします。
州法によって定義される用語が異なることに注意してください。わかりやすくするために、このページではお客様を「データ管理者」または「事業者」、Google を「サービス プロバイダ」または「データ処理者」、お客様の個々のエンドユーザーを「消費者」と呼びます。
このページでは、次の法律について説明します。
- カリフォルニア州消費者プライバシー法(CCPA)(カリフォルニア州プライバシー権利法(CPRA)および CCPA 規則による改正を含む)
- コロラド州のコロラド州プライバシー法(CPA)と CPA 規制
- SB 3 で改正されたコネチカット州データ プライバシー法(CTDPA)
- デラウェア州個人データ プライバシー法(DPDPA)
- フロリダ州デジタル権利章典(FDBR)
- アイオワ州消費者データ保護法(IACDPA)
- インディアナ州消費者データ保護法(INCDPA)
- モンタナ州消費者データ プライバシー法(MTCDPA)
- オレゴン州消費者プライバシー法(OCPA)
- テネシー州情報保護法(TIPA)
- テキサス州データ プライバシーおよびセキュリティ法(TDPSA)
- ユタ州の消費者プライバシー法(UCPA)
- バージニア州の消費者データ保護法(VCDPA)
消費者の権利
アクセス権
消費者は、企業に対して、消費者について収集された個人情報を開示するようリクエストできます。
お客様は、Google Cloud 上のデータ(エンドユーザーのデータを含む)にいつでもアクセスできます。Google がお客様の個人データに関するリクエストを消費者から受け取った場合、Google のプライバシー チームは、リクエスト者に、リクエストを Google Cloud のお客様であるお客様に送信するようアドバイスします。Google Cloud のお客様は、内部手順と要件に従って、これらのリクエストへの対応を管理できます。
対象州: CA、CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、UT、VA
CDPA の参照: CDPA の一般条項の第 9.1 項(アクセス、訂正、制限付きの処理、ポータビリティ)、第 9.2 項(データ主体の要求)、第 12.1 項(Cloud データ保護チーム)。
修正 右
消費者は、個人データの不正確な部分の修正を企業にリクエストできます。
Google は、お客様が顧客データの処理にアクセス、修正、制限を行うこと、およびデータを取得または削除することを可能にする機能を提供します。たとえば、お客様は Google Cloud Platform と Google Workspace の次の機能を利用できます。
Cloud コンソール: お客様が Google Cloud リソースを管理するために使用できるウェブベースのグラフィカル ユーザー インターフェースです。
管理コンソール: お客様が Google Workspace のリソースを管理するために使用できるウェブベースのグラフィカル ユーザー インターフェースです。
gcloud コマンドツール: Google Cloud への主要なコマンドライン インターフェースを提供するツールです。コマンドライン インターフェースは、コンピュータのオペレーティング システムのユーザー インターフェースです。
対象州: CA、CO、CT、DE、FL、IN、MT、OR、TN、TX、VA
CDPA の参照: CDPA の一般条項の 9.1 項(アクセス、訂正、制限付きの処理、ポータビリティ)と 9.2 項(データ主体の要求)。
削除の権利
消費者は、企業に対して自分の個人データの削除をリクエストできます。
Google は、お客様がサービスを使用してお客様データを削除できるようにする機能を提供しています。Google Cloud Platform でのデータの削除について詳しくは、こちらのページをご覧ください。• Google Workspace(Google Workspace for Education を含む)については、組織からユーザーを削除すると 組織の Google アカウントを削除するに関するヘルプセンターの記事をご覧ください。
対象州: CA、CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、UT、VA
CDPA の参照: CDPA の一般条項のセクション 6(データの削除)
ポータビリティの権利
消費者は、企業に対して個人データのエクスポートをリクエストできます。
Google は、お客様がサービスを使用してデータをエクスポートできるようにする機能を提供しています。
対象州: CA、CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、UT、VA
CDPA の参照: CDPA の一般条項の 9.1 項(アクセス、訂正、制限付きの処理、ポータビリティ)
オプトアウト 権利
消費者は、企業に対して個人データのエクスポートをリクエストできます。
これは、お客様のビジネス オペレーションに基づいてお客様が責任を負います。Google は、契約条件に従ってサービスを提供、保護、監視するためにのみ、お客様のデータ(お客様の個人データを含む)にアクセスまたは使用することを約束します。
対象州: CA、CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、UT、VA
CDPA の参照: CDPA の一般条項の第 5.2 項(お客様の指示の遵守)、第 7.1.2 項(アクセスとコンプライアンス)、第 9.1 項(アクセス、訂正、制限付きの処理、ポータビリティ)。
センシティブ データの使用を制限する権利
消費者は、企業が自分の機密情報を利用する目的を制限できます。
お客様は、サービスを使用してお客様の個人データを処理する目的を決定します。Google は、お客様の指示に従ってのみお客様のデータを処理することを約束します。
適用される州: CA
CDPA の参照: CDPA の一般条項の 9.1 項(アクセス、訂正、制限付きの処理、ポータビリティ)
保護者による子どもの権利の行使
未成年者(18 歳未満)の個人データの処理に関して、その未成年者の親または法定後見人は、未成年者を代表して消費者の権利を行使することができます。
お客様のビジネス オペレーションに基づいてお客様が責任を負います。
対象州: CA、CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、UT、VA
CDPA リファレンス: なし
権利リクエストを送信する方法
企業は、消費者がプライバシー権を行使するためのリクエストを送信するためのプロセスを確立する必要があります。
権利リクエストへの対応プロセスを参照してください。
対象州: CA、CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、UT、VA
CDPA リファレンス: なし
オプトアウト シグナル
消費者は、特定の個人データの処理をオプトアウトするために、代理人として別の人物を指名できます。
オプトアウト権をご覧ください。
適用される州: CA、CO、CT、MT、OR、TX
CDPA リファレンス: なし
権利リクエストへの対応プロセス
企業は、消費者からのリクエストに、不当な遅滞なく、受領から 45 日以内に応答する必要があります。
最終的にはお客様の責任となりますが、Google がお客様の個人データに関連するリクエストを消費者から受け取った場合、Google のクラウドデータ保護チームは、リクエストを Google Cloud のお客様であるお客様に送信するようリクエスト者にアドバイスします。Google Cloud のお客様は、内部手順と要件に従って、これらのリクエストへの対応を管理できます。
対象州: CA、CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、UT、VA
CDPA の参照: CDPA の一般条項のセクション 9.2(データ主体のリクエスト)
リクエストの確認
企業は、権利を行使するリクエストを行った消費者の身元を確認する必要があります。
これは、お客様のビジネス オペレーションに基づいてお客様が責任を負います。
適用される州: CA、CO
CDPA リファレンス: なし
権利の不服申し立て手続き
企業は、消費者の要求に応じない決定を不服申し立てできる内部プロセスを確立する必要があります。
これは、お客様のビジネス オペレーションに基づいてお客様が責任を負います。
対象州: CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、VA
CDPA リファレンス: なし
権利リクエストの流れに関する要件
消費者から個人情報の削除を求められた場合、その企業は、サービス プロバイダに消費者の個人情報を削除するよう通知する必要があります。
これは、お客様のビジネス オペレーションに基づいてお客様が責任を負います。Google は、サービスの機能を使用して、いつでも顧客データを削除できるようにしています。行 3(右側の削除)を参照してください。
適用される州: CA
CDPA の参照: CDPA の一般条項の 5.2 節(お客様の指示の遵守)と 6 節(データの削除)
事業者 / データ管理者の責任
最小化と目的制限
事業者が消費者の個人情報を収集し、使用する場合、その個人情報を収集または処理した目的を達成するために合理的に必要とされる範囲に限定する必要があります。
お客様は、サービスにどの情報を入力するか、どのサービスを使用するか、どのように使用するか、どのような目的で使用するかを決定します。Google は、契約条件に従ってサービスを提供、保護、監視するためにのみ、顧客データにアクセスまたは使用します。
対象州: CA、CO、CT、DE、FL、IN、MT、OR、TN、TX、VA
CDPA の参照: CDPA の一般条項の第 5.2 節(お客様の指示の遵守)および第 7.1.2 節(アクセスとコンプライアンス)。
データ セキュリティ
事業者は、個人データの機密性、完全性、アクセス可能性を保護するために、合理的な管理、技術、物理的なデータ セキュリティ手順を確立、実装、維持する必要があります。
CDPA の付録 2 に記載されているセキュリティ対策に加え、Google は、お客様が個人情報を保護するための追加の安全対策を実装できるようにする機能を提供します。この機能を使用するには、お客様の管理下にあるクラウドで機能を適切に構成する必要がある場合があります。
Google は、Google のインフラストラクチャ(サービスに使用されるハードウェア、ソフトウェア、ネットワーキング、施設)のセキュリティを管理します。Google では、リスク評価の一環として、お客様が Google の内部統制をレビューする必要があると認識しています。Google は、独立した第三者による監査を少なくとも毎年実施し、運用と内部統制の独立した検証を提供しています。Google は、お客様との契約期間において、少なくとも次の重要な国際基準を遵守することに取り組んでいます。
Google は、セキュリティに関する詳細情報をお客様に提供しています。
- インフラストラクチャ セキュリティ ページ
- セキュリティに関するホワイトペーパー
- クラウドネイティブ セキュリティに関するホワイトペーパー
- インフラストラクチャのセキュリティ設計の概要ページ
- セキュリティ リソース ページ
- Cloud コンプライアンス リソース ページ
対象州: CA、CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、UT、VA
CDPA の参照: 一般条項の第 7.1 節(Google のセキュリティ対策、管理、支援)、第 7.3 節(お客様のセキュリティに関する責任と評価)、第 7.4 節(コンプライアンス認証と SOC レポート)、CDPA の付録 2(セキュリティ対策)。
権利行使による差別
事業者は、消費者が権利を行使したとしても、その消費者を差別することはできません。
これは、お客様の事業運営に基づいてお客様が責任を負います。
対象州: CA、CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、UT、VA
CDPA リファレンス: なし
差別的処理
事業者は、消費者に対する不法な差別を禁止する州法および連邦法に違反して個人データを処理することはできません。
これは、お客様の事業運営に基づいてお客様が責任を負います。
対象州: CO、CT、DE、FL、IA、IN、MT、TN、TX、VA
CDPA リファレンス: なし
センシティブ データの同意 / オプトアウト要件
事業者は、消費者の同意を得ずに、または、既知の子どもの場合は COPPA に従って、消費者に関するセンシティブ データを処理することはできません。
これは、お客様の事業運営に基づいてお客様が責任を負います。
対象州: CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、UT、VA
CDPA リファレンス: なし
その他の同意義務
事業者は、同意を得ずに、デバイス(音声や顔認識など)によって収集されたデータを監視の目的で使用してはなりません。
これは、お客様の事業運営に基づいてお客様が責任を負います。
適用される州: FL
CDPA リファレンス: なし
未成年者 - 販売 / 共有 / ターゲット広告に関する同意
事業者は、同意を得ずに、ターゲティング広告や販売のために未成年者の個人データを処理することはできません。
これは、お客様の事業運営に基づいてお客様が責任を負います。
適用される州: CA、CT、MT、OR
CDPA リファレンス: なし
収集時の通知
事業者は、個人情報を収集する際、または収集する前に、消費者に通知を提供する必要があります。
これは、お客様の事業運営に基づいてお客様が責任を負います。
対象州: CA
CDPA リファレンス: なし
プライバシーに関するお知らせ
事業者は、個人データの処理方法と消費者の権利を説明するプライバシーに関するお知らせを消費者に提供する必要があります。
これは、お客様の事業運営に基づいてお客様が責任を負います。
対象州: CA、CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、UT、VA
CDPA リファレンス: なし
その他の透明性に関する義務
消費者への開示は、アクセスしやすく、理解しやすいものである必要があります。
これは、お客様の事業運営に基づいてお客様が責任を負います。
対象州: CA、CO、FL
CDPA リファレンス: なし
販売とターゲット広告に関する開示
個人情報の販売やターゲット広告の利用を明らかにし、オプトアウトの機会を提供する必要があります。
これは、お客様の事業運営に基づいてお客様が責任を負います。
対象州: CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、UT、VA
CDPA リファレンス: なし
匿名化データと仮名化データの処理
匿名化されたデータを利用する事業者は、そのようなデータが消費者に関連付けられないようにするための合理的な措置を講じ、そのような匿名化されたデータの受信者にこの義務を遵守するよう要求する必要があります。
これは、お客様の事業運営に基づいてお客様が責任を負います。Google は、契約条件に従ってサービスを提供、保護、監視するためにのみ、顧客データにアクセスまたは使用します。
対象州: CA、CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、UT、VA
CDPA の参照: CDPA の一般条項の第 5.2 節(お客様の指示の遵守)
データ保護評価
事業者は、特定の処理活動についてデータ保護評価を実施する必要があります。
Google は、お客様がデータ保護影響評価を実施する際に、合理的な協力と支援を提供することを約束します。Google Cloud Platform または Google Workspace サービスについては、Google の DPIA リソースページで、DPIA とは何か、およびこれらのサービスを利用する際に DPIA が必要かどうかについて詳しくご覧ください。
対象州: CO、CT、DE、FL、IN、MT、OR、TN、TX、UT、VA
CDPA の参照: CDPA の一般条項の第 8 節(影響評価と協議)
個人情報の再販に関する制限
第三者は、事業者から購入した個人情報を販売してはなりません。
Google は顧客データを決して販売しません。Google は、契約条件に従ってサービスを提供、保護、モニタリングするためにのみ、顧客データにアクセスまたは使用します。
対象州: CA
CDPA の参照: CDPA の一般条項の第 5.2 節(お客様の指示の遵守)
トレーニングと記録の要件
事業者は、消費者の問い合わせに対応できるように従業員をトレーニングし、消費者からのリクエストとその対応の記録を 24 か月間保持する必要があります。
これは、お客様の事業運営に基づいてお客様が責任を負います。
対象州: CA
CDPA の参照: CDPA の一般条項の第 12.2 節(Google の処理記録)
サービス プロバイダ / プロセッサの義務
サービス プロバイダまたは請負業者への個人情報の販売、共有、開示に関する契約要件
消費者の個人情報を販売する企業は、特定の要件を満たす第三者と契約を結ばなければなりません。
Google は、お客様の個人データを購入したり、第三者に販売したりすることはありません。Google は、下請け業者に対して、当社と同じ水準の高い基準を満たすことを求めています。特に、下請け業者に対して、Google とお客様との契約を遵守すること、および下請けされた義務を履行するために必要な範囲でのみお客様のデータにアクセスすることを求めています。下請けした業務にともなう義務については Google が責任を負います。
対象州: CA
CDPA の参照: CDPA の一般条項の第 11.3 節(復処理者の使用要件)。
データ管理者 / データ処理者のステータス
当事者が個人データの特定の処理に関してデータ管理者であるか、またはデータ処理者であるかは、事実に基づく判断であり、個人データが処理されるコンテキストに依存します。
Google Cloud の目的において、Google はお客様の個人データのデータ処理者として機能します。お客様は、該当する場合、データ管理者またはデータ処理者です。
対象州: CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、UT、VA
CDPA の参照: CDPA の一般条項の第 4.1 節(当事者のロール)
契約要件
データ管理者とデータ処理者との間の契約は、データ管理者の代わりに処理を履行するデータ処理者のデータ処理手順を規定するものとします。
お客様の契約(Cloud のデータ処理に関する追加条項を含む)は、お客様に代わって処理を行う Google のデータ処理手順を規定します。
対象州: CA、CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、UT、VA
CDPA の参照: CDPA の付録 1(データ処理の主題および詳細)
データ使用に関する制限
データ管理者とデータ処理者との間の契約は、データ処理に関する指示、処理の性質と目的、処理対象データの種類、処理期間、両当事者の権利と義務を規定するものとします。
Google は、CDPA に従って、お客様の個人データのみを処理することを約束します。CDPA には、処理の対象と期間、処理の性質と目的、データのカテゴリを説明する付録 1 が含まれます。
対象州: CA、CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、UT、VA
CDPA の参照: 一般条項の第 5.2 節(お客様の指示の遵守)および第 7.1.2 節(アクセスとコンプライアンス)、CDPA の付録 1(データ処理の主題と詳細)。
従業員に機密保持義務を課す
データ管理者とデータ処理者との契約により、個人データを処理する各担当者は機密保持義務を有するように保証されます。
お客様は、Google Cloud 上のデータ(エンドユーザーのデータを含む)にいつでもアクセスできます。Google がお客様の個人データに関連するリクエストを個人(お客様のエンドユーザーなど)から受けた場合、Google のプライバシー チームは、リクエストをお客様(Google Cloud のお客様)に送信するようリクエスト者にアドバイスします。Google Cloud のお客様は、内部手順と要件に従って、これらのリクエストへの対応を管理できます。
対象州: CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、UT、VA
CDPA の参照: 一般条項の第 7.1.2 節(アクセスとコンプライアンス)と、CDPA の付録 2(セキュリティ対策)の第 4 節(従業員のセキュリティ)
監査要件
データ管理者とデータ処理者の間の契約により、データ処理者は、データ管理者からのリクエストに応じて、データ処理者の義務の遵守を示す情報をデータ管理者に提供し、承認済みの管理フレームワークを使用して毎年独立した監査を受けることが保証されます。
Google は、関連するセキュリティ ドキュメントをお客様が確認できるようにし、運用と内部統制の独立した検証を提供するために、少なくとも毎年、第三者による監査を複数回実施することで、お客様のコンプライアンスをサポートしています。Google の Compliance Reports Manager ページでは、重要なコンプライアンス リソースに追加料金なしで簡単にオンデマンド アクセスできます。主要リソースには、Google の最新 ISO/IEC 証明書、SOC レポート、自己診断などがあります。
対象州: CA、CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、VA
CDPA の参照: CDPA の一般条項の第 7.4 節(コンプライアンス認証と SOC レポート)および第 7.5 節(コンプライアンスの審査と監査)。
データ管理者の義務のサポート
データ処理者は、処理の性質とデータ処理者が利用できる情報に留意し、消費者の権利に関する要請に応答するなど、事業者の指示に従い、事業者を支援します。
Google は、CDPA の一般条項の第 9 節で消費者からのリクエストに応じてお客様を支援することを約束しています。
対象州: CA、CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、VA
CDPA の参照: 上記の「消費者の権利」と「事業者 / データ管理者の責任」の節にある回答を参照してください。CDPA の一般条項の第 9 節(アクセス、データ主体の権利、データ エクスポート)と第 9.2.2 節(Google によるデータ主体のリクエスト支援)
データ管理者の義務のサポート
データ処理者は、処理の性質とデータ処理者が利用できる情報に留意し、個人データの処理のセキュリティとセキュリティ侵害の通知に関する義務を果たすよう、事業者の指示に従い、事業者を支援します。
Google は、お客様データを不正な開示やアクセスから保護するための技術的、組織的、物理的な対策を実装し、維持します。Google は、データ インシデントが発生した場合、速やかにお客様に通知し、詳細を提供します。Google は、お客様が利用できる追加のセキュリティ管理機能も提供しています。
対象州: CA、CO、CT、DE、FL、IA、IN、MT、OR、TX、UT、VA
CDPA の参照: 一般条項の第 7.1 節(Google のセキュリティ対策、管理、支援)、第 7.1.4 節(Google のセキュリティ支援)、第 7.2 節(データ インシデント)、第 7.2.1 節(インシデントの通知)、第 7.3 節(お客様のセキュリティに関する責任と評価)、CDPA の付録 2(セキュリティ対策)。
データ管理者の義務のサポート
処理の性質とデータ処理者が利用できる情報に留意して、データ処理者は、データ保護評価を実施するために必要な情報を提供することにより、事業者の指示に従い、事業者を支援します。
Google は、CDPA の一般条項の第 8 節で、データ保護評価に関するお客様の支援に取り組むことを約束しています。さらに、Google Cloud Platform と Google Workspace については、お客様を支援するために DPIA リソース センターを維持しています。
対象州: CA、CO、CT、DE、FL、IN、MT、OR、TX、VA
CDPA の参照: CDPA の一般条項の第 8 節(影響評価と協議)
下請け業者の異議申し立ての権利
個人データを扱う下請け業者は、事業者が異議を唱える機会がない限り、契約することができません。
Google は、新しい復処理者の契約に関する情報と、お客様の便宜のために契約を解除して異議を申し立てることができる機会を含む通知をお客様に提供します。Google のサービスは 1 対多の性質を備えているため、個々のお客様ごとに承認プロセスを運用化することはできません。Google は、下請業者に対し、当社と同じ水準の高い基準を満たすことを求めています。下請けした業務にともなう義務については Google が責任を負います。特に、Google は、下請け業者に対し、お客様との契約を遵守しすること、および下請けされた義務を履行するために必要な範囲でのみお客様のデータにアクセスすることを求めています。
対象州: CO、CT、DE
CDPA の参照: CDPA の一般条項の第 11.1 節(データ処理復処理者の利用に対する同意)、第 11.3 節(データ処理復処理者利用の要件)、第 11.4(データ処理復処理者に対する異議申し立ての機会)。
サービスの解除 / 完了時にデータを削除または返却する
データ管理者とデータ処理者の間の契約は、データ処理者はサービス提供の終了時に、すべてのお客様の個人データを返却または破棄することを保証します。
Google は、適用される法律に従って、契約期間の終了時に、すべてのお客様のデータ(お客様の個人データを含む)を最長 180 日以内に削除します。Google のデータ削除プロセスとコミットメントの詳細については、CDPA と Google Cloud でのデータ削除のドキュメントをご覧ください。
対象州: CA、CO、CT、DE、FL、IA、IN、MT、OR、TN、TX、VA
CDPA の参照: CDPA の一般条項の第 6.1 節(お客様による削除)および第 6.2 節(期間終了時の返却または削除)
義務を履行できなくなった場合はデータ管理者に通知する
データ処理者は、CCPA に基づく義務を履行できなくなったと判断した場合、その旨を事業者に通知する必要があります。
Google は、適用法により通知が禁止されていない限り、CCPA に基づく義務を履行できない場合、お客様に通知します。
対象州: CA
CDPA の参照: CDPA の付録 3(固有のプライバシー法)に記載された CCPA 小区分の第 3 節(コンプライアンス)
セキュリティのベスト プラクティスに関する情報
ベスト プラクティスを見るよくある問題を解決する
セキュリティのユースケース動画を見るパートナーの活用
セキュリティ パートナーを見る
