EU 金融機関に関する考慮事項: 金融機関は、ICT リスク管理のために内部のガバナンスと管理フレームワークを確立し、ICT リスクを継続的にモニタリングする必要があります。これらの ICT リスク管理およびモニタリングの要件は、サードパーティ プロバイダが提供する ICT サービスの使用にも適用されます。

ICT プロバイダに関する考慮事項: ICT プロバイダは、プロバイダが関連するシステムやプロセスを管理する場所など、お客様の ICT リスク管理とモニタリングをサポートできる必要があります。さらに、重要な ICT プロバイダでは、新しい主任監督者がプロバイダのリスク管理プロセス（ICT リスク管理ポリシー、ICT ビジネス継続性ポリシー、ICT 対応および復旧計画など）を評価します。

Google Cloud サポート: Google Cloud の導入前でも、 リスク評価と重要なアセット検出ソリューションを使用して、組織の現在の IT リスクを把握し、重要なアセットの場所を特定して、セキュリティ ポスチャーと復元力を向上させるための推奨事項を受け取ることができます。また、制御によるリスク管理やアセット管理に関するガイダンスも公開しています。

Google Cloud に移行した後は、Cloud Monitoring、Resource Manager、Infrastructure Manager、Cyber Insurance Hub などの複数のツールを利用してクラウド リソースを継続的にマッピングおよび管理できます。Google のリスク管理への取り組みについては、Google の 認定と監査レポートをご覧ください。

さらにサポートが必要な場合は、Mandiant（現在は Google Cloud の一部）が、リスク管理サービス（サイバーリスク管理オペレーション サービス、脅威モデリング セキュリティ サービス、サイバー セキュリティのデュー デリジェンス サービス、サイバー セキュリティ プログラム評価など）を提供しています。 詳しいガイダンスについては、ICT リスク管理カスタマー ガイドもご覧ください。

EU 金融機関に関する考慮事項: DORA は、金融業界のインシデント報告要件を単一の効率的なフレームワークの下に統合します。これは、複数の業界や EU 加盟国で活動している金融機関が、時間的制約のある状況下で重複する報告制度を並行して進める必要がなくなることを意味します。

DORA はまた、NIS2 のような重複するインシデント報告制度に対処することも目指しています。これらの変更により、規制当局は必要な情報を取得できるようになり、金融機関はインシデント対応の他の重要な側面に集中できるようになります。金融機関は、特定のテンプレートとタイムラインで定義されたしきい値に従ってインシデントを報告する必要があります。また、インシデント発生後に根本原因と改善を文書化する手順を実装する必要もあります。

ICT プロバイダに関する考慮事項: ICT プロバイダは、お客様のインシデント報告要件をサポートできる必要があります。さらに、重要な ICT プロバイダの場合、主要監督者が、重大な ICT 関連のインシデントの識別、モニタリング、迅速な報告に関して、金融機関に対するプロバイダのプロセスを直接評価します。

Google Cloud サポート: Google は、Google Cloud の使用に影響する ICT 関連インシデントに関する DORA 契約の改訂版をお客様に通知するようになります。Google は、これらの通知を既存の通知チャンネル（メール、Personalized Service Health（PSH）、Service Health ダッシュボード、Google Cloud サポート センターなど）を通じて追加料金なしで提供します。

これらの要件はいまだ進展中ですが、Google Cloud は、期限内に通知を提供し、金融機関がDORA要件に基づいて独自の評価と報告できるように、必要な情報を提供することに取り組んでいます。

EU 金融機関に関する考慮事項: DORA は、TIBER-EU などの EU の既存イニシアチブを活用して、デジタル オペレーショナル レジリエンスを検証するための、EU 全域を対象とする取り組みを確立しています。その一環として、一部の金融機関で 3 年ごとの高度な脅威ベースのペネトレーション テスト（TLPT）も実施されています。検証手法を明確にし、検証結果の相互承認を導入することにより、DORA は金融機関が EU 全域で有効な方法を用いて、検証能力を継続的に構築、拡大することを支援しています。  

ICT プロバイダに関する考慮事項: DORA は、金融機関が実施する TLPT における ICT プロバイダのロールに直接対応しています。特に、DORA は、パブリック クラウドのようなマルチテナント サービスでの検証の影響を管理する検証プールを認めています。さらに、重要な ICT プロバイダの場合、主要監督者が、ICT システム、インフラストラクチャ、管理に関するプロバイダ独自の検証を直接評価します。

Google Cloud サポート: Google は、DORA の第 26（4）条に記載されている外部テスターによる共同検証を促進することにより、TLPT に参加する予定です。共同検証は Google Cloud のデジタル オペレーショナル レジリエンスの最も効果的なテストであるとともに、マルチテナント環境においてテストのその他のお客様への固有のリスクを管理するためにも最適であると確信しています。

EU 金融機関に関する考慮事項: DORA は、欧州監督機関の各アウトソーシング ガイドラインによって確立された強固な基盤上で、ICT サードパーティ リスク管理フレームワークを実装するための要件や ICT プロバイダとの契約要件など、業界を超えた ICT サードパーティ リスク管理要件をさらに統合します。類似するリスクが業界や EU 加盟国全体で一貫して対処されるようにすることで、DORA は金融機関が ICT サードパーティリスク管理プログラムを統合、強化できるようにします。

ICT プロバイダに関する考慮事項: ICT プロバイダは、お客様のサードパーティのリスク管理要件をサポートできる必要があります。さらに、DORA では、主任監督者が重要な ICT プロバイダを直接監督することが許可されています。この仕組みにより、監視計画、視察、勧告など、年間の取り組みを通じて、規制当局と指定された ICT プロバイダとの間に直接的なコミュニケーション チャネルが構築されます。

Google Cloud のサポート: 金融機関のお客様には、Google Cloud、Google Workspace、SecOps サービスの新しい契約条項を更新し、第 30 条の主要な契約条項に対応します。DORA の契約条件が必要な場合は、Google Cloud の担当者に詳細をお問い合わせください。また Google では、Google Cloud と Google Workspace の第 30 条へのマッピングを作成することで、契約、管理、プロセスが DORA の要件を満たすのにどのように役立つかをより効果的に理解できるようにしています。

EU 金融機関に関する考慮事項: DORA は、金融機関がサイバー脅威の情報とインテリジェンスを他の金融機関や規制機関と自発的に共有する場合の考慮事項を概説しています。

ICT プロバイダに関する考慮事項: DORA は、潜在的な機密情報を保護する情報共有の取り決めに ICT が関与することを検討しています。ただし、この取り決めはまだ定義されていません。 

Google Cloud サポート: Google Cloud は、お客様が DORA の要件に沿ってサイバー脅威に対するプロアクティブな保護を実施できるよう、プロダクトとサービスを提供しています。Google は、脅威に関する戦略的インテリジェンスをお客様に提供するために、四半期ごとに Threat Horizons レポートを公開しています。また、お客様は Mandiant のインシデント対応、サイバーリスク管理サービス、攻撃型セキュリティ サービスを利用して、サイバー インシデントを防止し、インシデントに備えることができます。

DORA は EU の規則です。この規則は、EU 加盟国のすべての金融サービス業者に適用されます。DORA は既存のルールを更新し、共通要件を強化することで、ICT リスクを軽減し、欧州の金融システムのデジタル レジリエンスを強化します。重要なのは、DORA には EU の金融規制機関（欧州銀行監督局、欧州保険企業年金監督庁、欧州証券市場監督局（総称して欧州監督機構））が重要な ICT プロバイダを直接監視するためのフレームワークも導入されていることです。

DORA は、EU の金融機関に対する共通要件を強化することで、ICT リスクを軽減し、欧州の金融システムのデジタル レジリエンスを強化するものです。具体例は次のとおりです。

1. DORA には、ICT リスク管理に関して金融機関に対する詳細な要件が含まれています。
2. DORA は、金融業界のインシデント報告要件を単一の効率的なフレームワークの下に統合します。
3. DORA は TIBER-EU などの EU の既存イニシアチブを利用して、脅威ベースのペネトレーション テストなど、デジタル オペレーショナル レジリエンスを検証するための EU 全域を対象とするアプローチを確立します。
4. DORA は、欧州監督機関の各アウトソーシング ガイドラインに従って確立された強固な基盤の上で、ICT プロバイダとの契約要件など、業界を超えた ICT のサードパーティ リスク管理要件をさらに統合しています。

DORA は、欧州監督機構が重要な ICT プロバイダを直接監督できるようにする仕組みも導入しています。この仕組みにより、監視計画、視察、勧告など、年間の取り組みを通じて、規制当局と指定された ICT プロバイダとの間に直接的なコミュニケーション チャネルが構築されます。

DORA は主に EU の金融機関に適用されます。ただし、公式なプロセスに従って欧州監督機構が「重要」と指定した ICT プロバイダ（クラウド サービス プロバイダを含む）には、DORA が部分的に適用されます。申告は、ICT プロバイダのサービスの障害によるシステム的な影響や、それらのサービスに依存している金融機関のシステム的な重要性など、さまざまな要因に基づいて行われます。

DORA は 2025 年 1 月 17 日（EU の官報への掲載から 2 年と 20 日後）に施行されました。

DORA が直接適用となるのは、欧州監督機構によって「重要」に指定されている重要な ICT プロバイダに限られます。したがって、重要な ICT プロバイダに対する遵守期限は、申告のタイミングによって異なります。

Google Cloud EMEA Limited は、重要な ICT サードパーティ サービス プロバイダ（CTPP）として正式に指定されています。この指定には、Google Cloud EMEA Limited の子会社である Google Cloud France SARL、Google Cloud Italy S.r.l、Google Cloud Poland Sp. z o.o. が含まれます。

Google Cloud EMEA Limited は、欧州監督機構（ESA）が実施した重要性評価に基づき、重要な ICT サードパーティ サービス プロバイダ（CTPP）に指定されています。各 CTPP の指定について結論を出すにあたり、ESA は DORA に定められた次の基準を考慮しています。（a）CTPP の ICT サービスの障害が金融セクターに与えるシステム的な影響、（b）CTPP の ICT サービスを利用する金融機関のシステム的な重要性、（c）金融機関が CTPP の ICT サービスに依存する度合い、（d）CTPP の ICT サービスの代替可能性。ESA の重要性評価の具体的な方法は、金融機関にとって重要な ICT サードパーティ サービス プロバイダの指定基準を定めた委任規則に定められています。

Google Cloud EMEA Limited は、割り当てられた主監督機関によって直接監督されます。主監督機関は、金融セクターの欧州監督機構のいずれかになります。主監督機関は、Google Cloud EMEA Limited が、そのサービスを利用する金融機関に対して生じうる情報通信技術（ICT）リスクを管理するための、包括的で健全かつ効果的なルール、手順、メカニズム、取り決めを備えているかどうかを評価します。重要な ICT サードパーティ サービス プロバイダ（CTPP）の監督が実際にどのように行われるかについて詳しくは、欧州監督機構が発行した監督活動ガイドをご覧ください。

Google Cloud EMEA Limited が重要な ICT サードパーティ サービス プロバイダ（CTPP）に指定され、監督されることになっても、お客様による Google のサービスのご利用や、お客様の契約の条件に変更はありません。

お客様の組織が DORA の対象となる金融機関である場合、CTPP に対する監督は、第三者リスク管理を含む、DORA に基づくお客様自身の責任をいかなる形でも代替または軽減するものではありません。

とはいえ、金融機関によるリスク管理を補完し、CTPP と EU および各国の主要な監督機関との間で情報や知見が円滑に共有される仕組みが整うことで、CTPP への監督はお客様とユーザーにとって有益なものになると確信しています。

DORA に基づく重要な ICT プロバイダのための監視フレームワークは、ICT プロバイダ、金融機関、金融規制機関の間の理解、透明性、信頼を強化し、その結果、欧州におけるイノベーションを刺激する正当な機会をもたらします。この仕組みにより、監視計画、視察、勧告など、年間の取り組みを通じて、規制当局と指定された ICT プロバイダとの間に直接的なコミュニケーション チャネルが構築されます。Google Cloud は、この体系的な対話が、業界全体のリスク管理とレジリエンスの向上につながると確信しています。

Google Cloud は、規制機関が金融機関によるサービスの利用を効果的に監視できるよう取り組んでいます。金融機関、およびその規制当局と関係者に情報、監査、アクセス権を付与し、金融機関またはその規制当局がこれらの権利の行使を選択した場合はお客様をサポートします。また、主要監督者との関係においても、継続的な透明性、コラボレーション、保証に対して、これまでと同様のコミットメントをもって取り組んでまいります。

Google は、直接的な監督要件の計画に重点を置いています。また、直接監視機能が、規制当局とのコミュニケーション、効率的な監査、修復計画を期限内に効果的にサポートできるように取り組んでいます。

Google は、金融機関のお客様向けに、Google Cloud、Google Workspace、SecOps サービスの新しい契約条項を更新し、第 30 条の主要な契約条項に対応しています。DORA の契約条件が必要な場合は、Google Cloud の担当者に詳細をお問い合わせください。

また Google では、Google Cloud と Google Workspace の第 30 条へのマッピングを作成することで、契約、管理、プロセスが DORA の要件を満たすのにどのように役立つかをより効果的に理解できるようにしています。

下請け契約に関する RTS には、追加の契約要件が盛り込まれています。Google Cloud、Google Workspace、SecOps サービスの契約条項を更新し、下請け契約に関する RTS の契約要件にも対応しています。DORA の契約条件が必要な場合は、Google Cloud の担当者に詳細をお問い合わせください。

お客様が Google Cloud を使用して EU の金融機関に独自の ICT サービスを提供する場合、Google との適切な従属契約条項を締結する必要があることを Google は認識しています。このような状況において、Google はお客様およびパートナー様に対し、第 30 条の主要な契約条項に対応する同等の契約条項を提示しています。DORA の契約条件が必要な場合は、Google Cloud の担当者に詳細をお問い合わせください。

また、Google Cloud の第 30 条へのマッピングも作成しました。これは、Google の契約、管理、プロセスが、どのように DORA 要件の遵守をサポートするのかという理解に役立ちます。