EU デジタル オペレーショナル レジリエンスに関する規制(DORA)

2025 年 1 月 17 日以降、欧州連合(EU)の金融機関とその重要な情報通信技術(ICT)プロバイダは、EU のデジタル オペレーショナル レジリエンスに関する規制(規則(EU)2022/2554 - 「DORA」)を遵守する体制を整える必要があります。DORA は、金融サービス分野と EU 加盟国全体において、金融機関によるサイバーセキュリティ インシデントの報告、デジタル オペレーショナル レジリエンスの検証、ICT サードパーティ リスク管理などの方法を標準化するものです。

また、DORA では、ICT プロバイダに求められるロールを明確に定めるだけでなく、EU 金融規制当局が重要な ICT プロバイダを直接監督することを可能にします。条件が合致する部分においては、この規制は Google Cloud のようなクラウド サービス プロバイダにも適用されます。

お客様に対する Google Cloud のサポート

Google Cloud は、該当する DORA の要件に対処するリソースを提供することでお客様をサポートしています。これには以下が含まれます。

  • DORA に関するよくある質問
  • DORA の第 30 条の主要な契約条件に対応するために、Google Cloud と Google Workspace の契約条項を更新しました。DORA の契約条件が必要な場合は、Google Cloud の担当者に詳細をお問い合わせください。
  • Google CloudGoogle Workspace の両方の DORA 第 30 条に向けたマッピングにより、Google の契約、管理、プロセスによる DORA の要件への対応方法について、お客様により容易に理解していただけるようになりました。
  • DORA のリスク管理要件へのコンプライアンスをサポートする ICT リスク管理カスタマー ガイド
  • 情報登録簿カスタマー ガイド: Google Cloud サービスに関連する情報登録簿テンプレートを完成させるために必要な情報を提供します。
  • サードパーティ リスク管理リソース センターは、Google Cloud における下請け業者の選定、管理、モニタリングに関する情報を提供し、Google Cloud がお客様に対するサードパーティ リスクをどのように入念に管理しているかに関するインサイトを示しています。

デジタル オペレーショナル レジリエンスに関する規制(DORA)の主要な領域

EU 金融機関に関する考慮事項: 金融機関は、ICT リスク管理のために内部のガバナンスと管理フレームワークを確立し、ICT リスクを継続的にモニタリングする必要があります。これらの ICT リスク管理およびモニタリングの要件は、サードパーティ プロバイダが提供する ICT サービスの使用にも適用されます。

ICT プロバイダに関する考慮事項: ICT プロバイダは、プロバイダが関連するシステムやプロセスを管理する場所など、お客様の ICT リスク管理とモニタリングをサポートできる必要があります。さらに、重要な ICT プロバイダでは、新しい主任監督者がプロバイダのリスク管理プロセス(ICT リスク管理ポリシー、ICT ビジネス継続性ポリシー、ICT 対応および復旧計画など)を評価します。

Google Cloud サポート: Google Cloud の導入前でも、 リスク評価と重要なアセット検出ソリューションを使用して、組織の現在の IT リスクを把握し、重要なアセットの場所を特定して、セキュリティ ポスチャーと復元力を向上させるための推奨事項を受け取ることができます。また、制御によるリスク管理やアセット管理に関するガイダンスも公開しています。

Google Cloud に移行した後は、Google Cloud OperationsResource ManagerCloud Deployment ManagerRisk Manager などの複数のツールを利用してクラウド リソースを継続的にマッピングおよび管理できます。Google のリスク管理への取り組みについては、Google の 認定と監査レポートをご覧ください。

さらにサポートが必要な場合は、Mandiant(現在は Google Cloud の一部)が、リスク管理サービス(サイバーリスク管理オペレーション サービス脅威モデリング セキュリティ サービスサイバー セキュリティのデュー デリジェンス サービスサイバー セキュリティ プログラム評価など)を提供しています。 詳細なガイダンスについては、ICT リスク管理カスタマー ガイドもご覧ください。

EU 金融機関に関する考慮事項: DORA は、金融業界のインシデント報告要件を単一の効率的なフレームワークの下に統合します。これは、複数の業界や EU 加盟国で活動している金融機関が、時間的制約のある状況下で重複する報告制度を並行して進める必要がなくなることを意味します。

DORA はまた、NIS2 のような重複するインシデント報告制度に対処することも目指しています。これらの変更により、規制当局は必要な情報を取得できるようになり、金融機関はインシデント対応の他の重要な側面に集中できるようになります。金融機関は、特定のテンプレートとタイムラインで定義されたしきい値に従ってインシデントを報告する必要があります。また、インシデント発生後に根本原因と改善を文書化する手順を実装する必要もあります。

ICT プロバイダに関する考慮事項: ICT プロバイダは、お客様のインシデント報告要件をサポートできる必要があります。さらに、重要な ICT プロバイダの場合、新しい主要監督者が、重大な ICT 関連のインシデントの識別、モニタリング、迅速な報告に関して、金融機関に対するプロバイダのプロセスを直接評価します。

Google Cloud サポート: Google は、Google Cloud の使用に影響する ICT 関連インシデントに関する DORA 契約の改訂版をお客様に通知するようになります。Google は、これらの通知を既存の通知チャンネル(メール、Personalized Service Health(PSH)Service Health ダッシュボードGoogle Cloud サポート センターなど)を通じて追加料金なしで提供します。

Google Cloud は、期限内に通知を提供し、金融機関が DORA 要件に基づいて独自の評価と報告を円滑に行うために必要な情報を提供することに取り組んでいます。

EU 金融機関に関する考慮事項: DORA は、TIBER-EU などの EU の既存イニシアチブを活用して、デジタル オペレーショナル レジリエンスを検証するための、EU 全域を対象とする新しい取り組みを確立します。その一環として、一部の金融機関で 3 年ごとの高度な脅威ベースのペネトレーション テスト(TLPT)も実施されます。検証手法を明確にし、検証結果の相互承認を導入することにより、DORA は金融機関が EU 全域で有効な方法を用いて、検証能力を継続的に構築、拡大することを支援します。  

ICT プロバイダに関する考慮事項: DORA は、金融機関が実施する TLPT における ICT プロバイダのロールに直接対応しています。特に、DORA は、パブリック クラウドのようなマルチテナント サービスでの検証の影響を管理する検証プールを認めています。さらに、重要な ICT プロバイダの場合、新しい主要監督者が、ICT システム、インフラストラクチャ、管理に関するプロバイダ独自の検証を直接評価します。

Google Cloud サポート: Google は、DORA の第 26(4)条に記載されている外部テスターによる共同検証を促進することにより、TLPT に参加する予定です。共同検証は Google Cloud のデジタル オペレーショナル レジリエンスの最も効果的なテストであるとともに、マルチテナント環境においてテストのその他のお客様への固有のリスクを管理するためにも最適であると確信しています。

EU 金融機関に関する考慮事項: DORA は、欧州監督機関の各アウトソーシング ガイドラインによって確立された強固な基盤上で、ICT サードパーティ リスク管理フレームワークを実装するための要件や ICT プロバイダとの契約要件など、業界を超えた ICT サードパーティ リスク管理要件をさらに統合します。類似するリスクが業界や EU 加盟国全体で一貫して対処されるようにすることで、DORA は金融機関が ICT サードパーティリスク管理プログラムを統合、強化できるようにします。

ICT プロバイダに関する考慮事項: ICT プロバイダは、お客様のサードパーティのリスク管理要件をサポートできる必要があります。さらに、DORA では、新しい主任監督者が重要な ICT プロバイダを直接監督することが許可されています。この仕組みにより、監視計画、視察、勧告など、年間の取り組みを通じて、規制当局と指定された ICT プロバイダとの間に直接的なコミュニケーション チャネルが構築されます。

Google Cloud のサポート: 金融機関のお客様には、Google Cloud と Google Workspace の新しい契約条項を更新し、第 30 条の主要な契約条項に対応します。DORA の契約条件が必要な場合は、Google Cloud の担当者に詳細をお問い合わせください。また Google では、Google CloudGoogle Workspace の第 30 条へのマッピングを作成することで、契約、管理、プロセスが DORA の要件を満たすのにどのように役立つかをより効果的に理解できるようにしています。

EU 金融機関に関する考慮事項: DORA は、金融機関がサイバー脅威の情報とインテリジェンスを他の金融機関や規制機関と自発的に共有する場合の考慮事項を概説しています。

ICT プロバイダに関する考慮事項: DORA は、潜在的な機密情報を保護する情報共有の取り決めに ICT が関与することを検討しています。ただし、この取り決めはまだ定義されていません。 

Google Cloud サポート: Google Cloud は、お客様が DORA の要件に沿ってサイバー脅威に対するプロアクティブな保護を実施できるよう、プロダクトとサービスを提供しています。四半期ごとに Threat Horizons レポートを発行し、脅威に関する戦略的インテリジェンスをお客様に提供しています。また、Mandiant のインシデント対応、サイバーリスク管理サービス、技術保証サービスを活用して、サイバー インシデントに対する保護と準備を行うこともできます。

適用範囲と Google Cloud の責任

DORA は、EU の規制機関から重要な ICT プロバイダとして正式に認定されるまで、Google Cloud に直接適用されるものではありませんが、Google は潜在的な直接の要件に対処する準備ができており、申告について規制機関とオープンに連携する予定です。

既存の ICT リスク管理要件と同様に、DORA には EU の金融機関が ICT プロバイダ(クラウド サービス プロバイダを含む)をどのように管理すべきかに関する要件が含まれています。これらの要件は ICT プロバイダに直接適用されるものではありませんが、Google Cloud サービスを利用しながら継続的な成功を収めるためには、お客様がこのような要件に包括的に対処できるようにする必要があると Google Cloud は認識しています。

前述の例のように、Google Cloud は DORA の各重点分野において、プロダクトと運用機能を継続的に強化しています。Google ではお客様をサポートするために、お客様の質問やフィードバックに対応するための CISO オフィスなどの専任チームを設けています。

よくある質問

DORA は EU の規則です。この規則は、EU 加盟国のすべての金融サービス業者に適用されます。DORA は既存のルールを更新し、共通要件を強化することで、ICT リスクを軽減し、欧州の金融システムのデジタル レジリエンスを強化します。重要なのは、DORA には EU の金融規制機関が重要な ICT プロバイダを直接監視するためのフレームワークも導入されていることです。

DORA は、EU の金融機関に対する共通要件を強化することで、ICT リスクを軽減し、欧州の金融システムのデジタル レジリエンスを強化するものです。具体例は次のとおりです。

1. DORA には、ICT リスク管理に関して金融機関に対する詳細な要件が含まれています。

2. DORA は、金融業界のインシデント報告要件を単一の効率的なフレームワークの下に統合します。

3. DORA は TIBER-EU などの EU の既存イニシアチブを利用して、脅威ベースのペネトレーション テストなど、デジタル オペレーショナル レジリエンスを検証するための EU 全域を対象とする新しいアプローチを確立します。

4. DORA は、欧州監督機関の各アウトソーシング ガイドラインに従って確立された強固な基盤の上で、ICT プロバイダとの契約要件など、業界を超えた ICT のサードパーティ リスク管理要件をさらに統合しています。

また、DORA では金融規制当局が重要な ICT プロバイダを直接監督することを可能にします。この仕組みにより、監視計画、視察、勧告など、年間の取り組みを通じて、規制当局と指定された ICT プロバイダとの間に直接的なコミュニケーション チャネルが構築されます。

DORA は主に EU の金融機関に適用されます。ただし、公式なプロセスに従って EU の金融規制機関が「重要」と指定した ICT プロバイダ(クラウド サービス プロバイダを含む)には、DORA が部分的に適用されます。申告は、ICT プロバイダのサービスの障害によるシステム的な影響や、それらのサービスに依存している金融機関のシステム的な重要性など、さまざまな要因に基づいて行われます。

DORA は 2025 年 1 月 17 日(EU の官報への掲載から 2 年と 20 日後)に施行されました。

DORA が直接適用となるのは、EU の金融規制機関によって「重要」に指定されている重要な ICT プロバイダに限られます。したがって、重要な ICT プロバイダに対する遵守期限は、申告のタイミングによって異なります。正式に申告されるまで、DORA が Google Cloud に直接適用されることはありませんが、可能性のある直接的な要件に対処する準備はすでに完了しています。

DORA に基づく重要な ICT プロバイダのための監視フレームワークは、ICT プロバイダ、金融機関、金融規制機関の間の理解、透明性、信頼を強化し、その結果、欧州におけるイノベーションを刺激する正当な機会をもたらします。この仕組みにより、監視計画、視察、勧告など、年間の取り組みを通じて、規制当局と指定された ICT プロバイダとの間に直接的なコミュニケーション チャネルが構築されます。Google Cloud は、この体系的な対話が、業界全体のリスク管理とレジリエンスの向上につながると確信しています。

Google Cloud は、規制機関が金融機関によるサービスの利用を効果的に監視できるよう取り組んでいます。金融機関、およびその規制当局と関係者に情報、監査、アクセス権を付与し、金融機関またはその規制当局がこれらの権利の行使を選択した場合はお客様をサポートします。現在の透明性、コラボレーション、保証への取り組みと同じ方法で、主要監督者との関係を構築します。

Google は、直接的な監督要件の計画に重点を置いています。また、直接監視機能が、規制当局とのコミュニケーション、効率的な監査、修復計画を期限内に効果的にサポートできるように取り組んでいます。

金融機関のお客様には、Google Cloud および Google Workspace の新しい契約条項を更新し、第 30 条の主要な契約条項に対応します。DORA の契約条件が必要な場合は、Google Cloud の担当者に詳細をお問い合わせください。

また Google では、Google CloudGoogle Workspace の第 30 条へのマッピングを作成することで、契約、管理、プロセスが DORA の要件を満たすのにどのように役立つかをより効果的に理解できるようにしています。

Google は、下請け契約に関する RTS の草案に、追加の契約要件が含まれていることを認識しています。Google Cloud は RTS の進捗状況をモニタリングしており、欧州委員会によって RTS の最終版が採択された後、必要に応じて新たな契約条項を提供し、RTS に対処できるようにする予定です。欧州委員会が採択した、DORA による実施および委任された法令の一覧は、こちらでご覧いただけます。

お客様が Google Cloud を使用して EU の金融機関に独自の ICT サービスを提供する場合、Google との適切な従属契約条項を締結する必要があることを Google は認識しています。このような状況において、Google はお客様およびパートナー様に対し、第 30 条の主要な契約条項に対応する同等の契約条項を提示しています。DORA の契約条件が必要な場合は、Google Cloud の担当者に詳細をお問い合わせください。

また、Google Cloud の第 30 条へのマッピングも作成しました。これは、Google の契約、管理、プロセスが、どのように DORA 要件の遵守をサポートするのかという理解に役立ちます。

さらに、Google Cloud とお客様によるグローバルでの Google サービスの利用に大きな影響を与える金融サービス分野の政策策定にも関わっています。

政策立案者は、DORA と同様のアプローチを検討する際、まず、そのアプローチがすでに存在する地域の規制の枠組みにどのように適合するか(改善の余地があると認識されている領域を含む)を検討します。欧州委員会は、最初の DORA 草案の提出に先立ち、2020 年にこうした内容について協議しました。

政策立案者が、異なる(潜在的に直接的な)規制アプローチの必要性を認めた場合、Google はクラウド サービスに関する Google の技術的な専門知識を共有し、一貫して以下のことを主張します。

要件の調整と重複除去(国内と国家間の両方)

比例原則にのっとり、目的に適った要件の制定

イノベーションを促進する、テクノロジーに依存しないアプローチ

- すべてのお客様向けのサービスのセキュリティと完全性を尊重するアプローチ

英国は、重要なサードパーティ プロバイダを対象とした直接的な規制の枠組みを金融業界向けに実施している別の国の一例です。

欧州のクラウド プロバイダに適用される規則は、DORA だけではないことに留意することが大切です。NISD2 指令では、重要なサードパーティに対する業界に依存しない監督も導入する予定です。規制対象となる業界のクラウド サービスには、国による多くの要件が適用されます。

金融サービスにおけるクラウド導入はまだ始まったばかりであり、今後の規則によってこの種のイノベーションを促進する必要があります。金融サービス エコシステムのセキュリティとオペレーショナル レジリエンスを確保するためのアプローチは、国によってさまざまです。また、直接的な規則や監視だけが、さまざまな市場に適した唯一のソリューションであるということではありません。Google は、その他の管轄区域の規制当局も同様に、基準、水平ルール、自主規制の実践を重視していることを理解しています。政策立案者がどのようなアプローチを取るにせよ、規制は世界中のテクノロジー企業や国境をまたぐデジタル金融エコシステムに影響を与えるため、一貫性を確保し、適用される原則を世界規模で調和させることが重要となります。

次のステップ

$300 分の無料クレジットと 20 以上の Always Free プロダクトを活用して、Google Cloud で構築を開始しましょう。

  • Google Cloud プロダクト
  • 100 種類を超えるプロダクトをご用意しています。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。また、すべてのお客様に 25 以上のプロダクトを無料でご利用いただけます(毎月の使用量上限があります)。
Google Cloud