EU 金融機関に関する考慮事項: 金融機関は、ICT リスク管理のために内部のガバナンスと管理フレームワークを確立し、ICT リスクを継続的にモニタリングする必要があります。これらの ICT リスク管理およびモニタリングの要件は、サードパーティ プロバイダが提供する ICT サービスの使用にも適用されます。

ICT プロバイダに関する考慮事項: ICT プロバイダは、プロバイダが関連するシステムやプロセスを管理する場所など、お客様の ICT リスク管理とモニタリングをサポートできる必要があります。さらに、重要な ICT プロバイダでは、新しい主任監督者がプロバイダのリスク管理プロセス（ICT リスク管理ポリシー、ICT ビジネス継続性ポリシー、ICT 対応および復旧計画など）を評価します。

Google Cloud サポート: Google Cloud の導入前でも、 リスク評価と重要なアセット検出ソリューションを使用して、組織の現在の IT リスクを把握し、重要なアセットの場所を特定して、セキュリティ ポスチャーと復元力を向上させるための推奨事項を受け取ることができます。また、制御によるリスク管理やアセット管理に関するガイダンスも公開しています。

Google Cloud に移行した後は、Google Cloud Operations、Resource Manager、Cloud Deployment Manager、Risk Manager などの複数のツールを利用してクラウド リソースを継続的にマッピングおよび管理できます。Google のリスク管理への取り組みについては、Google の 認定と監査レポートをご覧ください。

さらにサポートが必要な場合は、Mandiant（現在は Google Cloud の一部）が、リスク管理サービス（サイバーリスク管理オペレーション サービス、脅威モデリング セキュリティ サービス、サイバー セキュリティのデュー デリジェンス サービス、サイバー セキュリティ プログラム評価など）を提供しています。

EU 金融機関に関する考慮事項: DORA は、金融業界のインシデント報告要件を単一の効率的なフレームワークの下に統合します。これは、複数の業界や EU 加盟国で活動している金融機関が、時間的制約のある状況下で重複する報告制度を並行して進める必要がなくなることを意味します。

DORA はまた、NIS2 のような重複するインシデント報告制度に対処することも目指しています。これらの変更により、規制当局は必要な情報を取得できるようになり、金融機関はインシデント対応の他の重要な側面に集中できるようになります。金融機関は、特定のテンプレートとタイムラインで定義されたしきい値に従ってインシデントを報告する必要があります。これらは完全に定義されなければならず、インシデント発生後に根本原因と改善を文書化する手順を実装する必要もあります。

ICT プロバイダに関する考慮事項: ICT プロバイダは、お客様のインシデント報告要件をサポートできる必要があります。さらに、重要な ICT プロバイダの場合、新しい主要監督者が、重大な ICT 関連のインシデントの識別、モニタリング、迅速な報告に関して、金融機関に対するプロバイダのプロセスを直接評価します。

Google Cloud サポート: 2025 年より、Google は、Google Cloud の使用に影響する ICT 関連インシデントに関する DORA 契約の改訂版をお客様に通知するようになります。これらの通知は、追加料金なしで、既存の通知チャネル（メール、Service Health ダッシュボード、Google Cloud サポート センターなど）を通じて提供されます。

これらの要件はいまだ進展中ですが、Google Cloud は、期限内に通知を提供し、金融機関が最終要件に基づいて独自の評価と報告できるように、必要な情報を提供することに取り組んでいます。

EU 金融機関に関する考慮事項: DORA は、TIBER-EU などの EU の既存イニシアチブを活用して、デジタル オペレーショナル レジリエンスを検証するための、EU 全域を対象とする新しい取り組みを確立します。その一環として、一部の金融機関で 3 年ごとの高度な脅威ベースのペネトレーション テスト（TLPT）も実施されます。検証手法を明確にし、検証結果の相互承認を導入することにより、DORA は金融機関が EU 全域で有効な方法を用いて、検証能力を継続的に構築、拡大することを支援します。  

ICT プロバイダに関する考慮事項: DORA は、金融機関が実施する TLPT における ICT プロバイダのロールに直接対応しています。特に、DORA は、パブリック クラウドのようなマルチテナント サービスでの検証の影響を管理する検証プールを認めています。さらに、重要な ICT プロバイダの場合、新しい主要監督者が、ICT システム、インフラストラクチャ、管理に関するプロバイダ独自の検証を直接評価します。

Google Cloud サポート: 2025 年から、Google は DORA の第 26(4) 条に記載されている外部テスターによる共同検証を促進することにより、TLPT に参加する予定です。共同検証は Google Cloud のデジタル オペレーショナル レジリエンスの最も効果的なテストであるとともに、マルチテナント環境においてテストのその他のお客様への固有のリスクを管理するためにも最適であると確信しています。

EU 金融機関に関する考慮事項: DORA は、欧州監督機関の各アウトソーシング ガイドラインによって確立された強固な基盤上で、ICT サードパーティ リスク管理フレームワークを実装するための要件や ICT プロバイダとの契約要件など、業界を超えた ICT サードパーティ リスク管理要件をさらに統合します。類似するリスクが業界や EU 加盟国全体で一貫して対処されるようにすることで、DORA は金融機関が ICT サードパーティリスク管理プログラムを統合、強化できるようにします。

ICT プロバイダに関する考慮事項: ICT プロバイダは、お客様のサードパーティのリスク管理要件をサポートできる必要があります。さらに、DORA では、新しい主任監督者が重要な ICT プロバイダを直接監督することが許可されています。この仕組みにより、監視計画、視察、勧告など、年間の取り組みを通じて、規制当局と指定された ICT プロバイダとの間に直接的なコミュニケーション チャネルが構築されます。

Google Cloud のサポート: 2024 年 2 月より、第 30 条の主要な契約条項に対応することを目的として、Google は金融機関に対し Google Cloud と Google Workspace の最新の契約条件を提供します。DORA の契約条件が必要な場合は、Google Cloud の担当者に詳細をお問い合わせください。また Google では、Google Cloud と Google Workspace の第 30 条へのマッピングを作成することで、契約、管理、プロセスが DORA の要件を満たすのにどのように役立つかをより効果的に理解できるようにしています。

EU 金融機関に関する考慮事項: DORA は、金融機関がサイバー脅威の情報とインテリジェンスを他の金融機関や規制機関と自発的に共有する場合の考慮事項を概説しています。

ICT プロバイダに関する考慮事項: DORA は、潜在的な機密情報を保護する情報共有の取り決めに ICT が関与することを検討しています。ただし、この取り決めはまだ定義されていません。 

Google Cloud サポート: Google Cloud は、お客様が DORA の要件に沿ってサイバー脅威に対するプロアクティブな保護を実施できるよう、プロダクトとサービスを提供しています。四半期ごとに Threat Horizons レポートを発行し、脅威に関する戦略的インテリジェンスをお客様に提供しています。また、Mandiant のインシデント対応、サイバーリスク管理サービス、技術保証サービスを活用して、サイバー インシデントに対する保護と準備を行うこともできます。

DORA は EU の新しい規則です。この規制は、EU 加盟国のすべての金融サービス業者に適用されます。DORA は既存のルールを更新し、共通要件を強化することで、ICT リスクを軽減し、欧州の金融システムのデジタル レジリエンスを強化します。重要なのは、DORA には EU の金融規制機関が重要な ICT プロバイダを直接監視するための新しいフレームワークも導入されていることです。

DORA は、ICT リスクを軽減し、欧州の金融システムのデジタル レジリエンスを高めるために、EU の金融機関に対する強化された共通要件を確立しました。具体的には次のとおりです:

1. DORA には、金融機関向けの ICT リスク管理に関する詳細な要件が含まれています。

2. DORA は、金融セクターのインシデント報告要件を単一の合理化されたフレームワークの下に統合しています。

3. DORA は TIBER-EU などの EU の既存イニシアチブを利用して、脅威ベースのペネトレーション テストなど、デジタル オペレーショナル レジリエンスを検証するための EU 全域を対象とする新しいアプローチを確立します。

4. DORA は、欧州監督機関の各アウトソーシング ガイドラインに従って確立された強固な基盤の上で、ICT プロバイダとの契約要件など、業界を超えた ICT のサードパーティ リスク管理要件をさらに統合しています。

また、DORA では金融規制当局が重要な ICT プロバイダを直接監督することもできるようになります。この仕組みにより、監視計画、視察、勧告など、年間の取り組みを通じて、規制当局と指定された ICT プロバイダとの間に直接的なコミュニケーション チャネルが構築されます。

DORA は主に EU の金融機関に適用されます。ただし、公式なプロセスに従って EU の金融規制機関が「重要」と指定した ICT プロバイダ（クラウド サービス プロバイダを含む）には、DORA が部分的に適用されます。申告は、ICT プロバイダのサービスの障害によるシステム的な影響や、それらのサービスに依存している金融機関のシステム的な重要性など、さまざまな要因に基づいて行われます。

DORA は 2025 年 1 月 17 日（EU の官報への掲載から 2 年と 20 日後）に発効します。

DORA が直接適用となるのは、EU の金融規制機関によって「重要」に指定されている重要な ICT プロバイダに限られます。したがって、重要な ICT プロバイダに対する遵守期限は、申告のタイミングによって異なります。正式に申告されるまで、DORA が Google Cloud に直接適用されることはありませんが、可能性のある直接的な要件に対処する準備はすでに完了しています。

2020 年 9 月に DORA が提唱されて以来、Google は政策立案者との話し合いを続けてきました。それと並行して、法制化の過程での DORA の進化に合わせて、お客様の潜在的な期待と Google 自身の責任を分析する準備プログラムも立ち上げました。

DORA のテキストが最終決定されたため、Google Cloud の部門横断型チーム（リスクとコンプライアンス、セキュリティ、法務、政府対応、製品の専門家を含む）が詳細を確認し、必要に応じてコンプライアンス計画の準備および実装を進めています。これらの計画は、セキュリティ、レジリエンス、サードパーティのリスク管理などの分野における Google の強固な基盤の上に構築されており、お客様は EBA アウトソーシング ガイドライン、EIOPA クラウド アウトソーシング ガイドライン、ESMA クラウド アウトソーシング ガイドラインが定める厳格な要求事項にすでに対応できるようになっています。

この移行期間を利用して、DORA の各重点分野で機能をさらに強化していく予定です。Google の目標は、欧州の組織にとってサステナブルなデジタル トランスフォーメーションを実現するうえで、Google Cloud がそれぞれの条件に合った最適なサービスを提供できるようにすることです。

DORA のテキストは最終決定済みですが、いくつかの重要な要件は DORA レベル 2 法律として知られる二次法でさらに詳細に既定する必要があります。これには、インシデント報告、脅威ベースのペネトレーション テスト、下請け契約といった重要な分野についての規制技術基準（RTS）が含まれます。

Google は、必要に応じてレベル 2 の最終的な要件に対応する必要があることを認識しています。ただし、レベル 2 の草案は変更される可能性があるため、あらかじめ対応することはできません。

政策立案者とお客様を支援するため、Google Cloud は DORA レベル 2 規制法に関する EU ポリシー議論に積極的に関与しています。今後も引き続き、透明かつ建設的な方法で DORA に関する話し合いに参加していく所存です。特に、Google は以下を提唱します。

各レベル 2 規制法と DORA で指定される義務の整合性。

グローバルな金融セクターと、その他の重複する EU 制度における成熟したアプローチ（インシデント報告など）との調和。

均整: 特に、一部の ICT サービスには適切と思われる規制的アプローチが、パブリック クラウド サービスに適用されると金融セクターのレジリエンスに意図せず悪影響を与える可能性がある場合。

DORA に基づく重要な ICT プロバイダのための監視フレームワークは、ICT プロバイダ、金融機関、金融規制機関の間の理解、透明性、信頼を強化し、その結果、欧州におけるイノベーションを刺激する正当な機会をもたらします。この仕組みにより、監視計画、視察、勧告など、年間の取り組みを通じて、規制当局と指定された ICT プロバイダとの間に直接的なコミュニケーション チャネルが構築されます。Google Cloud は、この体系的な対話が、業界全体のリスク管理とレジリエンスの向上につながると確信しています。

Google Cloud は、規制機関が金融機関によるサービスの利用を効果的に監視できるよう取り組んでいます。金融機関、およびその規制当局と関係者に情報、監査、アクセス権を付与し、金融機関またはその規制当局がこれらの権利の行使を選択した場合はお客様をサポートします。現在の透明性、コラボレーション、保証への取り組みと同じ方法で、主要監督者との関係を構築します。

Google は、直接監督機能が規制機関とのコミュニケーション、効率的な監査、期限内の是正作業を効果的にサポートできるよう取り組んでいます。Google は直接的な要件の計画に重点を置いていますが、規制による監督が実際にどのように機能するかについては、監督に関する規制の技術基準で確定する必要があります。

2024 年 2 月より、金融機関に対し、第 30 条の主要な契約条項に対応することを目的として、Google Cloud と Google Workspace の最新の契約条件を提示します。DORA の契約条件が必要な場合は、Google Cloud の担当者に詳細をお問い合わせください。

また Google では、Google Cloud と Google Workspace の第 30 条へのマッピングを作成することで、契約、管理、プロセスが DORA の要件を満たすのにどのように役立つかをより効果的に理解できるようにしています。

さらに、Google Cloud とお客様によるグローバルでの Google サービスの利用に大きな影響を与える金融サービス分野の政策策定にも関わっています。

政策立案者は、DORA と同様のアプローチを検討する際、まず、そのアプローチがすでに存在する地域の規制の枠組みにどのように適合するか（改善の余地があると認識されている領域を含む）を検討します。欧州委員会は、最初の DORA 草案の提出に先立ち、2020 年にこうした内容について協議しました。

政策立案者が、異なる（潜在的に直接的な）規制アプローチの必要性を認めた場合、Google はクラウド サービスに関する Google の技術的な専門知識を共有し、一貫して以下のことを主張します。

要件の調整と重複除去（国内と国家間の両方）

比例原則にのっとり、目的に適った要件の制定

イノベーションを促進する、テクノロジーに依存しないアプローチ

- すべてのお客様向けのサービスのセキュリティと完全性を尊重するアプローチ

英国は、重要なサードパーティ プロバイダを対象とした直接的な規制の枠組みを金融業界向けに検討している別の国の一例です。Google では、上記の原則に基づいて協議文書を作成しています。

欧州のクラウド プロバイダに適用される規則は、DORA だけではないことに留意することが大切です。NISD2 指令では、重要なサードパーティに対する業界に依存しない監督も導入する予定です。規制対象となる業界のクラウド サービスには、国による多くの要件が適用されます。

金融サービスにおけるクラウド導入はまだ始まったばかりであり、今後の規則によってこの種のイノベーションを促進する必要があります。金融サービス エコシステムのセキュリティとオペレーショナル レジリエンスを確保するためのアプローチは、国によってさまざまです。また、直接的な規則や監視だけが、さまざまな市場に適した唯一のソリューションであるということではありません。Google は、その他の管轄区域の規制当局も同様に、基準、水平ルール、自主規制の実践を重視していることを理解しています。政策立案者がどのようなアプローチを取るにせよ、規制は世界中のテクノロジー企業や国境をまたぐデジタル金融エコシステムに影響を与えるため、一貫性を確保し、適用される原則を世界規模で調和させることが重要となります。