マッピング

EBA アウトソーシング ガイドライン

Google Cloud Platform のマッピング

このドキュメントは、欧州銀行機関の委任対象の金融機関(以下「機関」)が、Google Cloud Platform(「GCP」)と Google Cloud 金融サービス契約のコンテキストでアウトソーシング契約に関するガイドライン(EBA アウトソーシング ガイドライン)について検討できるようにすることを目的としています。

Google は EBA アウトソーシング ガイドラインの第 13 条(契約段階)を重要視しています。第 13 条それぞれの条項について、Google Cloud サービスと Google Cloud 金融サービス契約を使用して要件に対応する方法の理解に役立つように解説します。

EBA アウトソーシング ガイドラインは、2006 年に発行された Committee of European Banking Supervisors(欧州銀行監督委員会)(CEBS)のアウトソーシングに関するガイドラインに代わるものです。また、2018 年に公開されたクラウド サービス プロバイダへのアウトソーシングに関する EBA の推奨事項もこれらに置き換えられます。

既存の Google Cloud 契約があり、このドキュメントが契約にどのように適用されるかについては、Google Cloud アカウント担当者にお問い合わせください。

# EBA アウトソーシング ガイドライン Google Cloud の解説 Google Cloud 金融サービス契約のリファレンス
1. 13 契約段階
2. 74. 機関、決済機関、サービス プロバイダの権利と義務は、書面にて明確に規定し、記載する必要があります

当事者の権利と義務は、Google Cloud 金融サービス契約で規定されています。

該当なし
3. 75. 重要な機能に関するアウトソーシング契約は、少なくとも次のように規定する必要があります。
4. a. 提供されるアウトソーシング機能の明確な説明。 詳細については、GCP サービスをご覧ください。 定義
5. b. 契約の開始日と終了日、サービス プロバイダと機関または決済機関との間の契約期間と通知期間(該当する場合) Google Cloud 金融サービス契約をご覧ください。 期間と契約終了
6. c. 契約の準拠法。 Google Cloud 金融サービス契約をご覧ください。 準拠法
7. d. 当事者の金銭的義務。 Google Cloud 金融サービス契約をご覧ください。 支払い条件
8. e. 重要な機能の再委託、またはその重要な部分が許可されるかどうか。許可される場合、その再委託が第 13.1 条で指定された条件の対象となります。 21~35 行目の第 13.1 条のコメントをご覧ください。 21~35 行目をご覧ください。
9. f. 重要な機能が提供される場所(地域または国)や、その関連データを保持および処理する場所(利用できる保管場所や、サービス プロバイダが所在地の変更を提案している場合に機関または決済機関に通知するという要件などの満たすべき条件など)。 場所

高速かつ信頼性が高く、堅牢性と復元性に優れたサービスを提供するため、Google は、Google またはその復処理者が施設を維持しているデータを保存、処理できます。

Google は、データが配置されている国 / 地域に関係なく、同じ契約上のコミットメントと技術上および組織上の判断基準を提供します。具体的には以下の点です。

  • 国 / 地域に関係なく、すべての Google 施設に同じ堅牢なセキュリティ機能が適用されます。
  • Google は、国 / 地域に関係なく、すべての復処理者に同じコミットメントを行います。

条件

Google は、データの保存先とする選択肢(ヨーロッパでデータを保存する選択肢など)を選択できます。お客様がデータを保存する場所を選択すると、Google は選択したリージョン以外には保存されません。

リソース ロケーションの制限について学習する。

また Google は欧州データ保護法に従って個人データを第三の国への合法的な転送を可能にする取り組みも行っています。

データ転送(データ処理とセキュリティ規約

データ セキュリティ、復処理者(データ処理とセキュリティ規約

データ ロケーション(サービス固有の規約

データ転送(データ処理とセキュリティ規約

10 以上であるデータセット内の行をすべて削除します。 g. 該当する場合は、第 13.2 条に定めるとおり、関連するデータのアクセシビリティ、可用性、完全性、プライバシー、安全性に関して規定します。 36~40 行目の第 13.2 条のコメントをご覧ください。 36~40 行目をご覧ください
11. h. サービス プロバイダのパフォーマンスを継続的にモニタリングする機関または決済機関の権利

本サービスの機能を使用して、Google の本サービス(SLA を含む)のパフォーマンスを継続的にモニタリングできます。

例:
  • ステータス ダッシュボードに、本サービスのステータス情報が表示されます。
  • Google Cloud のオペレーションは、GCP で実行されるアプリケーションの分析情報の取得に役立つ、統合されたモニタリング、ロギング、診断のホストされたソリューションです。
  • アクセスの透明性は、Google の担当者がお客様のデータに関して行ったアクションのログを確認できるようにする機能です。ログエントリには、影響を受けるリソース、アクション時間、アクションの理由(サポート リクエストに関連付けられたケース番号など)、データを操作しているユーザーに関するデータ(Google の担当者の所在地など)が含まれます。
継続的なパフォーマンス モニタリング
12. i. 合意されたサービスレベル。合意されたサービスレベルが満たされない場合に、アウトソーシング対象が不当に遅れることなく適切な是正措置を取ることができるように、タイムリーなモニタリングを行えるようにするための正確で定量的かつ質的な成果目標を含める必要があります。 Google の SLA の詳細をご覧ください。 サービス
13. j. サービス プロバイダから機関または決済機関への報告義務。サービス プロバイダが合意されたサービスレベルを満たし、該当する法律および規制も準拠しながら重要な業務を効率的に実行する能力に重大な影響を及ぼす可能性のある開発についてのサービス プロバイダによる連絡、必要に応じてサービス プロバイダの内部監査業務のレポート提出義務が含まれます。

インシデントと Google Cloud ステータス ダッシュボードについて確認してください。

さらに、Google はデータ インシデントを速やかに通知します。Google のデータ インシデント対応プロセスの詳細については、ホワイトペーパーをご覧ください。

重要な開発

データ インシデント(データ処理とセキュリティ規約

14. k サービス プロバイダが所定のリスクに対して強制保険に加入するかどうか、また該当する場合は要求される保険の対象範囲レベル。 Google は、特定された複数のリスクに対して保険の対象を維持します。 保険
15. l. ビジネスの緊急時対応計画の実装とテストの要件

Google は、サービスの事業継続計画を実施し、少なくとも年に 1 回は確認とテストを行い、最新の業界標準に従っていることを確認します。

さらに、Google の障害復旧計画ガイドを使用して、ビジネスの緊急時対応計画でお客様が本サービスをどのように使用するかについての情報にアクセスします。

ビジネスの継続性と障害復旧
16. m. サービス機関の支払不能、判決、業務運営の不履行が発生した場合に、その機関または決済機関が所有するデータにアクセスできるようにする条項。

お客様は、お客様のデータのすべての知的財産権を保持します。

Google は、お客様が契約期間中、お客様のデータにアクセスしてエクスポートすることを許可します。75 行目を参照してください。

どちらのコミットメントも、Google が支払不能になった場合には適用されません。また、Google は、Google の支払不能を理由として解除する権利を有していませんが、お客様は解除することを選択できます。万が一、Google が支払不能になった場合、お客様は任命された破産管理人と相談する際にこれらのコミットメントについて言及できます。

知的財産権

データ エクスポート(データ処理とセキュリティ規約

期間と契約終了

17. n. 機関または決済機関の管轄当局および規制当局(指名された他の人物を含む)に協力するためのサービス プロバイダの義務。 Google は、監査、情報およびアクセスの権利の行使について管轄当局および規制当局に協力します。 お客様のコンプライアンスを有効にする
18. o. 政府機関、特に指令 2014/59/EU(BRRD)の第 68 条と 71 の条項、特に契約の「重大な損害」についての説明指令第 68 条に基づくものです。 Google では、解決に際して、機関および規制当局が業務を遂行できる必要があることを認識しています。解決策を通じてサポートを提供するために、Google は、BRRD に要求される解決策を講じる間も本サービスの提供を継続するように勤めます。 解決策を通じてサポートする
19. p. 特に第 13.3 条に規定されているように、機関、金融機関、管轄当局が、特に重要なアウトソーシング機能に関してサービス プロバイダの調査と監査を行うための無制限の権利。 41~66 行目の第 13.3 条のコメントをご覧ください。 41~66 行目をご覧ください。
20. q. 第 13.4 条に規定されている解除の権利。 67~77 行目の第 13.4 条のコメントをご覧ください。 67~77 行目をご覧ください。
21. 13.1 重要な機能の再委託
22.

76. アウトソーシング契約では、重要な機能やその重要な部分の孫請け契約を許可するかどうかを規定する必要があります。

Google は、機関が再委託に関連するリスクを考慮する必要があることを認識しています。Google は、可能な限り信頼性が高く、堅牢性と復元性に優れたサービスをすべてのお客様に提供できるよう努めています。年中無休 24 時間のサポートなど、他の信頼できる組織と連携することで明確なメリットを得られる場合があります。

Google は、お客様に Google が提携している組織に関する情報を提供しますが、Google が再委託を承認しないことに合意することはできません。Google はサービスの 1 対多の性質により、再委託を行わないことをあるお客様と合意した場合、すべてのお客様に対して再委託を動機付けるメリットを潜在的に否定します。

Google は、機関がいかなる種類の再委託も監督できるように、透明性と選択肢を提供するための明確な条件を遵守します。26 行目を参照してください。

再委託

23.

77. 重要な機能の再委託が許可されている場合、機関または決済機関は、再委託される機能の一部が重要であるかどうかを判断する必要があり(つまり、重要な機能の重要な一部)、重要である場合、レジスタに記録します。

再委託される機能が重要な機能の一部であるかどうかを判断することは、機関が決定するのが最適です。これを支援するために、Google は各孫請け業者に対して、アウトソーシング レジスタに必要なすべての情報を提供しています。

Google の孫請け業者

24. 78. 重要な機能の再委託が許可されている場合、書面による合意は次のようになります。
25.

a. 再委託から除外されるアクティビティを規定します。

22 行目をご覧ください。

22 行目をご覧ください。

26.

b. 再委託の場合に従う条件を規定します。

機関が再委託の監視を維持し、機関が使用するサービスの選択肢を指定できるよう、Google は次のことを行います。

  • Google の孫請け業者に関する情報を提供する。
  • 孫請け業者に変更を事前に通知する。
  • 新しい孫請け業者について懸案事項がある場合は、機関が契約を解除できるようにする。

Google の孫請け業者

27.

c. サービス プロバイダと機関または決済機関の間の契約上の義務がすべて確実に満たされるように、サービス プロバイダが孫請け契約されたサービスを監督する義務を負うことを規定します。

Google は、再委託のすべての義務について監督し、Google の孫請け業者がお客様と契約を遵守していることを確認します。

Google の孫請け業者

28.

d. データを再委託する前に、サービス プロバイダは、機関または決済機関から事前に書面による特定の、または全般的な承認を得る必要があります。

Google は、復処理の承認に関する GDPR に基づく義務を遵守します。

データの処理、復処理者(データ処理とセキュリティ規約

29.

e. サービス プロバイダが機関または決済機関に、計画された再委託、またはその重要な変更(特に、サービス プロバイダが、アウトソーシング契約に基づく責任を果たす能力に影響を及ぼす可能性がある場合)を通知する義務が含まれます。これには、孫請け業者や通知期間の計画された重大な変更が含まれます。特に、設定される通知期間は、アウトソーシング機関または決済機関が、計画された再委託またはその重要な変更が反映させる前に、少なくとも提案された変更および変更対象についてリスク評価を実施できるようにする必要があります。

変更が反映される前に有意義なリスク評価を行えるように、孫請け業者の変更の通知には十分な時間が必要です。お客様が必要な時間を確保できるように、Google は、新しい孫請け業者と契約するか、既存の孫請け業者の機能を変更する前に、事前通知を行います。

Google の孫請け業者

30.

f. 必要に応じて、機関または支払機関が、意図した再委託またはその重要な変更の対象に対する権利を有していること、あるいは明示的な承認が必要であることを確認します。

機関は孫請け業者の変更によりリスクが大幅に増していると判断した場合、契約を解除することができます。31 行目を参照してください。 ただし、Google はサービスの 1 対多の性質により、再委託を禁止することをあるお客様と合意した場合、あるお客様がすべてのお客様に対して再委託を動機付けるメリットを潜在的に否定することを許可します。

欧州銀行機関は、クラウド アウトソーシングのコンテキストで同意が「過剰な負担」であると認識しています。欧州銀行機関の クラウド サービス プロバイダへのアウトソーシングに関する推奨事項の最終レポートの 24 ページのコメントをご覧ください。

Google の孫請け業者

31.

g. 機関や決済機関は、不適切な再委託が発生した場合(再委託によって、機関や決済機関にとってのリスクが著しく増大する場合や、サービス プロバイダが機関や決済機関に通知することなく再委託した場合)、契約を解除する契約上の権利を有していることを確認します。

機関がサービスを提供する事業体の選択肢を有している必要があります。これを実現するために、機関は孫請け業者の変更によりリスクが大幅に増していると判断した場合、または同意の通知を受け取っていない場合は、契約を解除できます。

Google の孫請け業者

32. 79. 機関および決済機関は、孫請け業者が以下の行為を行う場合にのみ、再委託に同意する必要があります。
33.

a. 該当するすべての法律、規制の要件、契約上の義務を遵守する。

Google は、当社と同じ水準の高い基準を満たす孫請け業者を求めています。特に、Google がお客様との契約および該当する法律および規制を遵守するために、孫請け業者が必要です。

Google の孫請け業者

34.

b. 機関、決済機関、管轄当局に、サービス プロバイダによって付与されるのと同じアクセスおよび監査の契約上の権限を付与します。

再委託により、機関がサービスを監督する能力や、管轄当局が機関を監督する能力を損なわれてはなりません。これらの能力を維持するために、Google は、Google が機関および管轄当局に提供する情報、アクセス、監査の権利を孫請け業者が遵守することを徹底します。

Google の孫請け業者

35.

80 をリッスンしています。機関または決済機関は、サービス プロバイダが機関または決済機関によって定義されたポリシーに従って、再委託先のサービス プロバイダを適切に監督することを徹底する必要があります。提案された再委託が重要な機能のアウトソーシング契約に重大な影響を及ぼす可能性がある場合、またはリスクの大幅な増大(第 79 項の条件を満たしていないなど)を引き起こす可能性がある場合、機関または決済機関は再委託先に対して権利を行使するか(かかる権利に合意した場合)、契約を解除する必要があります。

27 行目30 行目31 行目 をご覧ください。

27 行目30 行目31 行目 をご覧ください。

36. 13.2 データとシステムのセキュリティ
37.

81. 機関や決済機関は、サービス プロバイダが関連する適切な IT セキュリティ標準に準拠していることを確認する必要があります。

Google は、お客様がセキュリティ、プライバシー、コンプライアンスの管理の独立した検証を期待していることを認識しています。Google ではこれを保証するため、独立した第三者機関による複数の監査を定期的に受けています。Google は、お客様との契約期間において、次の重要な国際基準を遵守することに取り組んでいます。

認定と監査レポート

38.

82. 関連する(たとえば、クラウドまたは他の ICT アウトソーシングのコンテキストで)機関や決済機関はアウトソーシング契約でデータとシステムのセキュリティ要件を定義し、これらの要件を継続的に遵守する必要があります。

クラウド サービスのセキュリティは、次の 2 つの主要要素で構成されています。

Google のインフラストラクチャのセキュリティ

Google はインフラストラクチャのセキュリティを管理しています。これは、本サービスをサポートするハードウェア、ソフトウェア、ネットワーク、および施設のセキュリティです。

Google はサービスの 1 対多の性質により、すべてのお客様に同じ堅牢なセキュリティを提供しています。

Google は、セキュリティに関する詳細情報をお客様に提供し、お客様がセキュリティ状況を把握して独自のリスク分析の一環として検討できるようにします。

詳細については、以下をご覧ください。

  • Google のインフラストラクチャ セキュリティ ページ
  • Google のセキュリティに関するホワイトペーパー
  • Google のインフラストラクチャのセキュリティ設計の概要ページ
  • Google のセキュリティに関するリソースページ

Google の SOC 2 レポートを確認することもできます。 37 行目を参照してください。

クラウド内のデータとアプリケーションのセキュリティ

クラウド内のデータとアプリケーションのセキュリティを定義します。これは、本サービスを利用する際に実装および運用することを選択するセキュリティ対策のことです

(a)デフォルトのセキュリティ

Google では、お客様のデータに関しては、可能な限り多くの選択肢を提供することに努めていますが、データのセキュリティは Google にとって最優先事項であり、Google はお客様を支援するために次のような予防措置を講じます。

  • 保存データの暗号化 Google はデフォルトで、お客様のデータを保存時に暗号化します。お客様が追加で操作を行う必要はありません。詳細については、https://cloud.google.com/security/encryption-at-rest/default-encryption をご覧ください。
  • 転送データの暗号化すべての転送中のデータは、Google が管理しているまたは Google が管理を委託している物理的境界の外へ出るときに、1 つ以上のネットワーク レイヤで暗号化され認証されます。詳細については、https://cloud.google.com/security/encryption-in-transit をご覧ください。

(b)セキュリティ プロダクト

Google 以外が提供している他のツールやプラクティスに加えて、Google が提供するツールを使用してデータのセキュリティを強化し、モニタリングすることもできます。詳細については、Google のセキュリティ プロダクトをご覧ください。

以下の例をご覧ください。

  • Cloud Identity and Access Management は、Google Cloud Platform リソースのアクセス権とロールを制御して、不正アクセスを防止するのに役立ちます。
  • Cloud Security Scanner は、App Engine、Compute Engine、Google Kubernetes Engine のアプリを自動的にスキャンして、一般的な脆弱性を検出します。
  • Event Threat Detection は、さまざまなタイプのログを自動的にスキャンして、Google Cloud Platform 環境内の不審なアクティビティを検出します。
  • Cloud Security Command Center と Security Health Analytics は、Google Cloud Platform リソースを可視化してモニタリングし、VM インスタンス、イメージ、オペレーティング システムなどのリソースに対する変更を行います。
  • Forseti は、セキュリティ チームが、Google サービス全体にわたって適切なセキュリティ管理を安心して行えるように支援するために設計されたオープンソースのツールキットです。Forseti には、次のセキュリティ ツールが含まれています。
    • Inventory: 既存の GCP リソースを可視化します
    • Scanner: GCP リソース全体でアクセス制御ポリシーを検証します
    • Enforcer: GCP リソースに対する不要なアクセスを削除します
    • Explain: GCP リソースにアクセスできるユーザーを分析します
    詳細については、オープンソース セキュリティ ツールをご覧ください。
  • Shielded VM は、スタック全体の変更について、ライブ測定、モニタリング、アラートを可能にします。

(c)セキュリティ リソース

Google は、以下に関するガイダンスも公開しています。

データ セキュリティ、セキュリティ対策(データ処理とセキュリティ規約

39.

83. クラウド サービス プロバイダへのアウトソーシングや、個人データや機密データの処理や転送を含むアウトソーシングを行う場合、機関や決済機関はデータ ストレージとデータ処理のロケーションへのリスクベースのアプローチや情報セキュリティの考慮事項を採用する必要があります。

これはお客様の検討事項です。データのロケーションの詳細については、9 行目をご覧ください。

該当なし

40.

84. 規制(EU)2016/679 に基づく要件を侵害することなく、機関や決済機関はアウトソーシングを行う場合(特に第三国へのアウトソーシングの場合)、データの保護に関して、国ごとの条項の違いを考慮する必要があります。機関と決済機関は、アウトソーシング契約に、サービス プロバイダが機密情報、個人情報、その他の機密情報を保護し、機関または決済機関に適用されるデータの保護に関するすべての法的要件を遵守する必要があります(個人データの保護、銀行の秘匿性、およびクライアントの情報に関する同様の法的機密性保持義務(該当する場合)が遵守される)。

本サービスのセキュリティは、データを保護するうえで不可欠です。これについては、データ処理およびセキュリティ規約で説明されています。 セキュリティの詳細については、37 行目と 38 行目 をご覧ください。

詳しくは、Google の GDPR リソース センターをご覧ください。

機密性保持、データ セキュリティ(データ処理とセキュリティ規約

41. 13.3 アクセス、情報、監査の権利
42.

85. 機関または決済機関は、リスクベースのアプローチを使用して内部監査機関がアウトソーシング機能を審査できるように、書面によるアウトソーシング手配を行う必要があります。

Google は、本サービスを利用するにあたり、該当する法律および規制および機関の社内ポリシーの遵守を監督する機関(または管轄当局の能力)の権限損なってはならないことを認識しています。Google は、本サービスを確認するために必要なサポートを機関に提供します。

お客様のコンプライアンスを有効にする

43.

86. アウトソーシングされた機能の重要度と重要性にかかわらず、機関とサービス プロバイダの間での書面によるアウトソーシング手配で、加盟国に所在しているサービス に関して、指令 2014/59/EU の第 63(1)(a)条、指令 2013/36/EU の第 65(3)条に基づく管轄当局および規制当局の情報を収集および調査の権限について言及する必要があり、第三国に所在しているサービス プロバイダに関する同様の権限についても確認する必要があります。

Google は、関連する EU 指令に基づいて情報収集と調査を行う権限を承認します。

お客様のコンプライアンスを有効にする

44.

87. 重要な機能のアウトソーシングに関して、機関および決済機関は、書面によるアウトソーシング契約内で、サービス プロバイダが自身と管轄当局(規制当局を含む)、サービス プロバイダまたは管轄当局によって指名された第三者に以下を付与することを確認する必要があります。

Google は、機関、管轄当局(規制当局を含む)、それらの指名対象者に監査、アクセス、情報に関する権限を付与します。

規制情報、監査とアクセス、顧客情報、監査とアクセス

45.

a. 関連するすべてのビジネス施設(本社やオペレーション センターなど)に対する完全アクセス権。関連するデバイス、システム、ネットワーク、アウトソーシングされた機能を提供するために使用される情報やデータ(関連する財務情報、情報、人員およびサービス プロバイダの外部監査者(「アクセス権限および権限」))などが含まれます。

44 行目をご覧ください。

44 行目をご覧ください。

46.

b. アウトソーシング手配に関する調査と監査の無制限の権限(「監査権限」)。アウトソーシング手配を監視し、適用されるすべての規制と契約上の要件に確実に準拠できるようにします。

44 行目をご覧ください。

44 行目をご覧ください。

47.

88. 重要でない機能をアウトソーシングする場合は、機関および決済機関が、リスクベースのアプローチに関して第 87(a)項および(b)項および第 13.3 条で定めるアクセスと監査の権利を確認し、アウトソーシングされた機能の性質や関連する運用上のリスク、評判リスク、スケーラビリティ、アクティビティ継続的なパフォーマンスへの潜在的なの影響、契約期間を考慮する必要があります。機関や決済機関は、時間の経過とともに重要になる可能性があることを考慮する必要があります。

Google は、本サービスの利用が時間の経過とともに拡大する可能性があることを認識しています。機関が関係の開始時に選択した本サービスの使用方法に関係なく、Google は、機関、管轄当局に監査、アクセス、および情報に関する権利を付与します。

お客様のコンプライアンスを有効にする

48.

89. 機関および決済機関は、アウトソーシング契約またはその他の契約上の取り決めが、当事者、管轄当局、それらによって指名された第三者によるアクセスと監査の効果的な行使を妨げたり制限したりしないようにする必要があります。

契約のいかなる条項も、機関または管轄当局の Google サービスを効果的に監査する能力を制限するものではありません。特に、Google は機関が Google のサービスを確認するのに役立つ多くの情報やツールを提供しますが、契約書には、機関または管轄当局が監査、アクセス、情報の権利を Google に要求するための事前定義の手順は含まれていません。つまり、Google のサービスを評価するためのオプションの間に階層はありません。

お客様のコンプライアンスを有効にする

49.

90. 機関と決済機関は、アクセスおよび監査の権利を行使し、リスクベースのアプローチで監査する頻度と領域を決定し、関連する一般的に承認された国内および国際的な監査標準に準拠する必要があります。

組織にとって適切な監査の頻度と範囲は、機関が決定するのが最適です。Google の契約では、監査の回数や事前定義の範囲は制限されていません。

顧客情報、監査、アクセス

50. 91. アウトソーシング手配に関する最終的な責任を損なうことなく、機関または決済機関は以下を使用できます。
51.

a. 監査リソースを効率的に使用し、クライアントとサービス プロバイダの両方の組織の負荷を軽減するために、同じサービス プロバイダの他のクライアントとの共同監査が、サービス プロバイダとクライアント、またはそれらによって指名された第三者によって実施されます。

Google は、共同監査のメリットを認識しています。これについては、機関と話し合いましょう。

該当なし

52.

b. 第三者による認証と、第三者または内部監査による報告書をサービス プロバイダが利用できます

37 行目を参照してください。

37 行目を参照してください。

53.

92. 重要な機能のアウトソーシングについて、機関や決済機関は、第 91 条(b)に定める第三者認定と報告書について、その法令義務を適切で十分に遵守しているかどうかを評価し、時間の経過にしたがって、これらの報告書だけに依存することを避ける必要があります。

これはお客様の検討事項です。

該当なし

54. 93. 機関または決済機関は、次の条件を満たす場合に限り、第 91(b)項で言及されている方法を使用する必要があります。
55.

a. アウトソーシングされた機能の監査計画に満足している。

37 行目を参照してください。

監査対象フレームワークごとに、少なくとも年に 1 回監査が行われます。Google は各監査の前に、計画、範囲指定、準備作業を行います。

認定と監査レポート

56.

b. 認定または監査報告書のスコープに、システム(プロセス、アプリケーション、インフラストラクチャ、データセンターなど)と、機関または決済機関によって特定される鍵の管理と、関連する規制要件への準拠が含まれていることを確認します。

37 行目を参照してください。

Google の監査スコープは、スコープ サービス、インフラストラクチャ システム、ポリシーと手順、共通のプロセスと担当者に適用されます。Google は、監査スコープの関連認定と監査報告書を対象とする Google のセキュリティおよびプライバシー管理が監査されます。

認定と監査レポート

57.

c. 認定または監査報告書の内容を継続的に徹底的に評価し、報告書や認定が古くなっていないことを確認します。

37 行目を参照してください。

Google の現在の認定と監査レポートはいつでも確認できます。

  • 詳しくは、Google の ISO 認定をご覧ください。
  • Google の SOC レポートPCI 準拠認証(AOC)は、Google Cloud アカウント担当者を通じて入手できます。

認定と監査レポート

58.

d. 認定または監査報告書の将来のバージョンで主要なシステムや制御が対象とされることを確認します。

37 行目を参照してください。

Google のルーティン計画、対象範囲、準備作業の一部として、定期的な鍵システムおよびコントロール、新しいシステムおよび制御を審査した後に監査作業を行います。

認定と監査レポート

59.

e. 認定機関または監査機関の能力(認定会社または監査会社のローテーション、資格、専門知識、基盤となる監査ファイル内の証拠の再検証または検証)に満足しています。

37 行目を参照してください。

Google は監査対象フレームワークごとに認定された独立した第三者監査機関を利用しています。認定または監査当事者については、関連する認証または監査レポートをご覧ください。

認定と監査レポート

60.

f. 証明書は発行済みで、広く認知されているプロフェッショナル基準に対して監査が実施され、主要な管理運用の稼働状況のテストが含まれます。

37 行目を参照してください。

監査には、主要な管理の実施状況のテストが含まれます。

認定と監査レポート

61.

g. 認定および監査報告書の範囲を他の関連するシステムや管理まで拡張することを要求する契約上の権利を有し、範囲の変更のためのこのような要求の回数と頻度は、リスク管理の観点から合理的かつ正当であるべきです。

ツールの効果を維持するために、本サービスのための主要システムや管理がそのサービスの Google の認定または監査報告書の対象でない場合は、機関は範囲の拡張を要求できます。

認定と監査レポート

62.

h. 重要な機能のアウトソーシングに関して、独自の裁量で個々の監査を実施する契約上の権利を保持します。

機関は、常に監査を実施する権利を保持します。この契約には、機関が Google に監査、アクセス、情報の権利を要求する前の事前定義された手順は含まれていません。つまり、Google のサービスを評価するためのオプションの間に階層はありません。

顧客情報、監査、アクセス

63.

94. SREP に基づく ICT リスク評価に関する EBA ガイドラインに従い、機関は必要に応じてセキュリティ ペネトレーション テストを実施して、実装されたサイバーと内部 ICT セキュリティ対策とプロセスの有効性を評価できることを確認する必要があります。決済機関はタイトル I についても考慮し、ICT のセキュリティ管理や緩和策などの内部 ICT の管理メカニズムも備える必要があります。

Google の事前の承認なしに、いつでもサービスのペネトレーション テストを実施できます。

顧客ペネトレーション テスト

64.

95. 計画されたオンサイト訪問の前に、機関、決済機関、管轄当局、監査機関、または機関、決済機関、管轄当局の代理としての第三者には、緊急時や災害により実施できない場合や、監査が効果的でなくなる状況を除き、サービス プロバイダに合理的な通知を行う必要があります。

合理的な通知により、Google は効果的な監査を実施できます。たとえば、関連する Google のスペシャリストを確保して、時間を最大限に活用できるように準備できます。また、お客様の環境または他の Google のお客様の環境に不当なリスクが生じないように監査を計画することもできます。Google は、場合によっては事前通知できないことを認識しています。そのような場合は、監査当事者と協力してニーズに対処します。

配置

65.

96. マルチクライアント環境で監査を実施する場合は、他のクライアント環境のリスク(サービスレベル、データの可用性、機密性保持への影響など)が回避または軽減されるように注意する必要があります。

Google が特定のお客様に対して行うことが、他のお客様にリスクが及ばないようにすることがきわめて重要です。これは監査を実施する場合に適用されます。また、他のお客様が監査を実施した際にも適用されます。

機関が監査を実施する際に、Google はお客様と協力して他のお客様へのサービス中断を最小限に抑えます。機関の中断を最小限に抑えるために、別の監査機関と連携します。特に、Google はセキュリティに関する取り組みを常に遵守するように心がけています。

配置

66.

97. アウトソーシングの手配が技術的に非常に複雑になる場合(クラウド アウトソーシングの場合など)、機関または決済機関は誰が監査を実行しているか、内部監査人であるか、共同監査機関であるか、その代理の外部監査機関であるか、関連する監査や評価を効果的に実施するための適切なスキルと知識を備えているかを確認する必要があります。これは、サービス プロバイダが行った第三者による認定または監査を確認する機関または決済機関のスタッフにも適用されます。

これはお客様の検討事項です。

該当なし

67. 13.4 解除の権利
68.

98. アウトソーシングの手配では、次のような状況において、機関または決済機関が該当する法令に従って、手配を解除できることを明記する必要があります。

機関は、法令を遵守するために必要な場合や、管轄当局または第 13.4 項に記載されたシナリオのいずれかで指示されている場合に、臨機応変に契約を解除することができます。

便宜上の解除

69.

a. アウトソーシングされた機能のプロバイダが、適用される法律、規制、契約条項に違反している場合。

68 行目をご覧ください。

68 行目をご覧ください。

70.

b. アウトソーシングされた機能のパフォーマンスを変更する可能性がある障害を特定します。

68 行目をご覧ください。

68 行目をご覧ください。

71.

c. アウトソーシングの手配やサービス プロバイダに影響を及ぼす重要な変更(再委託や孫請け業者の変更など)がある場合。

68 行目をご覧ください。

68 行目をご覧ください。

72.

d. 機密性保持、個人データ、その他の機密データまたは情報の管理およびセキュリティに関して弱点がある場合。

68 行目をご覧ください。

68 行目をご覧ください。

73.

e. 機関または決済機関の管轄当局が指示する場合。たとえば、管轄当局が、アウトソーシングの手配によって、その機関または決済機関を効率的に監督する立場ではなくなった場合。

68 行目をご覧ください。

68 行目をご覧ください。

74. 99. アウトソーシングの手配で、アウトソーシングされた機能を別のサービス プロバイダに移転することや、または機関や決済機関に戻すことができるようにする必要があります。これを終了するには、書面によるアウトソーシング手配を次のように行います。
75.

a. 別のサービス プロバイダにアウトソーシング機能を移転するか、またはデータの処理を含めて機関または決済機関に戻す場合の既存のサービス プロバイダの義務を明確に規定します。

Google は、お客様が契約期間中、お客様のデータにアクセスしてエクスポートすることを許可します。本サービスは、さまざまな業界標準の形式でサービスからデータをエクスポートできます。例:

  • Google Kubernetes Engine は、さまざまなクラウドやオンプレミス環境にまたがるポータビリティを可能にする、本番環境に対応したマネージド環境です。
  • Migrate for Anthos を使用すると、Google Kubernetes Engine のコンテナにワークロードを直接移行、変換できます。
  • .tar アーカイブの形式で VM イメージ全体をエクスポートおよびインポートできます。詳細については、イメージストレージ オプションをご覧ください。

データ エクスポート(データ処理とセキュリティ規約

76.

b. 適切な移行期間を設定します。移行期間中、サービス プロバイダはアウトソーシング手配の解除後も引き続きアウトソーシングした機能を提供して、中断のリスクを低減します。

Google は、機関が過度に事業を停止することなく、規制要件への遵守を制限することなく、クライアントへのサービスの継続性や品質を損なうことなく、サービスを終了できる必要があることを認識しています。機関がこれを実現することを支援するために、Google はリクエストに応じて、契約期間の満了または終了後も 12 か月間サービスを引き続き提供します。

移行期間

77.

c. アウトソーシング契約が解除された場合に、サービス プロバイダが機関または決済機関に機能を滞りなく転送する義務が含まれます。

本サービスでは、お客様がデータを個別に転送できます。これを行うために Google の許可は必要はありません。75 行目をご覧ください。ただし、機関が要求に応じてサポートを行う場合、Google は要請に応じて、ワークロードの移行または本サービスの使用の移行を支援するアドバイスと実装サービスを提供します。

移行の支援