Google Cloud と EU ネットワークおよび情報システムに関する指令（NIS2）

Google は、クラウド サービスに関連する技術的、組織的、物理的なセキュリティ対策を実装および維持することを契約に明記することで、お客様の NIS2 コンプライアンスの取り組みをサポートします。また、クラウド環境の保護に役立つ追加のセキュリティ プロダクトと機能も提供しています。Google は、Google Cloud および Workspace サービスのセキュリティ評価に役立つドキュメントとリソースを公開しています。

NIS2 指令第 21 条第 2 項および EU 実施規則の付録の 5.1 と 6.1 に記載されている、Google の契約、管理、プロセスがサプライヤーとサービス プロバイダの取得要件をどのようにサポートしているかについては、以下をご覧ください。

Google Cloud と Workspace のサイバーセキュリティ

Google Cloud と Workspace のセキュリティについては、Cloud のデータ処理に関する追加条項で説明しています。この条項では、サービスをサポートするデータセンター、ハードウェア、ソフトウェア、ネットワーキングのセキュリティについて説明しています。Google はサービスの 1 対多の性質により、すべてのお客様に同じ堅牢なセキュリティを提供しています。Google は、セキュリティに関する詳細情報をお客様に提供し、お客様がセキュリティ状況を把握して調達要件の一環として検討できるようにします。

詳細については、以下をご覧ください。

• Google Cloud トラスト センター
• Google セキュリティの概要
• Google インフラストラクチャのセキュリティ設計の概要
• セキュリティに関するリソース

クラウド内のデータとアプリケーションのセキュリティはお客様が定義しますが、データのセキュリティは Google にとって最優先事項です。Google はお客様を支援するために次のような予防措置を講じます。

• 保存時の暗号化: Google はデフォルトで、お客様のデータを保存時に暗号化します。お客様が追加で操作を行う必要はありません。詳しくは、Google Cloud の保存データの暗号化とGoogle Workspace 暗号化のホワイトペーパーをご覧ください。
• 転送データの暗号化: すべての転送中のデータは、Google が管理しているまたは Google が管理を委託している物理的境界の外へ出るときに、1 つ以上のネットワーク レイヤで暗号化され認証されます。詳しくは、Google Cloud の転送データの暗号化とGoogle Workspace 暗号化のホワイトペーパーをご覧ください。

Google Cloud セキュリティ プロダクトを使用して、データのセキュリティを強化し、モニタリングすることもできます。Google Cloud セキュリティ プロダクトに関する情報は、Cloud セキュリティ プロダクト ページをご覧ください。

Google は、クラウド セキュリティのベスト プラクティス ガイドとリソースを Google Cloud セキュリティのベスト プラクティスと Google Workspace のセキュリティとデータ保護のページで公開しています。

Google は、クラウド サービスの可用性に関するサービスレベル契約を提供しています。サービスレベル契約は、Google Cloud Platform のサービスレベル契約と Google Workspace のサービスレベル契約で確認できます。お客様は、サービスの機能を使用して、Google のサービス（サービスレベル契約を含む）のパフォーマンスを継続的にモニタリングできます。Google は、Google Cloud サービスのステータスに関する情報を提供するダッシュボード（https://status.cloud.google.com）と、Workspace サービスのステータスに関する情報を提供するダッシュボード（https://www.google.com/appsstatus/dashboard/）を維持し、お客様が利用できるようにしています。ステータス ダッシュボードは、情報提供のみを目的として提供されています。

従業員のスキルとトレーニング

Google の従業員のスキルとトレーニングについては、Cloud のデータ処理に関する追加条項の付録 2: セキュリティ対策で説明しています。Google の従業員は、Google の機密保持ポリシーとプライバシー ポリシーを遵守する必要があります。また、セキュリティ トレーニングを受け、職務に必要な追加の要件を満たす必要があります。Google の従業員は、機密保持、企業倫理、適切な使用、職業上の基準に関する Google ガイドラインに準拠した形で行動する必要があります。

Personnel Background Verification

Google の従業員の身元確認については、Cloud のデータ処理に関する追加条項の付録 2: セキュリティ対策で説明しています。Google は、法的に許容される範囲内で、適用される現地の労働法および法定規制に従って、合理的に適切な身元調査を行います。

インシデントの通知

Google のインシデント通知に関するコミットメントは、Cloud のデータ処理に関する追加条項の第 7.2 項に記載されています。Google は、データ インシデントの発生を認識した後、不当に遅滞することなく速やかにお客様に通知し、被害を最小限に抑えつつ、顧客データを保護するために合理的な措置を速やかに講じます。詳しくは、データ インシデント対応プロセスをご覧ください。

監査レポート

Google は、お客様がセキュリティ、プライバシー、コンプライアンスの管理が独立した機関によって検証されることが求められていることを認識しています。Google ではこれを保証するため、独立した第三者機関による複数の監査を定期的に受けています。Google は、お客様との契約期間において、次の重要な国際基準を遵守することに取り組んでいます。

• ISO/IEC 27001（情報セキュリティ管理システム）
• SOC 2
• SOC 3

また、Cloud のデータ処理に関する追加条項の付録 4 に記載されている追加の認証も含まれます。Google の現在の認定と監査レポートはいつでも確認できます。Compliance Reports Manager は、重要なコンプライアンス リソースに簡単にオンデマンド アクセスを提供します。

脆弱性の管理

Google の内部脆弱性の管理プロセスは、技術スタックにわたってセキュリティ上の脅威を常に探索しています。このプロセスでは、市販のツール、オープンソース ツール、専用内部ツールを組み合わせて使用します。Google が緩和した脆弱性は、Google Cloud のセキュリティに関する公開情報で公開されています。脆弱性管理の詳細については、Google のセキュリティの概要をご覧ください。

復処理者のサイバーセキュリティ

Google の復処理者に対するサイバーセキュリティ要件については、Cloud のデータ処理に関する追加条項の第 11 条と付録 2: セキュリティ対策で説明しています。Google は、サブプロセッサに処理を委託する前に、データへのアクセス権限や提供するサービスの範囲に適したレベルのセキュリティとプライバシーを当該サブプロセッサが備えているか確認するため、そのセキュリティ慣行とプライバシー慣行の監査を実施します。Google がサブプロセッサから提示されるリスクを評価した後、サブプロセッサは所定のセキュリティ、機密保持、プライバシーの契約を締結する必要があります。

データの取得と削除

契約終了時のお客様データの取得と削除については、Cloud のデータ処理に関する追加条項の第 6 条と第 9 条で規定されています。Google は、お客様がサービス機能に沿った方法でお客様のデータをエクスポートできるようにします。Google は、第 6 条に記載されているとおり、契約期間の終了時に Google のシステムから顧客データを削除します。

Google は、規制環境の変化に合わせて、お客様に提供する機能を継続的に進化させます。