Google Cloud と EU ネットワークおよび情報システムに関する指令（NIS2）

Google は、Google のクラウド サービスに関連する技術的、組織的、物理的なセキュリティ対策を実施および維持することを契約で約束することで、お客様の NIS2 コンプライアンスへの取り組みをサポートしています。また、クラウド環境の保護に役立つ追加のセキュリティ プロダクトと機能も提供しています。Google は、Google Cloud および Workspace サービスのセキュリティ評価を支援するためのドキュメントとリソースを公開しています。

Google の契約、管理、プロセスが、サプライヤーとサービス プロバイダの取得要件（NIS2 指令の第 21 条（2）項と EU 実施規則の付属書の 5.1 および 6.1 項に記載）をどのようにサポートしているかについては、以下をご覧ください。

Google Cloud と Workspace のサイバーセキュリティ

Google Cloud と Workspace のセキュリティについては、Cloud のデータ処理に関する追加条項で説明しています。この追加条項では、これらのサービスを支えるデータセンター、ハードウェア、ソフトウェア、ネットワークのセキュリティについて説明しています。Google はサービスの 1 対多の性質により、すべてのお客様に同じ堅牢なセキュリティを提供しています。Google は、セキュリティに関する詳細情報をお客様に提供し、お客様がセキュリティ状況を把握して独自の取得要件の一環として検討できるようにします。

詳細については、以下をご覧ください。

• Google Cloud トラスト センター
• Google セキュリティの概要
• Google インフラストラクチャのセキュリティ設計の概要
• セキュリティに関するリソース

クラウド内のデータとアプリケーションのセキュリティはお客様が定義しますが、Google にとってお客様のデータのセキュリティは最重要事項です。お客様を支援するために、Google は次の事前対策を講じています。

• 保存時の暗号化: Google はデフォルトで、お客様のデータを保存時に暗号化します。お客様が追加で操作を行う必要はありません。詳細については、Google Cloud の保存データの暗号化とGoogle Workspace 暗号化のホワイトペーパーをご覧ください。
• 転送データの暗号化: すべての転送中のデータは、Google が管理しているまたは Google が管理を委託している物理的境界の外へ出るときに、1 つ以上のネットワーク レイヤで暗号化され認証されます。詳しくは、Google Cloud の転送データの暗号化とGoogle Workspace 暗号化のホワイトペーパーをご覧ください。

Google Cloud セキュリティ プロダクトを使用して、データのセキュリティを強化し、モニタリングすることもできます。Google Cloud セキュリティ プロダクトに関する情報は、Cloud セキュリティ プロダクト ページをご覧ください。

Google は、クラウド セキュリティのベスト プラクティス ガイドとリソースを Google Cloud セキュリティのベスト プラクティスと Google Workspace のセキュリティとデータ保護のページで公開しています。

Google は、クラウド サービスの可用性に関するサービスレベル契約を提供しています。サービスレベル契約は、Google Cloud Platform のサービスレベル契約と Google Workspace のサービスレベル契約で確認できます。お客様は、Google のサービス（サービスレベル契約を含む）のパフォーマンスを、サービス機能を使用して継続的にモニタリングできます。Google は、https://status.cloud.google.com で Google Cloud サービス、https://www.google.com/appsstatus/dashboard/ で Workspace サービスのステータスに関する情報を提供するダッシュボードを維持し、お客様に提供しています。ステータス ダッシュボードは情報提供のみを目的としています。

従業員のスキルとトレーニング

Google の従業員のスキルとトレーニングについては、Cloud のデータ処理に関する追加条項の付録 2: セキュリティ対策で説明しています。Google の従業員は、Google の機密保持ポリシーとプライバシー ポリシーを遵守する必要があります。また、セキュリティ トレーニングを受け、職務に必要な追加の要件を満たす必要があります。Google の従業員は、機密保持、企業倫理、適切な使用、職業上の基準に関する Google ガイドラインに準拠した形で行動する必要があります。

従業員の身元確認

Google の従業員の身元確認については、Cloud のデータ処理に関する追加条項の付録 2: セキュリティ対策をご覧ください。Google は、法的に許容される範囲内で、適用される現地の労働法および法定規制に従って、合理的に適切な身元調査を行います。

インシデントの通知

Google のインシデント通知に関するコミットメントは、Cloud のデータ処理に関する追加条項の 7.2 項に記載されています。Google は、データ インシデントの発生を確認した後、速やかにお客様に通知し、被害を最小限に抑え、お客様のデータを保護するために、合理的な措置を速やかに講じます。詳細については、データ インシデント対応プロセスをご覧ください。

監査レポート

Google は、お客様がセキュリティ、プライバシー、コンプライアンスの管理が独立した機関によって検証されることが求められていることを認識しています。Google ではこれを保証するため、独立した第三者機関による複数の監査を定期的に受けています。Google は、お客様との契約期間において、次の重要な国際基準を遵守することに取り組んでいます。

• ISO/IEC 27001（情報セキュリティ管理システム）
• SOC 2
• SOC 3

および Cloud のデータ処理に関する追加条項の付録 4 に記載されているその他の認定資格Google の現在の認定と監査レポートはいつでも確認できます。Compliance Reports Manager は、重要なコンプライアンス リソースに簡単にオンデマンド アクセスを提供します。

脆弱性の管理

Google の内部脆弱性管理プロセスは、技術スタックにわたってセキュリティ上の脅威を常に探索しています。このプロセスでは、市販のツール、オープンソース ツール、専用内部ツールを組み合わせて使用します。Google が緩和した脆弱性は、Google Cloud のセキュリティに関する公開情報に公開されます。脆弱性管理の詳細については、Google セキュリティの概要をご覧ください。

サブプロセッサのサイバーセキュリティ

サブプロセッサに対する Google のサイバーセキュリティ要件は、Cloud のデータ処理に関する追加条項のセクション 11 と付録 2: セキュリティ対策に記載されています。Google は、サブプロセッサに処理を委託する前に、データへのアクセス権限や提供するサービスの範囲に適したレベルのセキュリティとプライバシーを当該サブプロセッサが備えているか確認するため、そのセキュリティ慣行とプライバシー慣行の監査を実施します。Google がサブプロセッサから提示されるリスクを評価した後、サブプロセッサは所定のセキュリティ、機密保持、プライバシーの契約を締結する必要があります。

データの取得と削除

契約終了時のお客様データの取得と削除については、Cloud のデータ処理に関する追加条項のセクション 6 と 9 で説明されています。Google は、お客様がサービス機能に沿った方法でお客様のデータをエクスポートできるようにします。Google は、第 6 項に記載されているように、契約期間の終了時に Google のシステムからお客様のデータを削除します。

Google は、規制環境の変化に合わせて、お客様に提供する機能を継続的に進化させます。