マッピング

アウトソーシング テクノロジー サービスの FIIEC リスク管理

Google Cloud Platform のマッピング

このドキュメントは、連邦金融機関審査会(「FFIEC」)が Google Cloud Platform(「GCP」)と Google Cloud 金融サービス契約のコンテキストでアウトソーシング ブックレット(「FFIEC アウトソーシング ブックレット」)を検討するための金融機関(「機関」)を支援することを目的としています。

FFIEC アウトソーシング ブックレットの「デュー デリジェンス」セクションと「契約に関する問題」セクションを中心に説明します。これらのセクションの各段落では、Google Cloud サービスと Google Cloud 金融サービス契約を使用して FFIEC アウトソーシング ブックレットに対応する方法を理解するために役立つコメントを提供しています。

# リファレンス Google Cloud のコメント Google Cloud 金融サービス契約のリファレンス
1. デュー デリジェンス
2 金融機関は、サービス プロバイダの RFP とサービス プロバイダ自体へのレスポンスに対するデュー デリジェンスを行う必要があります。デュー デリジェンスは検証と分析のツールとして機能し、サービス プロバイダが機関のニーズを満たすことを保証します。デュー デリジェンスでは、サービス プロバイダに関して次の情報を確認および評価する必要があります。 Google は、Google のサービスを利用することを決定する前に、デュー デリジェンスを実施し、リスク評価を行う必要があることを認識しています。ご参考までに、ここでは行内の検討する必要がある各領域の情報を記載しています。 該当なし
3
  • 存在と事業歴
Google Cloud の事業歴については、Alphabet の投資家向け情報ページをご覧ください。 該当なし
4
  • 企業のプリンシパルの適格性、背景、評価(犯罪歴の調査など)

企業プリンシパル

Google Cloud のリーダーシップ チームについては、メディア リソース ページをご覧ください。

バックグラウンド チェック

Google は法的に許可されている場合、Google の顧客と従業員に安全な環境を提供するために、従業員のバックグラウンド チェックを行います。

該当なし
5
  • 参考までに、問い合わせ可能なプロバイダの類似するサービスを利用している他の企業。
事例を公開できるお客様(金融サービス部門を含む)については、Google Cloud のお客様ページをご覧ください。 該当なし
6
  • 財務状況(監査済みの財務諸表のレビューを含む)
Google の財務状態と監査済みの財務諸表は、Alphabet の投資家向け情報ページでご確認いただけます。 該当なし
7
  • 戦略と評価
戦略

Google Cloud の戦略については、Alphabet の投資家向け情報ページをご覧ください。

評価

Google Cloud は、サードパーティの業界アナリストによる複数のレポートのリーダーに選出されました。詳しくは、アナリスト レポート ページをご覧ください。

該当なし
8
  • サービス配信機能、ステータス、有効性
Google Cloud のサービス配信機能と有効性に関する情報は、Google Cloud の選択ページをご覧ください。 また、アナリスト レポート ページでサードパーティ業界アナリストによるレポートを確認することもできます。 該当なし
9
  • テクノロジーとシステム アーキテクチャ。

Google Cloud のテクノロジーとシステム アーキテクチャに関する情報は、Google Cloud の選択ページをご覧ください。

該当なし
10
  • 内部統制環境、セキュリティの履歴、監査範囲。

Google では、リスク評価の一環として、機関が Google の内部統制をレビューする必要があると認識しています。Google は、独立した第三者による監査を少なくとも毎年実施し、運用と内部統制の独立した検証を提供しています。Google は、お客様との契約期間において、次の重要な国際基準を遵守することに取り組んでいます。

該当なし
11
  • 法令や規制遵守(苦情の申し立て、訴訟、規制措置を含む)。
保留中の法的手続きに関する情報は、Alphabet の投資家向け情報ページの年次レポートでご覧いただけます。 該当なし
12
  • サードパーティのサービス プロバイダを信頼し、連携に成功しています。
孫請け契約については 41 行目をご覧ください。 該当なし
13
  • 保険の適用範囲。
Google は、特定された複数のリスクに対して保険の対象を維持します。 該当なし
14
  • 障害復旧とビジネスの継続性の要件を満たす能力。
ビジネスの再開計画と緊急時計画については、40 行目をご覧ください。 該当なし
15 その他の重要な要素として、サードパーティのサービス フィッシング、品質への取り組み、管理スタイルなど、不明瞭な情報について調べることなどがあります。文化、価値、ビジネス スタイルを金融機関に合わせる必要があります。 Google のミッション、理念、文化については、Alphabet の投資家向け情報ページをご覧ください。また、行動規範などの Google の組織のポリシーの情報を提供します。 該当なし
16 外国を拠点とするサービス プロバイダは、上記の項目の観点から関係を評価する必要がある評価と、付録 C「外国を拠点とするサードパーティのサービス プロバイダ」で説明されている情報を考慮する必要があります。 50 行目を参照してください。 該当なし
17 金融機関は、RFP に対応する 1 つ以上のサービス プロバイダに対してデュー デリジェンスを実施できます。実施するデュー デリジェンスの深度とフォーマル度は、アウトソーシング関係のリスク、機関の潜在的なサービス プロバイダの精通度、プロバイダ選択プロセスのステージによって異なります。組織が RFP を発行し、回答を受け取って評価し、デュー デリジェンスを実施したら、ニーズに合うと判断した 1 つ以上のサービス プロバイダとの契約交渉を始めます。 これはお客様の検討事項です。 該当なし
18. 契約に関する問題
19

サービス プロバイダを選択した後、要件を満たす契約を交渉する必要があります。RFP とサービス プロバイダの回答を、このプロセスの入力として使用できます。契約は、サービス関係のあらゆる側面を定義する法的拘束力のある文書です。すべてのサービス関係において、書面による契約を締結する必要があります。これには、サービス プロバイダが機関と関連付けられているインスタンスも含まれます。関係会社との契約を結ぶ場合は、提供されるサービスの費用と品質が、提携されていないプロバイダのサービスと同じであることを確認してください。契約は、アウトソーシング プロセスにおける 1 つの最も重要な制御です。契約の重要性により、管理には次のメリットが必要となります。

  • 契約に含まれるアウトソーシング関係の記述の正確性を確認します。
  • 契約が明確に記述され、各当事者の権利と責任を包括的に定義するために十分な詳細が含まれていることを確認します。
  • プロセスの早期段階で弁護士と連携し、提案された契約書案を準備して確認してください。
Google Cloud 金融サービス契約では、サービス関係の側面を定義します。 該当なし
20. 考慮する必要がある契約要素の例は次のとおりです。
21 サポートの範囲について契約では、当事者の権利と責任を明確にしなければなりません。次の点を考慮する必要があります。 当事者の権利と責任の義務は、Google Cloud 金融サービス契約で規定されています。 該当なし
22
  • 必要なアクティビティの説明、実装期間、責任の割り当て。実装のプロビジョニングでは、他の既存のシステムまたは相互に関連するシステムがさまざまなサービス プロバイダによって開発されたものであることを考慮する必要があります(たとえば、インターネット バンキング システムが既存のコア アプリケーションやシステムのカスタマイズと統合されている場合)。

アクティビティ

GCP サービスについては、サービスの概要ページをご覧ください。

統合

Google のサービスとお客様のシステムを統合する方法はいくつかあります。

  • Cloud Console を使用すると、仮想マシン、ネットワーク設定、データ ストレージなど、すべての Google Cloud リソースの健全性を 1 か所で確認できます。
  • Cloud API を使用すると、コードから Google Cloud プロダクトにアクセスし、任意のプログラミング言語を使用してワークフローを自動化できます。
定義
23
  • ソフトウェア サポートとメンテナンス、従業員トレーニング、カスタマー サービスなどのサービス プロバイダの義務と行うべきサービス。

Google は、Google Cloud Platform サービスレベル契約に従って、サービスの概要ページで説明されているサービスを提供します。

サポート サービスについては、技術サポート サービス ガイドライン ページに説明されています。

Google は、機関とその社員が Google サービスをどのように利用できるかを説明するドキュメントを提供しています。機関がより詳細なトレーニングを必要としている場合は、Google がさまざまなコースと認定資格も提供しています。

サービス

テクニカル サポート

24
  • 金融機関の義務
  • Google Cloud 金融サービス契約をご覧ください。
25
  • 契約に基づいて、既存のサービスを変更するための契約当事者の権利。

Google では、お客様が最新のテクノロジーを利用できるように、継続的にサービスを更新しています。サービスの 1 対多の性質によって、更新はすべてのお客様に同時に適用されます。

Google は、本サービスの機能、パフォーマンス、可用性、またはセキュリティを大幅に低下させる更新を行わないものとします。

Google がサービスを置換することなく終了する必要がある場合は、少なくとも 12 か月前に通知が届きます。この期間中、Google は引き続きサポート、プロダクト、セキュリティの更新を提供いたします。

サービスに対する変更
26
  • 新しいサービスまたはさまざまなサービスの追加と、契約の再交渉に関するガイドライン。

新しいサービス

Google では、お客様に最新の機能を提供する目的で、継続的に新しいサービスを提供しています。新しいサービスは、利用可能になった時点で [サービスの概要] ページに追加され、各お客様は既存の契約に基づいてこのサービスを使用するかどうかを選択できます。

契約の再交渉

サービスやテクノロジーが変更された場合、Google はすべてのお客様に適用される特定の規約の URL を更新することがあります。更新は厳格な条件を満たす必要があります。たとえば、サービスの全体的なセキュリティの大幅な低下や、既存の権利に重大な悪影響を及ぼすものであってはなりません。このような限定的な更新以外にも、契約の変更は両当事者が書面で行い、署名する必要があります。

サービスと利用規約の更新

利用規約への変更、修正

27 パフォーマンスの評価基準機関は、契約における基準を満たせない場合のサービスレベルの最小要件と回避策を定義するパフォーマンス基準を含める必要があります。たとえば、一般的なサービスレベル指標には、システム稼働時間の割合、バッチ処理の完了期限、処理エラー数などがあります。サービスレベルの業界標準が基準点を示す場合があります。各機関は、定期的にパフォーマンス基準全体を確認して、目標や目的の整合性を維持する必要があります。このガイドの「サービスレベル契約」セクションもご覧ください。 SLA は、サービスに対して測定可能なパフォーマンス基準と救済基準を示します。また、Google Cloud Platform のサービスレベル契約ページにも記載されています。 サービス
28 セキュリティと機密性保持契約では、機関のリソース(情報、ハードウェアなど)のセキュリティと機密性保持について、サービス プロバイダの責任に対処しなければなりません。契約では、サービス プロバイダとそのエージェントが、契約済みのサービスの提供と不正使用(たとえば、機関の競合他社への情報の開示)からの保護のために必要であるか、正当である場合を除き、機関の情報の使用と開示を禁じる必要があります。 サービス プロバイダが機関の顧客に関する非公開の個人情報を受け取った場合、機関はサービス プロバイダがプライバシー規定で適用されるすべての要件に準拠していることを確認する必要があります。機関は、サービス プロバイダに、機関や顧客に重大な影響を及ぼす可能性のあるサービス プロバイダへの不正侵害につながるセキュリティ侵害を完全に開示することを要求する必要があります。サービス プロバイダは、侵入が発生した場合、両方の当事者の合意に基づき、機関に及ぼす影響、侵入に対処する是正措置を報告する必要があります。 セキュリティ

クラウド サービスを使用する際の情報のセキュリティとプライバシーは、次の 2 つの主要要素で構成されています。

Google のインフラストラクチャ

Google はインフラストラクチャのセキュリティを管理しています。これは、本サービスをサポートするハードウェア、ソフトウェア、ネットワーク、および施設のセキュリティです。

Google はサービスの 1 対多の性質により、すべてのお客様に同じ堅牢なセキュリティを提供しています。

Google は、セキュリティに関する詳細情報をお客様に提供し、お客様がセキュリティ状況を把握して独自のリスク分析の一環として検討できるようにします。

詳細については、次のページをご覧ください。

クラウド内のデータとアプリケーション

クラウド内のデータとアプリケーションのセキュリティを定義します。これは、本サービスを利用する際に実装および運用することを選択するセキュリティ対策のことです。

(a)デフォルトのセキュリティ

Google では、お客様のデータに関しては、可能な限り多くの選択肢を提供することに努めていますが、データのセキュリティは Google にとって最優先事項であり、Google はお客様を支援するために次のような予防措置を講じます。

  • 保存時の暗号化: Google はデフォルトで、お客様のデータを保存時に暗号化します。お客様が追加で操作を行う必要はありません。詳細については、https://cloud.google.com/security/encryption-at-rest/default-encryption をご覧ください。
  • 転送データの暗号化: すべての転送中のデータは、Google が管理しているまたは Google が管理を委託している物理的境界の外へ出るときに、1 つ以上のネットワーク レイヤで暗号化され認証されます。詳細については、https://cloud.google.com/security/encryption-in-transit をご覧ください。

(b)セキュリティ プロダクト

Google 以外が提供している他のツールやプラクティスに加えて、Google が提供するツールを使用してデータのセキュリティを強化し、モニタリングすることもできます。Google のセキュリティ プロダクトに関する情報は、Cloud Security プロダクト ページをご覧ください。

(c)セキュリティに関するリソース

Google では、以下に関するガイダンスも公開しています。

ユーザーの情報の使用

Google は、お客様が注文したサービスを提供する目的でのみお客様のデータへのアクセスまたは使用を行います。また、このデータが他の Google プロダクト、サービス、広告に使用されることはありません。

プライバシーと非公開の個人情報

Google は、本サービスの提供において適用されるプライバシー法および規制に準拠します。

セキュリティ侵害

Google は、データ インシデントについて、速やかに遅延なく通知します。Google のデータ インシデント対応プロセスの詳細については、データ インシデント対応に関するホワイトペーパーをご覧ください。

データ セキュリティ、セキュリティ対策(データ処理とセキュリティ規約

お客様のデータの保護

データの処理、役割と規制遵守(データ処理とセキュリティ規約

データ インシデント(データ処理とセキュリティ規約

29. 管理: 管理では、次の制御に対応する契約条項の実装を検討する必要があります。
30
  • サービス プロバイダの内部統制

Google は、独立した第三者による監査を少なくとも毎年実施し、内部統制の有用性の独立した検証を提供しています。 Google との関係における Google の内部統制の有効性を示すため、Google はお客様との契約期間中に、次の重要な国際基準の証明書や報告書の維持に努めています。

証明書と監査レポート
31
  • 適用される規制要件への準拠
Google は、本サービスの提供において適用されるすべての法令および規制に準拠します。 表明および保証
32
  • サービス プロバイダのメンテナンス要件の記録。
Google は、機関とその関係者にアクセス権と情報権限を付与します。 顧客情報、監査、アクセス
33
  • 機関によるレコードへのアクセス。
32 行目を参照してください。
34
  • サービス、システム、制御、主要なプロジェクト担当者、サービスの場所情報への重要な変更に関する通知要件と承認権限。

サービス

サービスの変更については 25 行目を参照してください。

人員

お客様は、Google の担当者によるアクションなしで、サービスを単独で実行できます。 Google の担当者はサービスの 1 対多の性質において、サービスをサポートするハードウェア、ソフトウェア、ネットワーク、施設を管理、維持しますが、個々のお客様にサービスを提供することに専従の Google 担当者はいません。

場所

高速かつ信頼性が高く、堅牢性と復元性に優れたサービスを提供するため、Google は、Google またはその復処理者が施設を維持しているデータを保存、処理できます。

Google は、データが配置されている国 / 地域に関係なく、同じ契約上のコミットメントと技術上および組織上の判断基準を提供します。具体的には以下の点です。

  • 国 / 地域に関係なく、すべての Google 施設に同じ堅牢なセキュリティ機能が適用されます。
  • Google は、国 / 地域に関係なく、すべての復処理者に同じコミットメントを行います。

Google は、データの保存先とする選択肢(米国でデータを保存する選択肢など)を選択できます。お客様がデータを保存する場所を選択すると、Google は選択したリージョン以外には保存されません。

Google が提供するツールを使用して、データのロケーション要件を強制することもできます。詳細については、データ所在地、業務の透明性、プライバシーに関する Google Cloud のホワイトペーパーをご覧ください。

データ転送(データ処理とセキュリティ規約

データ セキュリティ、復処理者(データ処理とセキュリティ規約

データ ロケーション(サービス固有の規約

35
  • 機関の代理として、支払処理や与信枠の拡大などの金融機能のパラメータの設定とモニタリング。
サービスの性質により、Google が機関の代理として支払処理(Booklet を目的とするもの)や与信枠の拡大を行うことはありません。 該当なし
36
  • サービス プロバイダによって管理される保険適用範囲
Google は、特定された複数のリスクに対して保険の対象を維持します。 保険
37 監査機関は、受け取る監査レポートの種類(財務、内部統制、セキュリティ審査など)を契約に含める必要があります。 契約では、適切なタイミングで監査の結果を得られるように、監査の頻度、監査にかかるすべての費用、機関とその規制当局の権利を指定する必要があります。また、契約では、あらゆる不備の解決策に関する文書を取得する権利、およびサービス プロバイダの処理施設および運用手法を調査する権利も指定できます。リスク評価フェーズに基づいて、内部監査に依存するかどうか、外部監査とレビューの必要性があるかどうかを検討する必要があります。

監査レポート

Google が提供する監査レポートの詳細については、10 行目を参照してください。 Google は、契約期間を通してこうしたレポートの提供を確約します。レポートは、独立した第三者機関による監査の後に少なくとも年に 1 回作成されます。

Google の現在の証明書と監査レポートはいつでも確認できます。

  • Google の ISO 認証については、こちらをご覧ください。
  • Google の SOC レポートPCI 準拠認証(AOC)は、Google Cloud アカウント担当者を通じて入手できます。

機関は規制当局にこれらの資料を提供する場合があります。

検査

Google は、機関が Google のサービスを効果的に監査できる必要があると認識しています。 Google は、機関および独立した監査機関に Google の処理施設と運用方法を検査するなどの監査権限を付与します。組織にとって適切な監査頻度は、機関が決定するのが最適です。Google との契約では、機関の監査回数は制限されていません。

証明書と監査レポート:

お客様のコンプライアンスを有効にする

38 インターネット関連のサービスなど、オープン ネットワークへのアクセスを伴うサービスに対しては、管理においてセキュリティに特に注意する必要があります。機関は、十分な専門知識を持つ独立した第三者による定期的な管理の確認を必要とする契約条件を含めることを検討する必要があります。これらの確認には、侵入テスト、侵入検知、ファイアウォール構成の確認、独立した管理の確認が含まれます。機関は、サービス プロバイダのセキュリティを損なうことなくセキュリティを適切に評価するために、これらの監査の結果について詳細な詳細レポートを受け取る必要があります。 Google の事前の承認なしに、いつでもサービスのペネトレーション テストを実行できます。さらに、Google は、本サービスのペネトレーション テストを実施するために、適格かつ独立した第三者を利用しています。詳しくは、こちらをご覧ください。 顧客ペネトレーション テスト
39 レポート: 契約条件には、組織が受け取るレポート(パフォーマンス レポート、統制監査、財務諸表、セキュリティ、ビジネスの再開テストのレポートなど)の頻度とタイプを含める必要があります。また、契約にカスタム レポートの取得に関するガイドラインと料金の概要も含める必要があります。

掲載結果レポート

本サービスの機能を使用して、Google の本サービス(SLA を含む)のパフォーマンスを定期的にモニタリングできます。

次に例を示します。

  • ステータス ダッシュボードに、本サービスのステータス情報が表示されます。
  • Google Cloud のオペレーションは、GCP で実行されるアプリケーションの分析情報の取得に役立つ、統合されたモニタリング、ロギング、診断のホストされたソリューションです。
  • アクセスの透明性は、Google の担当者がお客様のデータに関して行ったアクションのログを確認できるようにする機能です。ログエントリには、影響を受けるリソース、アクション時間、アクションの理由(サポート リクエストに関連付けられたケース番号など)、データを操作しているユーザーに関するデータ(Google の担当者の所在地など)が含まれます。

売上レポート

Google は、お客様が本サービスの使用状況および関連する費用に関するレポートを取得するために使用できる請求ツールを提供しています。詳細については、クラウドのお支払いとご請求 ドキュメント ページと Cloud Billing データを BigQuery にエクスポートするページをご覧ください。

監査とセキュリティ レポート

10 行目を参照してください。

ビジネスの再開テストのレポート

40 行目を参照してください。

重要な開発

Google は、利用可能な SLA に従って、Google が本サービスを実行する能力に大きく影響する開発に関する情報を作成します。詳細については、インシデントと Google Cloud ダッシュボードをご覧ください。

継続的なパフォーマンス モニタリング

重要な開発

40 ビジネスの再開計画と緊急時計画。契約では、サービス プロバイダがバックアップおよび記録の保護(機器、プログラムおよびデータファイル、障害復旧と緊急時対応計画など)の責任に対処しなければなりません。契約では、サービス プロバイダが計画を定期的にテストし、結果を機関に提示する責任について概要を記述する必要があります。機関は、ビジネスの再開テストの要件を決定するときに、サービス プロバイダ間の相互依存関係を考慮する必要があります。サービス プロバイダは、ビジネスが中断した場合に必要な運用手順をまとめた緊急時対応計画のコピーを機関に提供する必要があります。契約には、機関のビジネスの要件を満たすビジネスの復旧期間に関する特定の条項を含める必要があります。機関は、サービス プロバイダが緊急時対応計画を実施する規定を契約に含めないようにする必要があります。

Google は、サービスの障害復旧計画とビジネスの緊急時対応計画を実施し、少なくとも年に 1 回は確認とテストを行い、最新の業界標準に従っていることを確認します。機関は Google の計画とテスト結果を確認できます。

また、お客様が独自の障害復旧とビジネスの緊急時対応計画で Google のサービスを利用する方法については、障害復旧計画ガイドをご覧ください。

ビジネスの継続性と障害復旧
41 委託と複数のサービス プロバイダの関係 一部のサービス プロバイダは、金融機関にサービスを提供する目的で第三者と契約する場合があります。機関は、すべての孫請け業者を認識し、承認する必要があります。 アカウンタビリティをもたらすために、金融機関は契約でメインの契約サービス プロバイダを指定する必要があります。また、どのエンティティが実際にオペレーションを行ったかに関係なく、契約に概要が記載されているサービスについて責任を負うメインの契約サービス プロバイダを指定する必要もあります。また、サービス プロバイダの主要な孫請け業者の変更に関する通知と承認の要件を含めることも検討する必要があります。

Google は、機関が孫請け契約に関連するリスクを考慮する必要があることを認識しています。Google は、可能な限り信頼性が高く、堅牢性と復元性に優れたサービスをすべてのお客様に提供できるよう努めています。年中無休 24 時間のサポートなど、他の信頼できる組織と連携することで明確なメリットを得られる場合があります。

説明責任

Google は、当社と同じ水準の高い基準を満たす孫請け業者を求めています。特に、Google がお客様との契約を遵守するために、孫請け業者が必要です。 Google は、孫請け契約のすべての義務の遂行について引き続き責任を負います。

情報と変更

機関が孫請け契約の監視を維持し、機関が使用するサービスの選択肢を指定できるよう、Google は次のことを行います。

  • 孫請け業者に関する情報(業務と所在地を含む)を提供する。
  • 孫請け業者に変更を事前に通知する。
  • 新しい孫請け業者について懸案事項がある場合は、機関が契約を解除できるようにする。
Google の孫請け業者
42 費用。契約には、開発、変換、繰り返しなどの基本サービスの料金と、アクティビティ数に応じた料金や特別なリクエストの料金をすべて記述する必要があります。また、ハードウェアとソフトウェアの購入と維持に関する責任と追加の費用についても契約で定める必要があります。課金形態を変更できる条件については、追加費用の制限など、詳細に記述する必要があります。このブックレットの価格設定とバンドルのセクションもご覧ください。

Google Cloud 金融サービス契約をご覧ください。

監査

Google は、サービスの監査や調査を行っている機関の支援に取り組んでいます。このサポートは、Google の通常の公開サービス料金には含まれないため、Google は監査または試験に関して追加料金を請求する場合があります。 アクティビティの範囲が判明したら、Google はアクティビティに先だって詳細情報を提供します。

支払い条件
43 所有権とライセンス: 契約には、機関のデータ、機器やハードウェア、システム ドキュメント、システムとアプリケーション ソフトウェアの所有権、権限、使用の許可、その他の知的所有権について記述する必要があります。機関のデータの所有権は、機関との間で明確にする必要があります。 その他の知的所有権には、機関の名前、ロゴ、商標または著作物、ドメイン名、ウェブサイトのデザイン、サービス プロバイダが機関のために開発したその他の著作物が含まれます。アウトソーシング サービスをサポートするカスタム ソフトウェアの開発に関する追加情報は、IT ハンドブックの「開発と取得に関するブックレット」を参照してください。

データ

お客様は、お客様のデータ、Google のサービスとアプリケーションを使用してお客様のデータから派生したデータにおけるすべての知的所有権を保持します。データの使用と保護に関する Google の取り組みについては、行 28 行目を参照してください。

商標、ロゴなど

Google はお客様の事前の承認なしにお客様のブランドを使用することはありません。

知的財産権

マーケティングと広報活動

44 期間: 機関は、契約の適切な期間と更新期間について交渉する際に、テクノロジーの種類と業界の現状を検討する必要があります。長期的なテクノロジー契約にはメリットがありますが、特定のテクノロジーは急激な変更が発生する可能性があり、短期的な契約によりメリットが得られる場合があります。同様に、機関は、有効期限が切れる前に機関が契約を更新しない意向をサービス プロバイダに通知するために必要な適切な期間を検討する必要があります。機関は、互いに関連するサービス(ウェブサイト、通信、プログラミング、ネットワーク サポートなど)の契約の有効期限を、現実的に一致するように調整することを検討する必要があります。このような調整により、契約の早期終了、関連する別のサービス契約の必要な終了によるペナルティの発生のリスクを軽減できます。 Google Cloud 金融サービス契約をご覧ください。 期間と契約終了
45 異議申し立ての解決: 機関は、問題の迅速な解決を試みる紛争解決手続きの条項と、紛争解決期間中のサービスの継続に関する条項を含めることを検討する必要があります。 Google Cloud 金融サービス契約をご覧ください。 準拠法
46 補償。 補償条項では、サービス プロバイダの過失に対して金融機関が免責を受けるようにする必要があります。弁護士はこれらの条項を確認し、サービス プロバイダの過失の結果として起因した請求について機関が免責を受けるようにする必要があります。 Google Cloud 金融サービス契約をご覧ください。 補償
47 責任の制限。 一部のサービス プロバイダの標準契約には、サービス プロバイダが負う責任の上限を定める条項が含まれている場合があります。機関がこのような契約を検討している場合、管理部門は損害の上限が、サービス プロバイダが義務を果たせなかった結果として金融機関が合理的に経験する可能性がある損失額と適正な関係にあるかどうかを評価する必要があります。 Google Cloud 金融サービス契約をご覧ください。 賠償責任
48 終了。 管理部門は、契約終了の期間と費用の条項を評価する必要があります。終了権限の範囲と柔軟性は、サービスによって異なります。機関は、管理の変更(買収や統合など)、有用性、コストの大幅な増加、サービスレベルの達成の失敗の繰り返し、重要なサービスの提供の失敗、破産、企業の閉鎖、破産など、さまざまな状態に対する終了権限を含めることを検討する必要があります。契約では、通知と期間の要件を確立し、終了時に機械読み取りが可能な形式の機関のデータとリソースをタイムリーに返す必要があります。コンバージョン支援に関連する費用もすべて明記する必要があります。

終端

機関は、Google が料金を引き上げた場合、または法律を遵守するために必要が生じた場合など、事前の通知により、臨機応変に契約を終了することができます。

さらに、機関は、治癒期間後の Google の重大な違反、管理の変更、または Google 破産状態に対して、事前の通知により、契約を終了できます。

転送

Google は、機関が他のサービス(別のサービス プロバイダへの転送など)の終了までに十分な猶予期間が必要であることを認識しています。機関がこれを実現することを支援するために、Google はリクエストに応じて、契約期間の満了または終了後も 12 か月間サービスを引き続き提供します。

Google は、お客様が契約期間中と契約終了後の移行期間を通して、お客様のデータにアクセスしてエクスポートすることを許可します。さまざまな業界標準形式で本サービスからデータをエクスポートできます。例:

  • Google Kubernetes Engine は、さまざまなクラウドやオンプレミス環境にまたがるポータビリティを可能にする、本番環境に対応したマネージド環境です。
  • Migrate for Anthos を使用すると、Google Kubernetes Engine のコンテナにワークロードを直接移行、変換できます。
  • .tar アーカイブの形式で VM イメージ全体をエクスポートおよびインポートできます。イメージとストレージ オプションの詳細については、Compute Engine のドキュメントをご覧ください。

期間と契約終了

移行期間

データ エクスポート(データ処理とセキュリティ規約

49 譲渡。 機関は、機関の同意なしに契約を第三者に譲渡することを禁じる契約条項を検討する必要があります。譲渡の条項には、重要な孫請け業者に変更があった場合の通知の要件も反映する必要があります。

Assignment

Google Cloud 金融サービス契約をご覧ください。

孫請け契約

孫請け契約については 41 行目をご覧ください。

Assignment
50 外国を拠点とするサービス プロバイダ 外国を拠点とするサービス プロバイダとの契約を結んでいる機関は、契約に関するその他の多数の問題や条項について検討する必要があります。このブックレットの付録 C をご覧ください。

Google LLC は、米国を拠点とする機関向けのサービス プロバイダです。Google LLC は、米国デラウェア州の法律に基づいて編成されています。

Google の契約に適用される準拠法および地域の適用法令について詳しくは、Google Cloud 金融サービス契約をご覧ください。

準拠法
51 規制遵守。金融機関は、サービス プロバイダとの契約に、サービス プロバイダとそのサービスが、該当する規制当局のガイダンスや要件に準拠することの合意が含まれている必要があります。また、サービス プロバイダが、金融機関に提供するサービスの種類とレベルに基づいて、正確な情報を提供し、適切な規制機関にいつでもアクセスできることを示す条項も必要です。

コンプライアンス

Google は、本サービスの提供において適用されるすべての法令、規制、拘束規制ガイダンスを遵守するものとします。

規制機関によるアクセス

Google は、機関の規制機関とその関係者にアクセス権と情報権限を付与します。

表明および保証

規制情報、監査、アクセス