マッピング

アウトソーシング テクノロジー サービスの FFIEC リスク管理

Google Cloud Platform のマッピング

このドキュメントは、連邦金融機関審査会(「FFIEC」)が Google Cloud Platform(「GCP」)と Google Cloud 金融サービス契約のコンテキストでアウトソーシング ブックレット(「FFIEC アウトソーシング ブックレット」)を検討するための金融機関(「機関」)を支援することを目的としています。

FFIEC アウトソーシング ブックレットの「デュー デリジェンス」セクションと「契約に関する問題」セクションを中心に説明します。これらのセクションの各段落では、Google Cloud サービスと Google Cloud 金融サービス契約を使用して FFIEC アウトソーシング ブックレットに対応する方法を理解するために役立つコメントを提供しています。

# リファレンス Google Cloud の解説 Google Cloud 金融サービス契約のリファレンス
1. デュー デリジェンス
2 金融機関は、サービス プロバイダの RFP とサービス プロバイダ自体へのレスポンスに対するデュー デリジェンスを行う必要があります。デュー デリジェンスは検証と分析のツールとして機能し、サービス プロバイダが機関のニーズを満たすことを保証します。デュー デリジェンスでは、サービス プロバイダに関して次の情報を確認および評価する必要があります。 Google は、Google のサービスを利用することを決定する前に、デュー デリジェンスを実施し、リスク評価を行う必要があることを認識しています。ご参考までに、ここでは行内の検討する必要がある各領域の情報を記載しています。 該当なし
3
  • 存在と事業歴
Google Cloud の事業歴については、Alphabet の投資家向け情報ページをご覧ください。 該当なし
4
  • 企業のプリンシパルの適格性、背景、評価(犯罪歴の調査など)

会社のプリンシパル

Google Cloud のリーダーシップ チームについては、メディア リソース ページをご覧ください。

バックグラウンド チェック

Google は法的に許可されている場合、Google の顧客と従業員に安全な環境を提供するために、従業員のバックグラウンド チェックを行います。

該当なし
5
  • 参考までに、問い合わせ可能なプロバイダの類似するサービスを利用している他の企業。
事例を公開できるお客様(金融サービス部門を含む)については、Google Cloud のお客様ページをご覧ください。 該当なし
6
  • 財務状況(監査済みの財務諸表の確認を含む)
Google の財務状態と監査済みの財務諸表は、Alphabet の投資家向け情報ページでご確認いただけます。 該当なし
7
  • 戦略と評価
戦略

Google Cloud の戦略については、Alphabet の投資家向け情報ページをご覧ください。

評価

Google Cloud は、サードパーティの業界アナリストによるいくつかのレポートでリーダーに選出されました。詳しくは、アナリスト レポート ページをご覧ください。

該当なし
8
  • サービス配信機能、ステータス、有効性
Google Cloud のサービス配信機能と有効性に関する情報は、Google Cloud の選択ページをご覧ください。 また、アナリスト レポート ページでサードパーティ業界アナリストによるレポートを確認することもできます。 該当なし
9
  • テクノロジーとシステム アーキテクチャ。

Google Cloud のテクノロジーとシステム アーキテクチャに関する情報は、Google Cloud の選択ページをご覧ください。

該当なし
10
  • 内部統制環境、セキュリティの履歴、監査範囲。

Google では、リスク評価の一環として、機関が Google の内部統制をレビューする必要があると認識しています。Google は、独立した第三者による監査を少なくとも毎年実施し、運用と内部統制の独立した検証を提供しています。Google は、お客様との契約期間において、次の重要な国際基準を遵守することに取り組んでいます。

該当なし
11
  • 法令や規制遵守(苦情の申し立て、訴訟、規制措置を含む)。
保留中の法的手続きに関する情報は、Alphabet の投資家向け情報ページの年次レポートでご覧いただけます。 該当なし
12
  • サードパーティのサービス プロバイダを信頼し、連携に成功しています。
孫請け契約については 41 行目をご覧ください。 該当なし
13
  • 保険の適用範囲。
Google は、特定された複数のリスクに対して保険の対象を維持します。 該当なし
14
  • 障害復旧とビジネスの継続性の要件を満たす能力。
ビジネスの再開計画と緊急時計画については、40 行目をご覧ください。 該当なし
15 その他の重要な要素として、サードパーティのサービス フィッシング、品質への取り組み、管理スタイルなど、不明瞭な情報について調べることなどがあります。文化、価値、ビジネス スタイルを金融機関に合わせる必要があります。 Google のミッション、理念、文化については、Alphabet の投資家向け情報ページをご覧ください。また、行動規範などの Google の組織のポリシーの情報を提供します。 該当なし
16 外国を拠点とするサービス プロバイダは、上記の項目の観点から関係を評価する必要がある評価と、付録 C「外国を拠点とするサードパーティのサービス プロバイダ」で説明されている情報を考慮する必要があります。 50 行目を参照してください。 該当なし
17 金融機関は、RFP に対応する 1 つ以上のサービス プロバイダに対してデュー デリジェンスを実施できます。実施するデュー デリジェンスの深度とフォーマル度は、アウトソーシング関係のリスク、機関の潜在的なサービス プロバイダの精通度、プロバイダ選択プロセスのステージによって異なります。組織が RFP を発行し、回答を受け取って評価し、デュー デリジェンスを実施したら、ニーズに合うと判断した 1 つ以上のサービス プロバイダとの契約交渉を始めます。 これはお客様の検討事項です。 該当なし
18. 契約に関する問題
19

サービス プロバイダを選択した後、経営陣は、要件を満たす契約を交渉する必要があります。RFP とサービス プロバイダの回答は、このプロセスへの入力として使用できます。契約は法的拘束力のある文書であり、サービスを提供する関係のあらゆる側面を定義します。書面による契約は、すべてのサービスを提供する関係において作成する必要があります。これには、サービス プロバイダが機関と提携している場合も含まれます。関連機関と契約する場合、機関は、提供されるサービスの費用と品質が提携していないプロバイダの費用と品質と同等になるようにする必要があります。契約は、アウトソーシング プロセスにおいて最も重要な唯一の管理手段になります。契約の重要性を考えると、経営陣は以下を行う必要があります。

  • 契約上のアウトソーシング関係の説明が正確であることを確認する
  • 契約が明確に記述され、各当事者の権利と責任を包括的に定義するために十分な詳細が含まれていることを確認します。
  • プロセスの早期段階で弁護士と連携し、提案された契約書案を準備して確認してください。
Google Cloud 金融サービス契約では、サービス関係の側面を定義します。 該当なし
20. 考慮すべき契約の要素の例:
21 サービスの範囲。契約書には、契約に対する当事者の権利と責任を明記する必要があります。含めるべき考慮事項: 当事者の権利と責任の義務は、Google Cloud 金融サービス契約で規定されています。 該当なし
22
  • 必須アクティビティ、実装期間、責任の割り当てについての説明。実装の条項では、別のサービス プロバイダによって開発された他の既存のシステムまたは相互に関連するシステム(既存のコア アプリケーションやシステムのカスタマイズと統合されるインターネット バンキング システムなど)を考慮する必要があります。

アクティビティ

GCP サービスについては、サービスの概要ページをご覧ください。

統合

Google のサービスとお客様のシステムを統合する方法はいくつかあります。

  • Cloud Console を使用すると、仮想マシン、ネットワーク設定、データ ストレージなど、すべての Google Cloud リソースの健全性を 1 か所で確認できます。
  • Cloud API を使用すると、コードから Google Cloud プロダクトにアクセスし、任意のプログラミング言語を使用してワークフローを自動化できます。
定義
23
  • ソフトウェア サポートとメンテナンス、従業員トレーニング、カスタマー サービスなどのサービス プロバイダの義務と行うべきサービス。

Google は、Google Cloud Platform サービスレベル契約に従って、サービスの概要ページで説明されているサービスを提供します。

サポート サービスについては、技術サポート サービス ガイドライン ページに説明されています。

Google は、機関とその社員が Google サービスをどのように利用できるかを説明するドキュメントを提供しています。機関がより詳細なトレーニングを必要としている場合は、Google がさまざまなコースと認定資格も提供しています。

サービス

テクニカル サポート

24
  • 金融機関の義務
  • Google Cloud 金融サービス契約をご覧ください。
25
  • 契約に基づいて、既存のサービスを変更するための契約当事者の権利。

Google は、お客様が最先端の技術を活用できるようにするために継続的にサービスを更新しています。Google はサービスの 1 対多の性質により、更新はすべてのお客様に同時に適用しています。

Google は、本サービスの機能、パフォーマンス、可用性、またはセキュリティを大幅に低下させる更新を行わないものとします。

Google がサービスを置換することなく終了する必要がある場合は、少なくとも 12 か月前に通知が届きます。この期間中、Google は引き続きサポート、プロダクト、セキュリティの更新を提供いたします。

サービスに対する変更
26
  • 新しいサービスまたはさまざまなサービスの追加と、契約の再交渉に関するガイドライン。

新しいサービス

Google では、お客様に最新の機能を提供する目的で、継続的に新しいサービスを提供しています。新しいサービスは、利用可能になった時点で [サービスの概要] ページに追加され、各お客様は既存の契約に基づいてこのサービスを使用するかどうかを選択できます。

契約の再交渉

Google は、サービスや技術の変更に応じて、URL で特定の条件を更新する場合があり、これはすべての Google のお客様に適用されます。更新はすべて、厳格な基準を満たす必要があります。たとえば、サービスの全体的なセキュリティを著しく低下させる、または現行の権利に重大な悪影響をおよぼすことがあってはなりません。これらの限定された更新を除いて、すべての契約の変更は、書面で行い、両当事者の署名が必要です。

本サービスと規約の更新

利用規約への変更、修正

27 パフォーマンスの評価基準機関は、最低限のサービスレベル要件のほか、契約の基準を満たせなかった場合の対処法を定義するパフォーマンスの評価基準を作成する必要があります。たとえば、一般的なサービスレベル指標には、システム稼働率、バッチ処理完了期限、処理エラーの数が含まれます。サービスレベルの業界基準は一つの目安となります。機関は、全体的なパフォーマンスの評価基準を定期的に見直して、目標と目的との整合性を確保します。このブックレットの「サービスレベル契約」セクションもご覧ください。 SLA は、サービスに対して測定可能なパフォーマンス基準と救済基準を示します。また、Google Cloud Platform のサービスレベル契約ページにも記載されています。 サービス
28 セキュリティと機密性保持契約では、機関のリソース(情報、ハードウェアなど)のセキュリティと機密性保持について、サービス プロバイダの責任に対処しなければなりません。契約では、サービス プロバイダとそのエージェントが、契約済みのサービスの提供と不正使用(たとえば、機関の競合他社への情報の開示)からの保護のために必要であるか、正当である場合を除き、機関の情報の使用と開示を禁じる必要があります。 サービス プロバイダが機関の顧客に関する非公開の個人情報を受け取った場合、機関はサービス プロバイダがプライバシー規定で適用されるすべての要件に準拠していることを確認する必要があります。機関は、サービス プロバイダに、機関や顧客に重大な影響を及ぼす可能性のあるサービス プロバイダへの不正侵害につながるセキュリティ侵害を完全に開示することを要求する必要があります。サービス プロバイダは、侵入が発生した場合、両方の当事者の合意に基づき、機関に及ぼす影響、侵入に対処する是正措置を報告する必要があります。 セキュリティ

クラウド サービスを使用する際の情報のセキュリティとプライバシーは、次の 2 つの主要要素で構成されています。

Google のインフラストラクチャ

Google は、自社インフラストラクチャのセキュリティを管理しています。ここでいうセキュリティとは、本サービスをサポートするハードウェア、ソフトウェア、ネットワーキング、および施設のセキュリティを指します。

Google はサービスの 1 対多の性質により、すべてのお客様に同じ堅牢なセキュリティを提供しています。

Google は、セキュリティに関する詳細情報をお客様に提供し、お客様がセキュリティ状況を把握して独自のリスク分析の一環として検討できるようにします。

詳細については、以下をご覧ください。

クラウド内のデータとアプリケーション

クラウド内のデータとアプリケーションのセキュリティを定義します。これは、本サービスを利用する際に実装および運用することを選択するセキュリティ対策のことです。

(a)デフォルトのセキュリティ

Google では、お客様のデータに関しては、可能な限り多くの選択肢を提供することに努めていますが、データのセキュリティは Google にとって最優先事項であり、Google はお客様を支援するために次のような予防措置を講じます。

  • 保存時の暗号化: Google はデフォルトで、お客様のデータを保存時に暗号化します。お客様が追加で操作を行う必要はありません。詳細については、https://cloud.google.com/security/encryption/default-encryption をご覧ください。
  • 転送データの暗号化: すべての転送中のデータは、Google が管理しているまたは Google が管理を委託している物理的境界の外へ出るときに、1 つ以上のネットワーク レイヤで暗号化され認証されます。詳細については、 https://cloud.google.com/security/encryption-in-transit をご覧ください。

(b) セキュリティ プロダクト

Google 以外が提供している他のツールやプラクティスに加えて、Google が提供するツールを使用してデータのセキュリティを強化し、モニタリングすることもできます。Google のセキュリティ プロダクトに関する情報は、Cloud Security プロダクト ページをご覧ください。

(c)セキュリティに関するリソース

Google は、以下に関するガイダンスも公開しています。

お客様の情報の使用

Google は、お客様が注文したサービスを提供する目的でのみお客様のデータへのアクセスまたは使用を行います。また、このデータが他の Google プロダクト、サービス、広告に使用されることはありません。

プライバシーと非公開の個人情報

Google は、本サービスの提供において適用されるプライバシー法および規制に準拠します。

セキュリティ侵害

Google はデータ インシデントを速やかに通知します。Google のデータ インシデント対応プロセスの詳細については、データ インシデント対応に関するホワイトペーパーをご覧ください。

データ セキュリティ、セキュリティ対策(データ処理とセキュリティ規約

お客様のデータの保護

データの処理、役割と規制遵守(データ処理とセキュリティ規約

データ インシデント(データ処理とセキュリティ規約

29. 制御。経営陣は、以下の制御に対応する契約条項を実装することを検討してください。
30
  • サービス プロバイダの内部統制

Google は、独立した第三者による監査を少なくとも毎年実施し、内部統制の有用性の独立した検証を提供しています。 Google との関係における Google の内部統制の有効性を示すため、Google はお客様との契約期間中に、次の重要な国際基準の証明書や報告書の維持に努めています。

証明書と監査レポート
31
  • 適用される規制要件への準拠
Google は、本サービスの提供において適用されるすべての法令および規制に準拠します。 表明および保証
32
  • サービス プロバイダのメンテナンス要件の記録。
Google は、機関とその関係者にアクセス権と情報権限を付与します。 顧客情報、監査、アクセス
33
  • 機関によるレコードへのアクセス。
32 行目を参照してください。
34
  • サービス、システム、制御、主要なプロジェクト担当者、サービスの場所情報への重要な変更に関する通知要件と承認権限。

サービス

サービスの変更については 25 行目を参照してください。

人員

お客様は、Google の担当者によるアクションなしで、サービスを単独で実行できます。 Google の担当者はサービスの 1 対多の性質において、サービスをサポートするハードウェア、ソフトウェア、ネットワーク、施設を管理、維持しますが、個々のお客様にサービスを提供することに専従の Google 担当者はいません。

場所

高速かつ信頼性が高く、堅牢性と復元性に優れたサービスを提供するため、Google は、Google またはその復処理者が施設を維持しているデータを保存、処理できます。

Google は、データが配置されている国 / 地域に関係なく、同じ契約上のコミットメントと技術上および組織上の判断基準を提供します。具体的には以下の点です。

  • 国 / 地域に関係なく、すべての Google 施設に同じ堅牢なセキュリティ機能が適用されます。
  • Google は、国 / 地域に関係なく、すべての復処理者に同じコミットメントを行います。

Google は、データの保存先とする選択肢(米国でデータを保存する選択肢など)を選択できます。お客様がデータを保存する場所を選択すると、Google は選択したリージョン以外には保存されません。

Google が提供するツールを使用して、データの保管場所の要件を適用することもできます。詳細については、Google Cloud ホワイトペーパーのデータ所在地、業務の透明性、プライバシーをご覧ください。

データ転送(データ処理とセキュリティ規約

データ セキュリティ、復処理者(データ処理とセキュリティ規約

データ ロケーション(サービス固有の規約

35
  • 機関の代理として、支払処理や与信枠の拡大などの金融機能のパラメータの設定とモニタリング。
サービスの性質により、Google が機関の代理として支払処理(Booklet を目的とするもの)や与信枠の拡大を行うことはありません。 該当なし
36
  • サービス プロバイダによって管理される保険適用範囲
Google は、特定された複数のリスクに対して保険の対象を維持します。 保険
37 監査機関は、受け取る監査レポートの種類(財務、内部統制、セキュリティ審査など)を契約に含める必要があります。 契約では、適切なタイミングで監査の結果を得られるように、監査の頻度、監査にかかるすべての費用、機関とその規制当局の権利を指定する必要があります。また、契約では、あらゆる不備の解決策に関する文書を取得する権利、およびサービス プロバイダの処理施設および運用手法を調査する権利も指定できます。リスク評価フェーズに基づいて、内部監査に依存するかどうか、外部監査とレビューの必要性があるかどうかを検討する必要があります。

監査レポート

Google が提供する監査レポートの詳細については、10 行目をご確認ください。 Google は、お客様との契約期間において、これらのレポートの維持に努めています。報告書は、少なくとも年に 1 回、監査の後に、独立した第三者により作成されます。

Google の現在の証明書と監査レポートはいつでも確認できます。

  • Google の ISO 認証については、こちらをご覧ください。
  • Google の SOC レポートPCI 準拠認証(AOC)は、Google Cloud アカウント担当者を通じて入手できます。

機関は規制当局にこれらの資料を提供する場合があります。

検査

Google は、機関が Google のサービスを効果的に監査できる必要があると認識しています。 Google は、機関および独立した監査機関に Google の処理施設と運用方法を検査するなどの監査権限を付与します。組織にとって適切な監査頻度は、機関が決定するのが最適です。Google との契約では、機関の監査回数は制限されていません。

証明書と監査レポート:

お客様のコンプライアンスの支援

38 インターネット関連のサービスなど、オープン ネットワークへのアクセスを伴うサービスに対しては、管理においてセキュリティに特に注意する必要があります。機関は、十分な専門知識を持つ独立した第三者による定期的な管理の確認を必要とする契約条件を含めることを検討する必要があります。これらの確認には、侵入テスト、侵入検知、ファイアウォール構成の確認、独立した管理の確認が含まれます。機関は、サービス プロバイダのセキュリティを損なうことなくセキュリティを適切に評価するために、これらの監査の結果について詳細な詳細レポートを受け取る必要があります。 Google の事前の承認なしに、いつでもサービスのペネトレーション テストを実施できます。 また、Google は適格かつ独立した第三者機関と連携して本サービスのペネトレーション テストを実施しています。詳しくは、こちらをご覧ください。 お客様によるペネトレーション テスト
39 レポート: 契約条件には、組織が受け取るレポート(パフォーマンス レポート、統制監査、財務諸表、セキュリティ、ビジネスの再開テストのレポートなど)の頻度とタイプを含める必要があります。また、契約にカスタム レポートの取得に関するガイドラインと料金の概要も含める必要があります。

掲載結果レポート

本サービスの機能を使用して、Google の本サービス(SLA を含む)のパフォーマンスを定期的にモニタリングできます。

次に例を示します。

  • ステータス ダッシュボードに、本サービスのステータス情報が表示されます。
  • Google Cloud のオペレーションは、GCP で実行されるアプリケーションの分析情報の取得に役立つ、統合されたモニタリング、ロギング、診断のホストされたソリューションです。
  • アクセスの透明性は、Google の担当者がお客様のデータに関して行ったアクションのログを確認できるようにする機能です。ログエントリには、影響を受けるリソース、アクション時間、アクションの理由(サポート リクエストに関連付けられたケース番号など)、データを操作しているユーザーに関するデータ(Google の担当者の所在地など)が含まれます。

売上レポート

Google は、お客様が本サービスの使用状況および関連する費用に関するレポートを取得するために使用できる請求ツールを提供しています。詳細については、クラウドのお支払いとご請求 ドキュメント ページと Cloud Billing データを BigQuery にエクスポートするページをご覧ください。

監査レポートとセキュリティ レポート

10 行目を参照してください。

ビジネスの再開テストのレポート

40 行目を参照してください。

重要な開発

Google は、該当する SLA に従って本サービスを実行する能力に大きく影響する開発に関する情報を作成します。詳細については、インシデントと Google Cloud ダッシュボードをご覧ください。

継続的なパフォーマンス モニタリング

重要な開発

40 ビジネスの再開計画と緊急時計画。契約では、サービス プロバイダがバックアップおよび記録の保護(機器、プログラムおよびデータファイル、障害復旧と緊急時対応計画など)の責任に対処しなければなりません。契約では、サービス プロバイダが計画を定期的にテストし、結果を機関に提示する責任について概要を記述する必要があります。機関は、ビジネスの再開テストの要件を決定するときに、サービス プロバイダ間の相互依存関係を考慮する必要があります。サービス プロバイダは、ビジネスが中断した場合に必要な運用手順をまとめた緊急時対応計画のコピーを機関に提供する必要があります。契約には、機関のビジネスの要件を満たすビジネスの復旧期間に関する特定の条項を含める必要があります。機関は、サービス プロバイダが緊急時対応計画を実施する規定を契約に含めないようにする必要があります。

Google は、サービスの障害復旧計画とビジネスの緊急時対応計画を実施し、少なくとも年に 1 回は確認とテストを行い、最新の業界標準に従っていることを確認します。機関は Google の計画とテスト結果を確認できます。

また、お客様が独自の障害復旧とビジネスの緊急時対応計画で Google のサービスを利用する方法については、障害復旧計画ガイドをご覧ください。

ビジネスの継続性と障害復旧
41 孫請け契約と複数のサービス プロバイダとの関係: サービス プロバイダによっては、金融機関にサービスを提供するために第三者機関と契約を締結する場合があります。各機関は、すべての下請け業者について把握し、承認する必要があります。 説明責任を果たすため、金融機関は、契約におけるとメインの契約当事者となるサービス プロバイダを指定する必要があります。また、契約では、どの当事者が業務を実際に遂行するかに関わりなく、メインの契約当事者のサービス プロバイダが、契約に記載されているサービスに責任を有する旨を明記する必要があります。機関は、サービス・プロバイダの重要な下請け業者の変更に関して、通知と承認の要件を含めることも検討する必要があります。

Google は、機関が孫請け契約に関連するリスクを考慮する必要があることを認識しています。Google は、可能な限り信頼性が高く、堅牢性と復元性に優れたサービスをすべてのお客様に提供できるよう努めています。年中無休 24 時間のサポートなど、他の信頼できる組織と連携することで明確なメリットを得られる場合があります。

説明責任

Google は、当社と同じ水準の高い基準を満たす孫請け業者を求めています。特に、Google がお客様との契約を遵守するために、孫請け業者が必要です。 Google は、孫請け契約のすべての義務の遂行について引き続き責任を負います。

情報と変更

機関が孫請け契約の監視を維持し、機関が使用するサービスの選択肢を指定できるよう、Google は次のことを行います。

  • 孫請け業者に関する情報(業務と所在地を含む)を提供する。
  • 孫請け業者に変更を事前に通知する。
  • 新しい孫請け業者について懸案事項がある場合は、機関が契約を解除できるようにする。
Google の孫請け業者
42 費用。契約には、開発、変換、繰り返しなどの基本サービスの料金と、アクティビティ数に応じた料金や特別なリクエストの料金をすべて記述する必要があります。また、ハードウェアとソフトウェアの購入と維持に関する責任と追加の費用についても契約で定める必要があります。課金形態を変更できる条件については、追加費用の制限など、詳細に記述する必要があります。このブックレットの価格設定とバンドルのセクションもご覧ください。

Google Cloud 金融サービス契約をご覧ください。

監査

Google は、サービスの監査や調査を行っている機関の支援に取り組んでいます。このサポートは、Google の通常の公開サービス料金には含まれないため、Google は監査または試験に関して追加料金を請求する場合があります。 アクティビティの範囲が判明したら、Google はアクティビティに先だって詳細情報を提供します。

支払い条件
43 所有権とライセンス: 契約には、機関のデータ、機器やハードウェア、システム ドキュメント、システムとアプリケーション ソフトウェアの所有権、権限、使用の許可、その他の知的所有権について記述する必要があります。機関のデータの所有権は、機関との間で明確にする必要があります。 その他の知的所有権には、機関の名前、ロゴ、商標または著作物、ドメイン名、ウェブサイトのデザイン、サービス プロバイダが機関のために開発したその他の著作物が含まれます。アウトソーシング サービスをサポートするカスタム ソフトウェアの開発に関する追加情報は、IT ハンドブックの「開発と取得に関するブックレット」を参照してください。

データ

お客様は、お客様のデータ、Google のサービスとアプリケーションを使用してお客様のデータから派生したデータにおけるすべての知的所有権を保持します。データの使用と保護に関する Google の取り組みについては、行 28 行目を参照してください。

商標、ロゴなど

Google はお客様の事前の承認なしにお客様のブランドを使用することはありません。

知的財産権

マーケティングと広報活動

44 期間: 機関は、契約の適切な期間と更新期間について交渉する際に、テクノロジーの種類と業界の現状を検討する必要があります。長期的なテクノロジー契約にはメリットがありますが、特定のテクノロジーは急激な変更が発生する可能性があり、短期的な契約によりメリットが得られる場合があります。同様に、機関は、有効期限が切れる前に機関が契約を更新しない意向をサービス プロバイダに通知するために必要な適切な期間を検討する必要があります。機関は、互いに関連するサービス(ウェブサイト、通信、プログラミング、ネットワーク サポートなど)の契約の有効期限を、現実的に一致するように調整することを検討する必要があります。このような調整により、契約の早期終了、関連する別のサービス契約の必要な終了によるペナルティの発生のリスクを軽減できます。 Google Cloud 金融サービス契約をご覧ください。 期間と契約終了
45 異議申し立ての解決: 機関は、問題の迅速な解決を試みる紛争解決手続きの条項と、紛争解決期間中のサービスの継続に関する条項を含めることを検討する必要があります。 Google Cloud 金融サービス契約をご覧ください。 準拠法
46 補償。 補償条項では、サービス プロバイダの過失に対して金融機関が免責を受けるようにする必要があります。弁護士はこれらの条項を確認し、サービス プロバイダの過失の結果として起因した請求について機関が免責を受けるようにする必要があります。 Google Cloud 金融サービス契約をご覧ください。 補償
47 責任の制限。 一部のサービス プロバイダの標準契約には、サービス プロバイダが負う責任の上限を定める条項が含まれている場合があります。機関がこのような契約を検討している場合、管理部門は損害の上限が、サービス プロバイダが義務を果たせなかった結果として金融機関が合理的に経験する可能性がある損失額と適正な関係にあるかどうかを評価する必要があります。 Google Cloud 金融サービス契約をご覧ください。 賠償責任
48 解約経営陣は契約解除条項の適時性と費用を評価する必要があります。解除の権利の範囲と柔軟性は、サービスによって異なります。機関は、管理の変更(合併と買収など)、利便性、コストの大幅な増加、サービスレベルを満たさないことが繰り返される、重要なサービスを提供できない、破産、会社の閉鎖、支払不能などさまざまな状態について、解除の権利の記載を検討する必要があります。契約では、通知および期間の要件を定め、解除時に機関のデータとリソースを機械で読み取り可能な形式で速やかに返却することを規定します。また、変換のサポートに関連するすべての費用を明記する必要があります。

終端

機関は、Google が料金を引き上げた場合、または法律を遵守するために必要が生じた場合など、事前の通知により、臨機応変に契約を終了することができます。

さらに、機関は、治癒期間後の Google の重大な違反、管理の変更、または Google 破産状態に対して、事前の通知により、契約を終了できます。

転送

Google は、機関が他のサービス(別のサービス プロバイダへの転送など)の終了までに十分な猶予期間が必要であることを認識しています。機関がこれを実現することを支援するために、Google はリクエストに応じて、契約期間の満了または終了後も 12 か月間サービスを引き続き提供します。

Google は、お客様が契約期間中と契約終了後の移行期間を通して、お客様のデータにアクセスしてエクスポートすることを許可します。さまざまな業界標準形式で本サービスからデータをエクスポートできます。例:

  • Google Kubernetes Engine は、さまざまなクラウドやオンプレミス環境にまたがるポータビリティを可能にする、本番環境に対応したマネージド環境です。
  • Migrate to Containers では、ワークロードを直接 Google Kubernetes Engine のコンテナに移動して変換できます。
  • .tar アーカイブの形式で VM イメージ全体をエクスポートおよびインポートできます。イメージとストレージ オプションの詳細については、Compute Engine のドキュメントをご覧ください。

期間と契約終了

移行期間

データ エクスポート(データ処理とセキュリティ規約

49 譲渡。 機関は、機関の同意なしに契約を第三者に譲渡することを禁じる契約条項を検討する必要があります。譲渡の条項には、重要な孫請け業者に変更があった場合の通知の要件も反映する必要があります。

Assignment

Google Cloud 金融サービス契約をご覧ください。

孫請け契約

孫請け契約については 41 行目をご覧ください。

Assignment
50 外国を拠点とするサービス プロバイダ 外国を拠点とするサービス プロバイダとの契約を結んでいる機関は、契約に関するその他の多数の問題や条項について検討する必要があります。このブックレットの付録 C をご覧ください。

Google LLC は、米国を拠点とする機関向けのサービス プロバイダです。Google LLC は、米国デラウェア州の法律に基づいて編成されています。

Google の契約に適用される準拠法および地域の適用法令について詳しくは、Google Cloud 金融サービス契約をご覧ください。

準拠法
51 規制遵守。金融機関は、サービス プロバイダとの契約に、サービス プロバイダとそのサービスが、該当する規制当局のガイダンスや要件に準拠することの合意が含まれている必要があります。また、サービス プロバイダが、金融機関に提供するサービスの種類とレベルに基づいて、正確な情報を提供し、適切な規制機関にいつでもアクセスできることを示す条項も必要です。

コンプライアンス

Google は、本サービスの提供において適用されるすべての法令、規制、拘束規制ガイダンスを遵守するものとします。

規制機関によるアクセス

Google は、機関の規制機関とその関係者にアクセス権と情報権限を付与します。

表明および保証

規制情報、監査とアクセス