SEC（米国）

SEC Rule 17a-4(f)(2) には、ブローカー ディーラーの電子記録保持に関する技術要件が定められています。SEC Rule 18a-6(e)(2) には、証券ベースのスワップ ディーラー（SBSD）およびブローカー ディーラー（SBS 事業体）として登録されていない証券ベースの主要スワップ参加者（MSBSP）に対する同様の要件が定められています。

WORM 要件の変更と監査証跡の代替手段

2023 年 1 月、SEC は以前の「1 回限りの書き込みと複数回の読み取り」（write once, read many: WORM）形式の要件を拡大し、WORM 形式の電子記録を保持および保存するための代替手段として、完全なタイムスタンプ付き監査証跡オプションを追加しました。規制対象事業体には、次の 2 つのオプションのいずれかを選択できます。

• WORM 形式: 書き換え不可で消去できない形式で電子記録を保持および保存します。
• 完全なタイムスタンプ付き監査証跡: 電子記録が変更または削除された場合に、元の記録を再作成できる方法で電子記録と完全なタイムスタンプ付き監査証跡を保持および保存する電子記録システムを使用します。

この変更について詳しくは、SEC 最終規則のブローカー ディーラー、証券ベースのスワップ ディーラー、証券ベースの主要スワップ参加者に対する電子記録管理要件をご覧ください。

WORM 要件に対する Google Cloud のサポート

Google Cloud は、Cohasset Associates, Inc. と協力して独立した評価を実施することで、お客様による Google Cloud Storage、Google Cloud Backup and DR サービス、WORM 要件の評価を支援します。

• Google Cloud Storage（評価）
• Google Cloud Backup and DR サービス（評価）

Cohasset は、Google Cloud Storage が適切に構成され、ロックモードで保持ポリシー機能とともに使用された場合に WORM 要件を満たしていると判断しました。

Cohasset は、Google Cloud Backup and DR サービスが、最低保持期間が適用されるように適切に構成された場合に WORM 要件を満たしていると判断しました。

Cohasset の評価は、 厳格さが低い完全なタイムスタンプ付き監査証跡の代替手段には対応していないことに注意してください。

電子記憶媒体に関する表明 / 証明書の不要化

2023 年 1 月をもって SEC は、電子記憶媒体が WORM 要件を満たしていることの証明を提供する必要があることをブローカー ディーラー、電子記憶媒体プロバイダ、またはその他の第三者に対して規定していた表明要件（「証明書」）を削除しました。この証明書は不要になったため、Google Cloud では提供されなくなりました。

この変更について詳しくは、SEC の最終規則のブローカー ディーラー、証券ベースのスワップ ディーラー、証券ベースの主要スワップ参加者に対する電子記録管理要件をご覧ください。

なお、Rule 18a-6 には、SBS 事業体に対する表明要件は定められていません。また、今回廃止された表明要件は、SEC Rule 17a-4(i)(1)(ii)(A) および SEC Rule 18a-6(f)(1)(ii)(A) に基づく第三者による契約の要件とは異なります。

SEC Rule 17a-4(i)(1)(ii)(A) には、ブローカー ディーラーの規制記録（記録が紙面形式か電子形式であるかは問わない）を作成または維持する第三者が SEC に契約書を提出するという要件が定められています。

2023 年 1 月以降、SEC は、Google Cloud などのクラウド サービス プロバイダに特化した第三者による契約の代替バージョン（「代替の契約」）を導入しました。以前は、第三者による契約のバージョンは 1 つだけ（「従来の契約」）でした。

従来の契約: 関連当局による記録の調査を許可すること、および当該記録の真実で正確、かつ完全で最新のハードコピーを関連当局に速やかに提供することに同意することなどを、第三者に対して要求します。

代替の契約: クラウド サービス プロバイダが規制対象事業体の電子記録を保持する方法に合わせて調整されており、従来の契約の代わりに使用できます。

SEC Rule 18a-6(f)(1)(ii)(A) には、SBS 事業体に対する同様の要件が定められています。

代替の契約要件に対する Google Cloud のサポート

代替の契約要件に対応するため、Google は、Google Cloud および Google Workspace に関する SEC 17a-4(i) 追加条項または SEC 18a-6(f) 追加条項をお客様に提供しています。Google のセールスチームまたは Google Cloud の営業担当者が、このドキュメントへのアクセス方法をご案内します。お客様は、登録者名と登録者番号を提供する必要があります。お客様が追加条項に署名すると、Google は代替の契約に署名し、関連当局に提出するためにお客様と共有できるようになります。

代替の契約を関係当局に提出する方法について詳しくは、以下をご覧ください。

SEC の ブローカー ディーラーの通知、声明、契約、報告書の提出に関する職員向けガイダンス

SEC の SBS 事業体に対する通知、声明、申請書、報告書の提出に関する職員向け声明

代替の契約について詳しくは、SEC 最終規則のブローカー ディーラー、証券ベースのスワップ ディーラー、証券ベースの主要スワップ参加者に対する電子記録管理要件の 56 ページをご覧ください。ブローカー ディーラーおよび SBS 事業体に対する代替の契約の正確な文言については、それぞれ 137 ページと 145 ページをご確認ください。

従来の契約、代替の契約、指定第三者の契約の違い

従来の契約と代替の契約は、SEC Rule 17a-4(f)(3)(v)(A) および Rule 18a-6(e)(3)(v)(A) に基づく指定第三者の契約とは異なります。指定第三者（「D3P」）とは、規制対象事業者が、特に関係当局の審査のために電子記録にアクセスするために保有する第三者を指します。これは Google Cloud が提供するサービスではありません。規制対象事業体は必要に応じて、D3P サービスと D3P 契約を独立したプロバイダから調達できます。

SEC は、米国の証券市場を変革する技術的な変化によってもたらされるリスクに対処するために、Regulation SCI を採用しました。市場のテクノロジー インフラストラクチャを強化する取り組みとして、Regulation SCI では、該当する自主規制機関、代替取引システム、プラン プロセッサー、規制免除の清算機関に対し、以下の各項目を実施することを義務付けています。

1. 運用能力を維持するためのシステムの処理能力、整合性、復元性、可用性、セキュリティの確保

2. 事業継続と障害復旧計画のテスト

3. システムの中断、コンプライアンスに関する問題、システム侵害に対する是正措置と、問題発生時の委員会および影響を受ける当事者への通知

4. システムの定期的な再評価

アウトソーシング サービス プロバイダとして Google Cloude では、規制 SCI 要件を満たすための Google のサポート内容をお客様に理解していただけるよう、各種ガイドラインおよびホワイトペーパーへのマッピングを示しています。

サーベンス オックスリー法は、企業開示の精度と信頼性を向上させることを目的とする米国の法律です。SOX 要件の一環として、サーベンス オックスリー法の第 404 条では、米国のすべての上場企業に対し、財務報告に係る統制を含む、適切な内部統制構造の確立および維持に関する経営者の責任、および財務報告に係る内部統制の有効性に関する経営者の評価の結果について、公に報告するための要件を定めています。

SOX の責務には、クラウド サービス プロバイダなどの第三者によって管理されるものを含めて、内部統制の確立と監視が含まれます。 Google Cloud または Google Workspace で会計情報または財務情報を処理する組織は、特定の Google Cloud または Google Workspace サービスを SOX の責務の範囲に含めるかどうかを独自に判断する必要があります。

Google Cloud または Google Workspace に関してさらに詳しい情報を必要とされる場合は、Service Organization Control（SOC）1 タイプ 2 レポートをご覧ください。このレポートには、Google Cloud および Google Workspace システムと統制に関する Google の説明に加えて、組織による説明の正確性、および表明された目的の達成における当該統制の適切性と有効性についての独立監査機関の意見が記載されています。SOC 1 タイプ 2 レポートは、Google Cloud と Google Workspace の Compliance Reports Manager を介してリクエストできます。