Google Cloud と一般データ保護規則(GDPR)

GDPR に準拠することは、Google Cloud と Google のお客様にとって最優先事項です。GDPR はヨーロッパにおける個人データ保護の強化を目的としており、あらゆる企業のビジネスの実施方法に影響を与えます。ここでは、この新しい規則にお困りのお客様のために役立つ情報を提供します。Google Cloud は保護、制御、コンプライアンスに関してお客様中心のアプローチを採用しており、Google にはお客様の GDPR への準拠を推進する責務があります。

GOOGLE CLOUD と GDPR に関するホワイトペーパー GOOGLE CLOUD の GDPR クイック リファレンス ガイド G SUITE データ保護実装ガイド

Google の GDPR リソース センターにアクセス 

GDPR とは

GDPR は、1995 年の EU データ保護指令に代わる規則として 2018 年 5 月 25 日に施行されました。

GDPR では、ヨーロッパで設立された企業や組織、またはヨーロッパのユーザーにサービスを提供する企業や組織に求められる具体的な要件が規定されています。これは、

  • 企業による個人データの収集、使用、保管方法を規制します。
  • 現行の文書化要件と報告要件をベースとしてアカウンタビリティを向上させます。
  • 要件を遵守しない企業に罰金を科します。

Google が実施していること

Google は Google Cloud において、ユーザーデータのセキュリティとプライバシーに優先順位をつけて改善するイニシアチブを支持しています。これまでに、Google Cloud のお客様が GDPR の施行後も Google のサービスを安心して使用できるように繰り返しアップデートを加えました。Google Cloud と提携していただいたお客様に対しては、以下の形でお客様の取り組みを支援します。

  1. Google Cloud Platform および G Suite のすべてのサービスにおけるお客様の個人データの処理に関して、GDPR を遵守するという契約を確実に果たす
  2. 機密性の高い個人データの保護を強化する追加のセキュリティ機能を提供する
  3. お客様が実施する Google サービスのプライバシー評価を支援するためにドキュメントとリソースを提供する
  4. 規制状況の変化に合わせて、お客様に提供する機能 / 能力を継続的に進化させる

G Suite および Google Cloud Platform における GDPR への取り組み

とりわけ、データ管理者には、データ処理に関する GDPR の要件を満たすために適切な技術的および組織的措置を講じることを十分に保証できるデータ処理者のみを使用することが求められています。G Suite および Google Cloud Platform サービスの評価を実施する際は、以下のことを考慮してください。

エキスパートの知識、信頼性、リソース
データ保護責任
データ処理再委託者の利用
サービスのセキュリティ
データの返却と削除
データ管理者の支援
データの越境移転
標準と認証
エキスパートの知識、信頼性、リソース

データ保護の専門知識

Google のセキュリティとプライバシーは、情報、アプリケーション、ネットワークのセキュリティに精通した世界有数のエキスパートのチームによって守られています。このエキスパート チームは Google の防御システムの運用、セキュリティ レビュー プロセスの開発、より強固なセキュリティ インフラストラクチャの構築、Google のセキュリティ ポリシーの厳密な適用などを任されています。

また、Google では Google Cloud のプライバシーとセキュリティ遵守の管理にあたる弁護士団、規制遵守のエキスパート、公共政策の専門家から成るチームも編成しています。

このようなチームがお客様、業界関係者、監督当局と連携して、G Suite および Google Cloud Platform のサービスがお客様の規制遵守のニーズを確実に満たせるよう取り組んでいます。

データ保護責任

データ処理契約

G SuiteGoogle Cloud Platform のデータ処理契約には、お客様に対するプライバシー保護の責任が明記されています。これらの規約は、お客様や規制当局からのフィードバックを基に数年の歳月をかけて練り上げたものです。

最近では、お客様が Google Cloud サービスを使用する際のコンプライアンスの評価と GDPR への準備を進められるようにするため、GDPR を反映するよう規約を更新し、GDPR 施行までに余裕を持って公開しました。

お客様は、オプトイン プロセスを通じて新しいデータ処理規約に移行できます。G Suite のデータ処理の修正条項についてはこちらを、GCP のデータ処理とセキュリティの規約についてはこちらをご覧ください。

指示に基づく処理

お客様とお客様のユーザーが Google システムに保管するデータは、GDPR を反映した新しいデータ処理契約に準じ、お客様の指示に従ってのみ処理されます。

従業員の機密保持義務

すべての Google 社員には、機密保持契約の締結と、機密性保持およびプライバシーに関する必須トレーニング、および行動規範トレーニングの受講が義務付けられています。Google の行動規範には、情報の保護に関する責任と、それに伴って期待される行動が明記されています。

データ処理再委託者の利用

Google グループ各社では、G Suite および Google Cloud Platform サービスの提供に必要なデータ処理活動の大半を直接的に実施しています。一方で、これらのサービスのサポートについては、サードパーティ ベンダーと提携しています。各ベンダーは、必要となる専門技術を有していること、そして適切なセキュリティおよびプライバシー レベルを提供できることを条件に、厳密な選考手続きを経て選ばれています。

Google は、G Suite および Google Cloud Platform サービスをサポートする Google グループのデータ処理再委託者と、これらのサービスに関与するサードパーティのデータ処理再委託者についての情報を公開しており、Google のデータ処理契約にはデータ処理再委託者に関する項目が含まれています。

サービスのセキュリティ

GDPR に準拠して、リスクに応じた適切なセキュリティ レベルを提供できるように技術的および組織的な措置を講じる必要があります。

Google は、情報処理サイクル全体を通して最先端のセキュリティを提供するグローバル インフラストラクチャを運用しています。このインフラストラクチャは、サービスのデプロイにおけるセキュリティ、データ ストレージのセキュリティ(およびエンドユーザーのプライバシー保護)、サービス間の通信のセキュリティ、インターネット経由でのお客様との通信における機密性とセキュリティ、管理者による安全なオペレーションを提供する目的で構築されています。G Suite と Google Cloud Platform は、このインフラストラクチャ上で動作しています。

Google のインフラストラクチャのセキュリティは、データセンターの物理的なセキュリティから、ハードウェアやソフトウェアのセキュリティ保護、そしてオペレーションのセキュリティをサポートするプロセスまでが階層型で設計されています。このような階層型の保護により、どのような処理に対しても強固なセキュリティ基盤が提供されます。インフラストラクチャ セキュリティについて詳しくは、Google インフラストラクチャのセキュリティ設計の概要をご覧ください。

可用性、整合性、復元力

Google のプラットフォームの構成要素は、冗長性に優れた設計になっています。Google のデータセンターは地理的に分散されているため、ある地域で自然災害や局地的な停電などが生じてグローバルなプロダクトが使用できなくなっても、その影響は最小限に抑えられます。ハードウェア、ソフトウェア、ネットワークの障害が発生しても、サービスは自動的かつ瞬時に別の施設に切り替わるため、オペレーションは中断されずに継続されます。冗長性の高いインフラストラクチャにより、お客様をデータ損失から保護します。

テスト

Google では、インフラストラクチャ チームとアプリケーション チームがコミュニケーション計画やフェイルオーバー シナリオ、オペレーション移行、その他の緊急対策を共通した手順で実施できるように、災害復旧訓練を毎年実施しています。災害復旧訓練に参加するすべてのチームがテスト計画を策定し、テストの結果とそこから得た知見を分析します。

暗号化

Google は、暗号化を使用して転送中のデータと保存されているデータを保護しています。G Suite に転送されるデータは HTTPS で保護されます。HTTPS は、すべてのユーザーに対してデフォルトで有効になっています。G Suite と Google Cloud Platform サービスでは、1 つ以上の暗号化メカニズムを使用して、保存されているお客様のコンテンツを暗号化しています。お客様による操作は必要ありません。データの暗号化の方法について詳しくは、暗号化に関するホワイトペーパーをご覧ください。

アクセス制御

Google 社員に対するアクセス権やアクセスレベルは、職務や役割に基づいて付与されており、責務に対して必要なアクセス権が、最小特権および need to know(知る必要がある人にのみ知らせる)原則に則して与えられています。追加のアクセス権を得るには、Google のセキュリティ ポリシーに従い、データまたはシステムの所有者や管理者などの役職者へのリクエストと承認を得るための正式な手順を踏む必要があります。

脆弱性の管理

Google では、市販ツールと社内で開発されたツール、自動および手動による集中的な侵入テスト、品質管理プロセス、ソフトウェア セキュリティ レビュー、外部監査を組み合わせ、ソフトウェアの脆弱性をスキャンしています。また、Google はセキュリティ研究コミュニティとも連携しています。こうした関係は、G Suite、Google Cloud Platform、その他の Google プロダクトでの脆弱性を発見するうえで役立つと考えています。Google の脆弱性報奨金プログラムでは、お客様のデータを危機にさらす可能性のある設計上および実装上の問題点を報告するよう、研究者に呼びかけています。

プロダクトのセキュリティ: G Suite

G Suite のお客様は、個人データを無許可の処理や不正な処理からさらに保護するため、次のようなプロダクトの機能や構成を活用できます。

  • 2 段階認証プロセスを導入すると、ユーザーのログイン時に身元が追加確認されるため、不正アクセスのリスクが低減します。セキュリティ キーを適用すると、物理的なキーの使用が必須となり、ユーザー アカウントのセキュリティがさらに強化されます。
  • 不審なログインのモニタリングは、強力な機械学習機能を使用して不審なログインを検出します。
  • メールのセキュリティを強化するため、メールに対して Secure/Multipurpose Internet Mail Extensions(S/MIME)を使用した署名と暗号化を必須にすることができます。
  • データ損失防止により、Gmail や Google ドライブに保存された機密情報が不正に共有されないように保護できます。詳しくは、データ損失防止に関するホワイトペーパーをご覧ください。
  • Google ドライブの Information Rights Management では、高度な共有メニューからファイルをダウンロード、印刷、コピーできないようにし、ファイル アクセスに有効期限を設定できます。
  • モバイル デバイス管理はシステムを継続的にモニタリングし、デバイスで不審なアクティビティが認められた場合に警告します。
  • セキュリティ センターでは、外部ファイルの共有、組織内のユーザーを標的とした迷惑メールや不正なソフトウェア、現在のセキュリティ対策の有効性を示す指標を単一の包括的なダッシュボードから確認できます。
  • Google Vault を使用すると、組織のメール、Google ドライブに保存されたファイルの内容、オフレコが解除されているチャットを保持、アーカイブ、検索、エクスポートできます。これは電子情報開示やコンプライアンスのニーズに役立ちます。

    サードパーティ製アプリケーションのアクセス制御では、認証や企業データへのアクセスに OAuth を利用するサードパーティ製アプリケーションを追跡管理し、それらを制御できます。OAuth でのアクセスは細分化されたレベルで無効にすることができ、検査済みのサードパーティ製アプリケーションをホワイトリストに登録することもできます。

詳しくは、https://gsuite.google.com/security をご覧ください。

プロダクトのセキュリティ: GCP

GCP のお客様は、個人データを無許可の処理や不正な処理からさらに保護するため、次のようなプロダクトの機能や構成を活用できます。

  • 2 段階認証プロセスを導入すると、ユーザーのログイン時に身元が追加確認されるため、不正アクセスのリスクが低減します。セキュリティ キーを適用すると、物理的なキーの使用が必須となり、ユーザー アカウントのセキュリティがさらに強化されます。
  • Google Cloud Identity and Access Management(Cloud IAM)では、Google Cloud Platform リソース向けにきめ細かいアクセス権や変更権限を作成し、それを管理できます。
  • Data Loss Prevention API は、特別なカテゴリの個人データを特定し、その処理をモニタリングして、適切な制御を実行します。
  • Stackdriver LoggingStackdriver Monitoring は、ロギング、モニタリング、アラート、異常検知の各システムを Google Cloud Platform に組み込みます。
  • Cloud Identity-Aware Proxy(Cloud IAP)は、Google Cloud Platform で実行されるクラウド アプリケーションへのアクセスを制御します。
  • Cloud Security Scanner は、Google App Engine アプリケーションの一般的な脆弱性をスキャンし、検出します。
  • Cloud Security Command Center では、クラウド資産のインベントリの表示とモニタリング、センシティブ データ用のストレージ システムのスキャン、一般的なウェブ脆弱性の検出、重要なリソースへのアクセス権の確認のすべてを一元化された単一のダッシュボードから行うことができます。

詳しくは、https://cloud.google.com/security/ をご覧ください。

データの返却と削除

管理者は契約の期間中いつでも、G Suite または Google Cloud Platform サービスの機能(詳細については、Google Cloud Platform のドキュメントをご覧ください)を通じて顧客データをエクスポートできます。Google のデータ処理規約には数年前からデータ エクスポートの項目が含まれており、GDPR を反映するためにそれらの規約を更新しました。今後も引き続きデータ エクスポート機能の堅牢性を強化するとともに、G Suite および Google Cloud Platform サービスからお客様のビジネスデータのコピーを安全かつ簡単にダウンロードできるよう取り組んでいきます。

また、顧客データはいつでも G Suite または Google Cloud Platform サービスの機能を通じて削除できます。Google は、データの完全な削除の指示をお客様から受け取った時点(たとえば、削除したメールを「ゴミ箱」から復元できなくなった時点)から遅くとも 180 日以内に、関連する顧客データをすべてのシステムから削除します。ただし、保持義務が適用される場合はこの限りではありません。

データ管理者の支援

データ主体の権利

データ管理者は、G Suite および Google Cloud Platform の管理コンソールとサービス機能を使用して、データ管理者とそのユーザーが Google システムに送信したデータにアクセスし、データの訂正、データ処理の制限、データの削除を行うことができます。この機能により、データ主体から GDPR に基づく権利行使の要求があった場合に、その義務を遂行できます。

データ保護チーム

Google は、Google LLC とその子会社向けに、GDPR の対象となるデータ処理(Google Ireland Limited の企業向けサービス全般を含む)を扱う DPO を任命しています。Keith Enright(プライバシー関連法務のディレクター)が Google LLC のデータ保護オフィサーを務めます。彼の拠点は米国のサンフランシスコです。

Google の企業向けサービスでは、必要に応じてデータ保護に関する問い合わせに対応するチームが指定されています。これらのチームと連絡を取る方法は関連契約書に記載されています。G Suite の場合、Cloud データ保護チームに連絡を取るには、管理者が管理者アカウントにログインした状態で https://support.google.com/a/contact/googlecloud_dpr から連絡します。または、適用される契約の記載に従って Google に通知することで直接連絡することもできます。Google Cloud Platform の場合は、https://support.google.com/cloud/contact/dpo からデータ保護チームに連絡できます。

インシデント通知

G Suite と Google Cloud Platform は、長年にわたってインシデント通知に関する契約責任を果たしてきました。Google は今後も引き続き、顧客データに関するインシデントが発生した場合、GDPR を反映した契約および規約のデータ インシデントに関する条項に沿って速やかに通知を行います。

データの越境移転

GDPR では、EU 域外への個人データの移転を簡便化するメカニズムが提供されます。このメカニズムには個人データを域外に転送するに際し、十分な保護を提供していること、および適切な安全保護対策を講じていることを確認するという目的があります。

適切な安全保護対策は、モデル契約条項によって提供できます。また、十分な保護が提供されているかどうかは十分性認定によって確認できます(EU と米国間のプライバシー シールドをサポートする十分性認定など)。

Google は、現行のデータ処理契約の下で、GDPR に準じた EU 域外への個人データの移転を簡便化するメカニズムを保持する契約上の義務を負っています。EU と米国間およびスイスと米国間のプライバシー シールド フレームワークの下で Google が認証を受けているプロダクトには、G Suite と Google Cloud Platform が含まれています。また、Google のモデル契約条項は、欧州データ保護当局から適合確認を受けています。つまり、G Suite と Google Cloud Platform の契約責任は、EU 域内から域外へ個人データを転送する法的要件を完全に満たしていることが認定されています。

標準と認証

Google のお客様や規制当局は、セキュリティやプライバシー、コンプライアンスに対する監査が独立した機関によって実施されることを求めています。G Suite と Google Cloud Platform ではこれを保証するため、独立した第三者機関による複数の監査を定期的に受けています。

ISO 27001(情報セキュリティ管理)

ISO 27001 は、世界的に広く認められている独立したセキュリティ規格です。Google は、G SuiteGoogle Cloud Platform のプロダクトに加えて、共有の Common Infrastructure を構成するシステム、アプリケーション、人、技術、データ処理、データセンターについても ISO 27001 認証を受けています。

ISO 27017(クラウド セキュリティ)

ISO 27017 は、ISO/IEC 27002 に基づく情報セキュリティ管理の実践方法を、クラウド サービスに特化して定めた国際規格です。Google は、G SuiteGoogle Cloud Platform について ISO 27017 認証を受けています。

ISO 27018(クラウド プライバシー)

ISO 27018 は、パブリック クラウド サービスで個人情報(PII)を保護する方法を定めた国際規格です。Google は、G SuiteGoogle Cloud Platform について ISO 27018 認証を受けています。

SSAE16 / ISAE 3402(SOC 2/3)

American Institute of Certified Public Accountants(AICPA: 米国公認会計士協会)の SOC 2(Service Organization Controls)と SOC 3 は、信頼の原則と、セキュリティ、可用性、処理の整合性、機密性保持の基準を定めた監査フレームワークです。Google では Google Cloud Platform と G Suite について、SOC 2 と SOC 3 の保証報告書を取得しています。

お客様が実施できること

お客様の担う責任

G Suite1 や Google Cloud Platform のお客様は通常、Google Cloud サービスを使用することで Google に提供される個人コンテンツに関するデータ管理者の役割を担います。データ管理者は個人データを処理する目的と手段を決定します。さらに、データ処理者が存在します。データ処理者は通常、Google が担います。Google Cloud はデータ処理者として、データ管理者が G Suite または Google Cloud Platform を使用するときにデータ管理者の代わりに個人データを処理します。

データ管理者とは

データ管理者は、GDPR に準拠してデータ処理を行うために、適切な技術的および組織的措置を講じる責任を負います。管理者の義務には、データ主体のデータに対する権利尊重の責任を果たすことに加えて、合法性、公平性、透明性、目的の限定、データの最小化、正確性などの原則に関連するものも含まれます。

GDPR におけるデータ管理者の責務に関するガイダンスについては、各国のデータ保護機関や主管データ保護機関のウェブサイトを定期的にご確認いただくか、国際プライバシー専門家協会(IAPP)などのプライバシー団体の刊行物をご覧ください。また、この GDPR ページと Google の GDPR リソース センターにも、最新のニュースや更新情報が掲載されます。

このサイトは、Google のお客様に Google Cloud の GDPR に対する姿勢を理解していただくことを目的としています。このサイトは法的助言を提供するものではないため、お客様の組織に適用される具体的な要件に関して法律の専門家から指導を受けることをおすすめします。

初めに取り組むべきこと

お客様は Google Cloud のユーザーとして、GDPR を自社のデータ保護コンプライアンス戦略に組み込む必要があります。以下のヒントを参考にしてください。

  • GDPR の規定をよく理解します。
  • 処理の対象となる個人データの最新インベントリを作成します。Google のツールが、データの識別と分類に役立ちます。
  • GDPR の要件に従ってデータを管理・保護するために、現行の管理体制、ポリシー、プロセスを見直します。食い違いを見つけ出し、それに対処する計画を策定します。
  • Google Cloud の既存のデータ保護機能を、お客様独自の規制遵守フレームワークの一部として活用する方法を検討します。手始めに、G Suite または Google Cloud Platform の第三者による監査や認証に関する資料をご覧ください。
  • オプトイン プロセスによる新しいデータ処理規約の確認と同意をお願いします。G Suite のデータ処理の修正条項に関するオプトイン プロセスの説明についてはこちらを、GCP のデータ処理とセキュリティの規約についてはこちらをご覧ください。
1 G Suite には、G Suite for Business と G Suite for Education が含まれます。 2 該当国のデータ保護機関や主管データ保護機関の特定については、個別に法的助言を受けることをおすすめします。

よくある質問

GDPR とは何ですか?
一般データ保護規則(GDPR)は、2018 年 5 月 25 日に施行された、1995 年 10 月 24 日のデータ保護に関する 95/46/EC 指令に代わるプライバシー法です。
GDPR では、個人データを EU 域内に保管することが義務付けられていますか?
いいえ。データ保護に関する 95/46/EC 指令と同様、GDPR でも一定の条件のもとに EU 域外への個人データの移転が認められています。これらの条件は、モデル契約条項などのメカニズムによって満たすことができます。
GDPR を反映するために Google の規約はどのように更新されましたか?
数年前から、Google Cloud のデータ処理規約にはお客様に対するプライバシーおよびセキュリティ保護の責任が明記されています。GDPR は、この点に関してどのような契約責任を規定しているかにかかわらずすべてのクラウド サービス プロバイダに直接適用されますが、Google の規約は GDPR に合わせて改定されています。新しい規約では特に、クラウド利用者によるデータ処理者の使用について定めた GDPR の第 28 条の規定が反映されています。
GDPR では、Google Cloud を監査する権利がお客様側に与えられていますか?
GDPR では、データ管理者とデータ処理者との間で締結される契約において、データ管理者に監査の権利を与えることを義務づけています。Google の新しいデータ処理契約には、お客様のために監査の権利が定められています。
第三者による ISO 27001、ISO 27017、ISO 27018、SOC 2/3 の監査報告書は、GDPR の規制遵守においてどのような役割を果たしていますか?
お客様がリスク評価を行うにあたり、第三者が Google に対し発行した ISO 認証および SOC 2/3 監査報告書を参照することにより、技術的および組織的に適切な措置がとられているかどうかを判断できます。
Google は GDPR について他にどのような情報やリソースを提供していますか?
Google のビジネスとデータ ウェブサイトGDPR リソース センターをご覧ください。