Google Cloud と一般データ保護規則(GDPR)

GDPR に準拠することは、Google Cloud と Google のお客様にとって最優先事項です。GDPR はヨーロッパにおける個人データ保護の強化を目的としており、あらゆる企業のビジネスの実施方法に影響を与えます。ここでは、この新しい規則にお困りのお客様のために役立つ情報を提供します。Google Cloud は保護、制御、コンプライアンスに関してお客様中心のアプローチを採用しており、Google にはお客様の GDPR への準拠を推進する責務があります。

Google Cloud と GDPR に関するホワイトペーパー Google Cloud の GDPR クイック リファレンス ガイド G Suite データ保護実装ガイド

Google の GDPR リソース センターにアクセス 

GDPR とは何ですか?

GDPR は、1995 年の EU データ保護指令に代わる規則として 2018 年 5 月 25 日に施行されました。

GDPR では、ヨーロッパで設立された企業や組織、またはヨーロッパのユーザーにサービスを提供する企業や組織に求められる具体的な要件が規定されています。これは、

  • 企業による個人データの収集、使用、保管方法を規制します。
  • 現行の文書化要件と報告要件をベースとしてアカウンタビリティを向上させます。
  • 要件を遵守しない企業に罰金を科します。

Google が実施していること

Google は Google Cloud において、ユーザーデータのセキュリティとプライバシーに優先順位をつけて改善するイニシアチブを支持しています。これまでに、Google Cloud のお客様が GDPR の施行後も Google のサービスを安心して使用できるように繰り返しアップデートを加えました。Google Cloud と提携していただいたお客様に対しては、以下の形でお客様の取り組みを支援します。

  1. Google Cloud Platform および G Suite のすべてのサービスにおけるお客様の個人データの処理に関して、GDPR を遵守するという契約を確実に果たす
  2. 機密性の高い個人データの保護を強化する追加のセキュリティ機能を提供する
  3. お客様が実施する Google サービスのプライバシー評価を支援するためにドキュメントとリソースを提供する
  4. 規制状況の変化に合わせて、お客様に提供する機能 / 能力を継続的に進化させる

G Suite および Google Cloud Platform における GDPR への取り組み

とりわけ、データ管理者には、データ処理に関する GDPR の要件を満たすために適切な技術的および組織的措置を講じることを十分に保証できるデータ処理者のみを使用することが求められています。G Suite および Google Cloud Platform サービスの評価を実施する際は、以下のことを考慮してください。

データ保護の専門知識

Google のセキュリティとプライバシーは、情報、アプリケーション、ネットワークのセキュリティに精通した世界有数のエキスパートのチームによって守られています。このエキスパート チームは Google の防御システムの運用、セキュリティ レビュー プロセスの開発、より強固なセキュリティ インフラストラクチャの構築、Google のセキュリティ ポリシーの厳密な適用などを任されています。

また、Google では Google Cloud のプライバシーとセキュリティ遵守の管理にあたる弁護士団、規制遵守のエキスパート、公共政策の専門家から成るチームも編成しています。

このようなチームがお客様、業界関係者、監督当局と連携して、G Suite および Google Cloud Platform のサービスがお客様の規制遵守のニーズを確実に満たせるよう取り組んでいます。

お客様が実施できること

お客様の担う責任

G Suite1 や Google Cloud Platform のお客様は通常、Google Cloud サービスを使用することで Google に提供される個人コンテンツに対し、データ管理者の役割を担います。データ管理者は個人データを処理する目的と手段を決定します。さらに、データ処理者が存在します。データ処理者は通常、Google が担います。Google Cloud はデータ処理者として、データ管理者が G Suite または Google Cloud Platform を使用するときにデータ管理者の代わりに個人データを処理します。

データ管理者とは

データ管理者は、GDPR に準拠してデータ処理を実施するために、技術的および組織的に適切な措置を講じる責任を担います。管理者の義務には、合法性、公平性、透明性、目的の限定、データの最小化、正確性などの原則に関連するものに加え、データ主体のデータに対する権利尊重の責任を果たすことが含まれます。

GDPR におけるデータ管理者の責務に関するガイダンスについては、各国のデータ保護機関や主管データ保護機関のウェブサイトを定期的にご確認いただくか、国際プライバシー専門家協会(IAPP)などのプライバシー団体の刊行物をご覧ください。また、この GDPR ページと Google の GDPR リソース センターにも、最新のニュースや更新情報が掲載されます。

このサイトは、Google のお客様に Google Cloud の GDPR に対する姿勢を理解していただくことを目的としています。このサイトは法的助言を提供するものではないため、お客様の組織に適用される具体的な要件に関して法律の専門家から指導を受けることをおすすめします。

初めに取り組むべきこと

お客様は Google Cloud のユーザーとして、GDPR を自社のデータ保護コンプライアンス戦略に組み込む必要があります。以下のヒントを参考にしてください。

  • GDPR の規定をよく理解します。
  • 処理の対象となる個人データの最新インベントリを作成します。Google のツールが、データの識別と分類に役立ちます。
  • GDPR の要件に従ってデータを管理・保護するために、現行の管理体制、ポリシー、プロセスを見直します。食い違いを見つけ出し、それに対処する計画を策定します。
  • Google Cloud の既存のデータ保護機能を、お客様独自の規制遵守フレームワークの一部として活用する方法を検討します。手始めに、G Suite または Google Cloud Platform の第三者による監査や認証に関する資料をご覧ください。
  • オプトイン プロセスによる新しいデータ処理規約の確認と同意をお願いします。G Suite のデータ処理の修正条項に関するオプトイン プロセスの説明についてはこちらを、GCP のデータ処理とセキュリティの規約についてはこちらをご確認ください。
1 G Suite には、G Suite for Business と G Suite for Education が含まれます。 2 該当国のデータ保護機関や主管データ保護機関の特定については、個別に法的助言を受けることをおすすめします。

FAQ

GDPR とは何ですか?
一般データ保護規則(GDPR)は、2018 年 5 月 25 日に施行された、1995 年 10 月 24 日のデータ保護に関する 95/46/EC 指令に代わるプライバシー法です。
GDPR では、個人データを EU 域内に保管することが義務付けられていますか?
いいえ。データ保護に関する 95/46/EC 指令と同様、GDPR でも一定の条件のもとに EU 域外への個人データの移転が認められています。こうした条件は、モデル契約条項などのメカニズムによって満たすことができます。
GDPR を反映するために Google の規約はどのように更新されましたか?
数年前から、Google Cloud のデータ処理規約にはお客様に対するプライバシーおよびセキュリティ保護の責任が明記されています。GDPR は、この点に関してどのような契約責任を規定しているかにかかわらずすべてのクラウド サービス プロバイダに直接適用されますが、Google の規約は GDPR に合わせて改定されています。新しい規約では特に、クラウド利用者によるデータ処理者の使用について定めた GDPR の第 28 条の規定が反映されています。
GDPR では、Google Cloud を監査する権利がお客様側に与えられていますか?
GDPR では、データ管理者とデータ処理者との間で締結される契約において、データ管理者に監査の権利を与えることを義務づけています。Google の新しいデータ処理契約には、お客様のために監査の権利が定められています。
第三者による ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018、SOC 2/3 の監査報告書は、GDPR の規制遵守においてどのような役割を果たしていますか?
お客様がリスク評価を行うにあたり、第三者機関が Google に対し発行した ISO 認証認および SOC 2/3 監査報告書を参照することにより、技術的および組織的に適切な措置がとられているかどうかを判断できます。
Google は GDPR について他にどのような情報やリソースを提供していますか?
Google のビジネスとデータ ウェブサイトGDPR リソース センターをご覧ください。