機密データの保護のデータ セキュリティ

このトピックでは、機密データの保護と、認定資格、コンプライアンス（GDPR など）、暗号化などのデータ セキュリティについて説明します。データ セキュリティと Google Cloudの詳細については、Google Cloudのセキュリティをご覧ください。

認定資格

機密データの保護は、次のようなさまざまな認定資格とコンプライアンス基準を満たしています。他にもいろいろなサポートがあります。

• ISO/IEC 27001
• ISO / IEC 27017:2015
• ISO / IEC 27018:2014
• Payment Card Industry Data Security Standard（PCIDSS）
• HIPAA 業務提携契約（BAA）
• Multi-Tier Cloud Security（MTCS）Singapore Standard（SS）584

Google Cloudサービスが満たすコンプライアンス サービスの詳細については、コンプライアンス リソース センターをご覧ください。

GDPR

欧州連合の一般データ保護規則（GDPR）を遵守することは、 Google Cloud と Google のお客様にとって最優先事項です。

機密データの保護には、GDPR の遵守に適した infoType 検出器がいくつか用意されていますが、カスタム infoType 検出器を作成することもできます。その場合は、作成したツールが特定のニーズに適合しているか、十分にテストを行ってください。

Google Cloud と GDPR の概要を読み、 Google Cloudで GDPR の遵守に利用できるリソースを確認することをおすすめします。

暗号化

転送データの暗号化と Google Cloud サービスについては、 Google Cloudでの転送データの暗号化をご覧ください。

保存データの暗号化と Google Cloud サービスについては、Google Cloudでの保存データの暗号化をご覧ください。

データが保存される仕組み

機密データの保護は、使用するサービス メソッドに応じて、データの処理と保存を行います。

コンテンツ メソッド

content メソッドを使用してデータを処理する場合、データは Google Cloudに保存されません。リクエスト構成とペイロードはメモリ内で同期的に処理され、キャッシュに保存されません。

ストレージ メソッド

ストレージ メソッドは、BigQuery テーブルや Cloud Storage バケットなどの Google Cloudデータを検査できる非同期オペレーションです。 Google Cloudで所有しているリソースと同様に、データの保存、アクセス、保護の方法を制御できます。機密データの保護は、データが存在するリージョンと同じリージョンでデータを処理し、そのリージョンに検査ジョブを保存します。

検査ジョブには、設定した構成の詳細と結果の概要が含まれます。機密データの保護が保存する結果の概要には、検査されたデータと、機密情報を含む実際の文字列（機密データの保護では引用とも呼ばれる）は含まれません。ジョブ（結果の概要を含む）は Google Cloud コンソールで、または DLP API を介して削除できます。

検査ジョブを構成するときに、検出結果を任意の BigQuery テーブルにエクスポートするように機密データの保護に指示できます。設定によっては、エクスポートされる検出結果に引用を含めることができます。ユーザーがBigQuery テーブルを所有し、保存、アクセス、保護の方法を制御します。

ハイブリッド メソッド

ハイブリッド メソッドは、 Google Cloudの外部に保存されているデータを含め、どこに保存されているデータでも検査できる非同期オペレーションです。検査ジョブでは、機密データの保護がデータを処理する場所と、ジョブを保存する場所を指定します。

検査ジョブには、設定した構成の詳細と結果の概要が含まれます。機密データの保護が保存する結果の概要には、検査されたデータと、機密情報を含む実際の文字列（機密データの保護では引用とも呼ばれる）は含まれません。ジョブ（結果の概要を含む）は Google Cloud コンソールで、または DLP API を介して削除できます。

検査ジョブを構成するときに、検出結果を任意の BigQuery テーブルにエクスポートするように機密データの保護に指示できます。設定によっては、エクスポートされる検出結果に引用を含めることができます。ユーザーがBigQuery テーブルを所有し、保存、アクセス、保護の方法を制御します。

発見

機密データの保護は、データアセットが存在するリージョンまたはマルチリージョンでデータアセットを処理し、生成されたデータ プロファイルを同じリージョンまたはマルチリージョンに保存します。ディスカバリ サービスがデータ所在地要件をサポートする方法については、データ所在地に関する検討事項をご覧ください。

カスタム infoType が保存される仕組み

カスタム infoType は、スキャンする正規表現または用語（単語とフレーズ）のリストを指定して作成します。用語を指定するには、機密データの保護リクエストで直接リストアップします。または、BigQuery テーブルや、用語のリストを含む Cloud Storage のファイルまたはフォルダを参照することもできます。

カスタム infoType を構成する用語は、機密性が高い場合があります。これらは、機密データの保護にどのように提供するかに応じて保存されます。

• コンテンツ メソッドで用語を直接指定すると、データは同期的にメモリ内で処理され、保存またはキャッシュへの保存は行われません。
• 検査ジョブ内で用語を直接指定した場合、用語は検査ジョブとともに保存されます。検査ジョブの保存方法の詳細については、ストレージ方法とハイブリッド方法をご覧ください。
• 用語を検査テンプレートで直接指定する場合、用語は検査テンプレートと一緒に保存されます。検査テンプレートは、テンプレートの作成時に設定したリージョンに保存されます。検査テンプレートは、Google Cloud コンソールまたは DLP API を使用して削除できます。
• 用語を BigQuery テーブルまたは Cloud Storage のファイルやフォルダに保存する場合、Google Cloudで所有する他のリソースと同様に、保存、アクセス、保護の方法を制御できます。

プライバシー

Google Cloud がプライバシーを保護する仕組みについては、プライバシー リソース センターをご覧ください。

次のステップ

Google のクラウド サービスのセキュリティ対策については、Google Cloud セキュリティ ページをご覧ください。