サードパーティ リスク管理リソース センター

Google Cloud は、Google Cloud の運用を保護するだけでなく、Google Cloud のお客様とパートナーの信頼を維持する、堅牢なサードパーティ リスク管理プログラムの整備に尽力しています。

お問い合わせCISO インサイト

はじめに

Google Cloud は、Google Cloud サービスに関連する特定の活動を実施するために、サードパーティ(下請け業者)を利用することがあります。これらの下請け業者は、Google Cloud のサードパーティ リスク管理(TPRM)プログラムを通じてモニタリングおよび管理されます。このプログラムは、下請け業者との契約において Google Cloud のセキュリティ、コンプライアンス、運用効率の高い基準が維持されるように設計されています。


Google Cloud の取り組みは、サードパーティ リスク管理機能の強化に向けた継続的な投資に反映されており、絶えず変化するリスク環境で先手を打つことを目的としています。さらに、サードパーティには、サプライヤー行動規範で定義されている社会的、環境的、倫理的責任を果たすことが期待されます。

サプライヤー行動規範

下請け業者の概要

Google Cloud の TPRM プログラムは、サードパーティがもたらすリスクのレベルに比例して、サードパーティを特定、評価、管理、モニタリングするリスクベースのアプローチを採用しています。重要なサービスを提供するサードパーティは、より厳格なガバナンスと監視の対象となります。特に、TPRM プログラムでは、顧客データを処理する下請け業者(復処理者)と、処理しない下請け業者を区別しています。以下では、下請け業者のライフサイクルの各フェーズにおける Google Cloud のサードパーティ リスク管理活動について説明します。

サプライヤーの画像

サードパーティ リスクのガバナンス

Google Cloud の TPRM プログラムは、クラウド最高情報セキュリティ責任者(CISO)組織を通じて管理、統制されており、Google のエンタープライズ サードパーティ リスク管理プログラム、調達、ベンダー管理組織、リスクとコンプライアンス、法務チームによってサポートされ、組織全体でサードパーティ リスクが適切に管理されるようにしています。


Google Cloud の監視と管理(サードパーティ リスクを含む)を行うため、経営幹部による部門横断型の管理組織が設置されています。管理組織は、定義されたリスク選好度とリスク許容度を活用して、下請け業者によってもたらされる潜在的なリスクが許容範囲に収まるように管理します。また、Google Cloud がサードパーティ リスク全体を評価、モニタリング、管理する方法の一貫性と完全性を確保するためのポリシーと手順が整備されています。

Google Cloud のサードパーティ リスク管理のライフサイクル

計画

Google Cloud TPRM プログラムでは、サードパーティと契約する前に、サードパーティを分類し、サードパーティ サービスがもたらすリスクのレベルを判断するための評価を完了する必要があります。リスクレベルは、デュー デリジェンス、契約、オンボーディング、および継続的なモニタリングに関する要件を定義するために使用されます。この段階では、全体的な集中リスクを評価して、新しい下請け業者を Google Cloud にオンボーディングすることの影響を判断します。

計画の画像
デュー デリジェンスの画像

デュー デリジェンス

Google Cloud の TPRM プログラムは、情報セキュリティ、プライバシー、インシデント管理、ビジネスの継続性、規制遵守、財務の安定性、ロケーション リスク、運用能力など、さまざまなサードパーティ リスクに対応するように設計されています。こうしたリスクを効果的に管理するために、Google Cloud は社内の専門家を活用し、専門的な分析情報を提供してリスク軽減と管理戦略をカスタマイズしています。この専門知識により、Google Cloud は、サードパーティとの関係を通じて潜在的なリスクをプロアクティブに特定、評価、軽減できます。

デュー デリジェンス評価を適切に完了することは、オンボーディングとサービスの開始に不可欠です。下請け業者は毎年再評価され、特定された問題は、一元的な問題管理プロセスを使用して追跡、管理、修正されます。デュー デリジェンスが完了すると、その結果が集約され、Google Cloud の管理部門と共有されます。

契約

Google Cloud チームは、下請け業者をオンボーディングする際に、定義されたプロセスに従って、サービス開始前に下請け業者と適切な契約を締結します。これらの契約では、Google Cloud の堅牢なセキュリティ、プライバシー、コンプライアンスの要件と、下請け業者に関して Google がお客様に対して負う義務が取り決められています。

SLA、KPI などのパフォーマンス指標は契約で定義され、パフォーマンス モニタリングが継続的に実施されるように、下請け業者に対するパフォーマンス戦略が策定されます。

オンボーディング

デュー デリジェンスが完了すると、Google は契約で合意されたタイムライン内で、新しい下請け業者についてお客様に通知します。

たとえば、Google Cloud は、新しい復処理者が顧客データの処理を開始する 30 日前までに、すべてのお客様に通知します。

下請け契約に基づくサービスは、適用される通知期間の後にのみ開始でき、復処理者の場合は、顧客データへのアクセスも、適用される通知期間の後にのみプロビジョニングできます。

継続的なモニタリング

下請け業者がオンボーディングされると、Google Cloud の関連チームがパフォーマンスとリスク管理に関するさまざまな側面で下請け業者を継続的にモニタリングします。パフォーマンス管理は、定義された主要業績評価指標(KPI)と四半期ビジネス レビュー(QBR)ミーティングを通じて、(少なくとも)四半期ごとに正式に行われます。

リスク評価(デュー デリジェンス評価に類似)は年次で実施されますが、リスク管理体制の変化がないか、つまりさらなる評価が必要かどうかを検出できるよう、下請け業者のモニタリングは継続的に実施されます。

既存の下請け業者のサービスの種類や場所に変更が生じた場合、Google Cloud は契約で合意されたタイムライン内でお客様に通知します。

Google Cloud のモニタリングでインシデントが特定された場合は、集中的なインシデント管理プログラムに従い、専門家で構成される部門横断型チームが専任体制で対応することで、迅速な調査、修復、および積極的なコミュニケーションを徹底し、インシデントの追跡、管理、解決を図ります。詳細については、Google Cloud のデータ インシデント対応プロセスをご覧ください。


Google Cloud のデータ インシデント対応プロセス
モニタリングの画像
契約終了の画像

終了

下請け業者の計画的な契約終了は、オンボーディング時に作成された出口計画を通じて管理されます。出口計画は、Google Cloud によるサービス提供に悪影響がないように設計されています。

Google Cloud によるサービス継続性の確保

Google Cloud は、お客様の成功にとってサービスの継続性が重要であることを理解しており、それを保護するための包括的な内部管理体制を備えています。

Google Cloud は、潜在的なリスクを特定し、その影響を軽減するための戦略を策定するために、下請け業者の事業継続プログラムの定期的な評価を実施しています。下請け業者のパフォーマンスは、契約で定められた重要業績評価指標(KPI)の範囲内でサービス品質を維持するために定期的にモニタリングされます。



予期せぬ事態が発生し、Google Cloud が下請け業者からサービスを移行する必要が生じた場合に備えて、サービスの中断を防ぎつつ円滑に移行できるよう、詳細な出口計画が用意されています。

Google Cloud による顧客データの保護

顧客データを所有するのはお客様であり、Google ではありません。Google はお客様の指示に従ってのみ顧客データを処理し、その処理の目的や本質的な手段を決定することはありません。したがって、Google は顧客データの管理者または共同管理者ではなく、処理者です。

Google は、技術サポート サービスなど、Google Cloud サービスに関連する限定的なアクティビティを実行するために、復処理者を使用します。Google は、Cloud のデータ処理に関する追加条項に従い、復処理者との書面契約に一定の保護措置が含まれることをお客様に保証しています。Google はその契約に基づき、以下の点を保証します。



  

  1. 復処理者は、下請け契約に基づく義務を履行するために必要最小限の範囲でのみ、顧客データにアクセスし、それを使用します。
  2. 復処理者は、Google との書面契約に従ってそのような処理を行います。
  3. 関連するデータ保護義務(Cloud のデータ処理に関する追加条項に記載)は、適用法令で要求される場合に復処理者に課されます。
Cloud のデータ処理に関する追加条項

Google は、データへのアクセス権限や提供するサービスの範囲に適したレベルのセキュリティとプライバシーを復処理者が備えているか確認するため、復処理者のセキュリティ慣行とプライバシー慣行の監査を実施します。

Google が復処理者から提示されたリスクを評価した後、復処理者は所定のセキュリティ、機密保持、プライバシーの各契約を締結する必要があります。具体的には、Google はその契約において、復処理者による顧客データへのアクセスが、限定的なアクティビティの実行に必要な範囲に限定されること、およびすべてのアクセスが Google Cloud のデータ保護条項に準拠していることを保証します。

Google Cloud のプライバシー関連の取り組みについて詳しくは、プライバシー リソース センターをご覧ください。

プライバシー リソース センター
ロックの画像

詳細情報

サードパーティの復処理者に関する詳細については、特定の製品分野のページをご覧ください。

次のステップ

下請け業者に関する詳細については、アカウント担当者にお問い合わせいただくか、Google までご連絡ください。

無料で開始
Google Cloud
ドキュメントサポート
コンソール
ログイン
無料で利用開始
お問い合わせ
  • デジタル変革を加速させましょう
  • お客様がデジタル トランスフォーメーションに乗り出したばかりでも、あるいはすでに進めている場合でも、Google Cloud は困難な課題の解決を支援します。
  • Google Cloud プロダクト
  • 100 種類を超えるプロダクトをご用意しています。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。また、すべてのお客様に 25 以上のプロダクトを無料でご利用いただけます(毎月の使用量上限があります)。
  • Google の透明性の高い料金設定の手法で費用を削減
  • Google Cloud の従量課金制では、毎月の使用量と、リソース料金の前払い割引に基づいて自動的に割引が適用されます。見積もりをご希望の場合は、今すぐお問い合わせください。
Google Cloud