Japan 公式ブログ
Google の企業向けソリューションに関する公式な情報やユーザーの事例などを、いち早く皆さんにお届けします。
Google Cloud における GDPR 施行への準備について
2018年5月17日木曜日
* この記事は米国時間 5 月 11 日に Keyword に
投稿
されたものの抄訳です。
昨年 5 月に、G Suite および Google Cloud Platform(GCP)の GDPR(EU の一般データ保護規則)準拠に向けた取り組みについて、その概要をこのブログで
紹介
しました。Google Cloud がこれまでずっと注力してきたデータ セキュリティ、プライバシー、透明性の確保に向けた施策は、GDPR 準拠に対応するうえで重要なベースとなるほか、今回ご紹介するアップデートが、GDPR 施行後(今年 5 月 25 日)も、お客様が安心して Google Cloud のサービスをお使いいただくための安心材料となるものと考えています。
GDPR 遵守においては、管理者と処理者双方がそれぞれの役割に沿って責任を分担する仕組みになっている点に留意する必要があります。Google Cloud は一般にデータ処理者の役割を果たし、お客様の指示に従ってデータを処理します。お客様のデータはお客様のものであり、Google Cloud はお客様が簡単に管理できるようツールやリソースを進化させていきます。
この投稿では、お客様にとって重要な GDPR 準拠のためのポイントに焦点を当てながら Google Cloud の取り組みを紹介します。
データ処理条項
GDPR の施行に先立ち、 昨年 10 月に
G Suite
1と
Google Cloud Platform
のサービス規約におけるデータ処理に関する条件において、GDPR の要件に直接対応する重要な
改訂
を加えました。この改訂は、プライバシーに関する Google のコミットメントをお客様に明確に示すものであると共に、Google と Google Cloud のお客様が GDPR に準拠する上で重要な改訂です。
既存のお客様には新しい条項についての通知をすでにお送りしていますが、まだ受け取っていないお客様は
G Suite
と
Google Cloud Platform
からそれぞれのガイドに従って、オプトインすることができます。
データ ポータビリティ
GDPR に明記されたデータ ポータビリティの権利は、Google が長年に渡りその信念としている「お客様のデータはお客様のものである」という考え方と通じています。Google Cloud の
Google Cloud Trust Principles(信頼原則
)では、お客様が望むときにいつでもお客様のビジネス データにアクセスしたり、それらを削除したりできることを規定しており、Google は
データ エクスポート機能
をさらに堅牢にするべく継続して開発に取り組んでいます。たとえば、G Suite や Cloud Identity サービスから、ビジネス データのコピーの安全で簡単なダウンロードのために
データ エクスポート機能
を改良しました。
データ インシデントの通知
G Suite と GCP は長年にわたり、契約においてインシデント通知をお約束してきました。GDPR 第 33 条では、データ処理者に対して通知期限が定められており、改訂した Google Cloud の契約条項でもこれを反映しています。Google はグローバルに数百人のセキュリティ専任のエンジニアを擁し、これまでと同様に脅威検知や防止、インシデント レスポンス機能への投資を継続していきます。
処理のセキュリティを確保するためのサービスとインフラストラクチャ
Google Cloud は、機密データの秘匿性、可用性、耐障害性を確保するために効果的なソリューションを提供します。たとえば、デフォルトで提供している
保存データの暗号化機能
などはその一例です。
Cloud Data Loss Prevention(DLP)API
は、企業や団体等が保有する機密データの分類、発見、モニタリング、非特定化を可能にし、データがどこにあっても、お客様がその管理と保護を行えるようサポートします。Google のサポートチームやエンジニアリング チームがお客様のデータやシステム構成を操作する場合には、常にお客様に通知し、
監査ログ
を記録しています。こちらの
セキュリティ ページ
で、詳細をご紹介していますのでご覧ください。
第三者機関による監査、認証
Google は、G Suite と GCP に対する第三者機関の監査・認証を通じて、技術的および組織的なセキュリティ対策やプライバシー対策による効果を定期的に検証、評価、検討しています。たとえば、情報セキュリティ管理システム向けの
ISO 27001
、クラウド セキュリティ管理のための
ISO 27017
、個人識別情報(PII)処理者の役割を果たすパブリック クラウドでの PII 保護に関する
ISO 27018
といった国際標準の認証を受けています。これらに加え、Google Cloud サービスの多くは第三者機関による
SOC1
、
SOC2
、
SOC3
の対象に含まれています。こうした監査・認証の取得に、今後も注力してまいります。
国際的なデータ転送
G Suite と GCP は
Privacy Shield による認証を受けており
、現行の EU データ保護法制に対応しています。G Suite や GCP の利用において、EU から域外へのデータ転送に関する法的枠組みの要件を十分に満たすために、Google では同法制に沿って
モデル契約条項
を用意しています。データ転送の仕組みが依って立つ規制当局の考え方は、現行の法制でも GDPR の下においても変わりません。
関連情報の提供
GDPR に関連するドキュメント、ホワイトペーパー、動画、その他の情報を
GDPR Resource Center
でお客様に公開しています(日本語では、
Google Cloud と一般データ保護規則
に関連情報を掲載しています)。今年は世界各地で実施する Cloud Summit や
Cloud Next
において、プレゼンテーションやワークショップに加え、お客様が Google のコンプライアンス チームと直接お話いただける機会をご用意します。
GDPR やプライバシー関連の法律はこれからも変化していくことでしょう。Google では、そのような変化にも法律顧問やコンプライアス エキスパート、公共政策の専門家からなるチームを置き、規制当局と協力しながら、これらを適切に理解し対処していくことをお約束します。
Google Cloud は、お客様の情報を安全に保護し、プライバシーを守ることをミッションのひとつとしています。そして「コンプライアンス」は、その根幹にあたるとも言えるでしょう。Google は引き続きこの分野を強化し、GDPR 準拠へのニーズに対応するために力を注いでいきます。詳細は前述の
GDPR Resource Center
及びを
Google Cloud と一般データ保護規則
をご覧ください。
1 G Suite には G Suite for Business と G Suite for Education が含まれます。
- By Suzanne Frey, Director, Security, Trust, & Privacy, Google Cloud and Marc Crandall, Director of Data Protection and Compliance, Google Cloud
Google Cloud : 一般データ保護規則(GDPR)への取り組み
2017年5月10日水曜日
※この投稿は、米国時間 2017 年 5 月 3 日に
Google Cloud Blog に投稿されたもの
の抄訳です。
欧州連合(EU)の General Data Protection Regulation(GDPR : 一般データ保護規則)は、欧州ではこの 20 年間で最も重要なプライバシー法制です。GDPR は
1995 年の EU Data Protection Directive(EU データ保護指令)
に代わるもので、EU 域内で個人が自分の個人情報に対して持つ権利を強化し、欧州全体のデータ保護法制の統一を目指しています。
私たち Google は、2018 年 5 月 25 日の GDPR 施行時に、
G Suite
と
Google Cloud Platform
(GCP)が GDPR に準拠していることを念頭に取り組みを進めており、これらのサービスを利用しているお客様もそうなると思っていただいてかまいません。
私たちは GDPR の要件に直接かかわる部分について利用契約に重要な改訂を加える予定です。また、私たちは GDPR コンプライアンスを目指すお客様のための献身的なパートナーでもあります。お客様は、Google Cloud に組み込まれている堅牢なデータ保護機能を理解していれば、自信をもって Google Cloud サービスを活用できます。
Google の取り組み
私たち Google は、お客様の EU データ保護要件への直接的な対応をお手伝いするために、過去 10 年にわたって献身的に努力してきました。GDPR コンプライアンスのための準備作業では、これらの取り組みが非常に重要な意味を持っています。
データ処理条項 :
コンプライアンスの基本となるのは、クラウド プロバイダーと顧客企業との間でデータ保護に対するしっかりとした取り組みが合意されていることです。
G Suite
と
Google Cloud Platform
のサービス規約におけるデータ処理条項は、プライバシーに対する Google の取り組みをお客様に明確に示すものになっています。私たちは、お客様や規制当局からのフィードバックに基づいてこれらの条項を改善してきました。GDPR の施行にあたっても、これらの条項は改訂される予定です。
第三者機関による監査、認証 :
G Suite と GCP は、第三者機関による監査、認証も受けています。
ISO 27001
セキュリティ監査は数年前から毎年受けていますが、2016 年にはクラウド セキュリティの
ISO 27017
とパブリック クラウドの個人識別情報保護の
ISO 27018
という 2 つの新しいセキュリティ、プライバシー監査を
導入
しました。Google Cloud のさまざまなサービスは、これらとともに、SOC1、SOC2、SOC3 などの第三者機関監査を受けています。
国際的なデータ転送 :
従来のデータ保護指令と同様に、GDPR には国際データ転送メカニズムに関する規定も含まれています。G Suite と GCP は、現在の EU データ保護法制に対処するために
Privacy Shield による認証
を受けています。また、私たちの
モデル契約条項
は欧州データ保護当局の
コンプライアンス認証
を受けており、G Suite と GCP の利用契約は、データ保護指令が定める EU から域外へのデータ転送の法的枠組みの要件を満たしていることが確認されています。
データ エクスポート :
GDPR は、個人データのエクスポートに関していくつかの要件を設けています。お客様が Google Cloud に格納するデータはお客様のものです。私たちは数年前からデータ処理条項にデータの可搬性に関する義務を記載しており、
データ エクスポート機能
をさらに堅牢なものにしていくための取り組みを続けていきます。
インシデントの通知 :
GDPR には違反通知に関する要件が含まれていますが、G Suite と GCP では、かなり以前から Google のインシデント通知に関する義務を利用契約に明記しています。Google は数百人もの専任のセキュリティ エンジニアを抱えています。Google Cloud は、セキュリティ、インシデント対応、脅威の検出と防御に力を注いできましたし、これからもそれを続けていきます。
お客様がやるべきこと
Google Cloud の現在または将来のお客様は、今こそ GDPR 対応の準備に取りかかるときです。次のことを検討してください。
新しい法制の条項、特に従来のデータ保護指令との違いをよく理解するようにしましょう。新たな要件に応じてサービス プロバイダーとの間で新しい合意事項が必要になったり、新しい厳格な要件を満たすためのまったく新しい取り組みが必要になったりすることがありますので、注意してください。
処理対象の個人情報用として、更新済みの正確な管理簿を作ることを検討しましょう(
Data Loss Prevention
などの Google ツールが役に立ちます)。
現在の管理やプロセスが十分かどうかを再評価し、ギャップがある場合はそれを埋めるための計画を立ててください。
自社の規制コンプライアンス フレームワークの一部として Google Cloud のコンプライアンス機能が役に立つかどうかを検討しましょう。第三者機関による
G Suite
や
Google Cloud Platform
の監査、認証資料を十分に調査し、役立つ部分を探してください。
法制に関する指導の最新情報を把握し、状況に即して法律の専門家の指導を受けることを検討してください。
GDPR 準拠に向けて
私たちは、新しい法制に照らして必要とされる運用の変更に取り組むとともに、変更のプロセスを通じてお客様やパートナー、規制当局と密接に協力する所存です。
Google には、規制コンプライアンスの専門家、プロダクト マネージャ、エンジニア、法律顧問、公共政策の専門家からなるグローバルなチームがあり、GDPR の導入ガイダンスを注意深く追いかけていますので、それに従って利用契約の条項も改訂し続けていきます。
改訂したデータ処理条項は、近いうちにお客様にも公開します。また、GDPR 対応を準備するにあたって、お客様のデュー デリジェンスへの取り組みに役立つ追加資料も作成しています。
Google Cloud は、利用者である皆さんの信頼を得るために日々努力を重ねています。お客様の情報のプライバシーとセキュリティの保護は最優先事項の 1 つであり、コンプライアンスはこのミッションの中核をなすものです。私たちは、規制環境の変化に応じて能力の向上を図りながら、お客様の GDPR 準拠の取り組みをしっかりと支援していきます。
Labels
#GoogleCloudSummit
#GoogleNext18
#GoogleNext19
77 min Lunch
add on
admin
Advanced Solutions Lab
AI
AI Hub
AI Platform
Android
Anthos
API
App Engine
App Maker
apps
Apps script
ASL
atmosphere
Atmosphere Tokyo
AutoML
AutoML Natural Language
AutoML Translation
bigquery
Box
Calendar
Case Study
Chorme OS
Chrome
Chrome Enterprise
Chrome Enterprise 導入事例
Chrome for Work
Chrome ウェブストア
chromebook
chromebooks
Chromebooks for Education
Chromebooks for meeting
Chromebooks for Work
Chromebox
Chromebox for digital signage
Chromebox for meetings
Chronicle
Cisco
Cloud
Cloud Armor
Cloud AutoML
Cloud AutoML Natural Language
Cloud AutoML Translation
Cloud AutoML Vision
cloud connect
Cloud Dataflow
Cloud Identity
Cloud IoT Core
Cloud Load Balancing
Cloud Memorystore for Redis
Cloud monitoring
Cloud OnAir
Cloud Pub/Sub
Cloud Ranking
Cloud Services Platform
Cloud Storage
Cloud TPU
compliance
compute engine
Contact Center AI
Container Engine
Coursera
Deloitte
developers
Dialogflow Enterprise Edition
Drive for Work
Dropbox
earth api
Education
enterprise
Enterprise Japan
event
Evernote
Expo
Firebase
FISC
Forrester
G Suite
G Suite Business
G Suite for Education
G Suite 事例
G Suite 導入事例
G+
gadget
GAE
GCE
GCP
GCP 導入事例
GCP 認定資格チャレンジ
GDPR
GEO
GEP
GfWtips
GKE
gmail
Gmail、新機能
Gone Google
GoneGoogle
Google App Engine
Google Apps
Google Apps Blog
Google Apps for Education
Google Apps for Work
Google Apps Script
Google Apps ユーザー事例
Google Apps 導入事例
Google atmosphere
Google calendar
Google calender
Google classroom
Google Cloud
Google Cloud Certification
Google Cloud Next '18 in Tokyo
Google Cloud Next '19 in Tokyo
google cloud platform
Google Cloud Search
Google Cloud Summit '18
Google Cloud 認定資格チャレンジ
Google Commerce Search
Google Derive
Google Docs
Google Docs API
google drive
Google Drive for Work
Google Earth
google enterprise
Google Enterprise Day
Google for Education
Google for Work
Google form
Google hang-out
Google hung-out
google map
Google maps
google maps api
google maps api premier
Google Maps APIs
Google Maps for Work
Google Maps Platform
Google Message Continuity
google search appliance
Google Shopping
Google Sites
Google Springboard
Google Storage for Developers
Google Video
Google Wave
Google スライド
Google ドキュメント
Google ドライブ
Google フォーム
Google マップ
Google+
GoogleApps
GoogleApps、新機能、spreadsheets
groups
gsa
Hangouts Meet
healthcare
Hybrid Cloud Platform for Google Cloud
Inbox
INSIDE
iOS
iphone
ISAE 3402 Type II
ISO 27018
IT
Jamboard
japan
Kubeflow Pipelines
Looker
Lotus Notes
Machine learning
map
maps api
Maps 導入事例
Maps-sensei
Mapsコーナー
media
microsoft office
migration
mobile
new features
Next
Next Tokyo
OAuth
Office 365
Office of the CTO
Osaka
partner
Partner Interconnect
partner program
Partner Summit
postini
pricing
Qwiklabs
region
research
RSA
SAP
SAS70
search
Security
Security Key
seminar
Shizuoka
Signage
Sites
SMB
SSAE 16 Type II
startup
Status Dashboard
TensorFlow
Trial
Upload any files
vault
Veolia
Viacom
Virtual Conference
VMware
あっぷす先生
あっぷす先生 誤解をとく!
あっぷす先生会社訪問
イベント
インフラストラクチャ
おしえて!あっぷす先生
おしえて!くらうど先生
オフライン
クラウド
くらうど先生
サイネージ
サポート
セキュリティ
チームドライブ
チェンジマネジメント
デジタル トランスフォーメーション
テレワーク
パートナー
ハングアウト
プライバシー
まっぷす先生
ランキング
リージョン
ワークインサイト
円周率
海底ケーブル
企業検索
機械学習
互換性
事例
小売
新機能
働き方
認定資格
Archive
2019
8月
7月
6月
5月
4月
3月
2月
1月
2018
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2017
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2016
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2015
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2014
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2013
12月
11月
10月
9月
7月
6月
5月
4月
3月
1月
2012
12月
11月
10月
9月
8月
7月
6月
5月
4月
2月
2011
12月
10月
9月
8月
7月
5月
4月
2月
2010
12月
11月
10月
9月
7月
6月
5月
3月
2月
1月
2009
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
1月
2008
12月
11月
10月
9月
8月
7月
6月
5月
4月
3月
2月
2007
12月
Feed
Follow @googlecloud_jp
Useful Links
G Suite
Google Cloud Platform
Google 検索アプライアンス
Google Maps
G Suite 公式アップデート情報
