Google Cloud : 一般データ保護規則（GDPR）への取り組み

※この投稿は、米国時間 2017 年 5 月 3 日にGoogle Cloud Blog に投稿されたものの抄訳です。

欧州連合（EU）の General Data Protection Regulation（GDPR : 一般データ保護規則）は、欧州ではこの 20 年間で最も重要なプライバシー法制です。GDPR は 1995 年の EU Data Protection Directive（EU データ保護指令）に代わるもので、EU 域内で個人が自分の個人情報に対して持つ権利を強化し、欧州全体のデータ保護法制の統一を目指しています。

私たち Google は、2018 年 5 月 25 日の GDPR 施行時に、G Suite と Google Cloud Platform（GCP）が GDPR に準拠していることを念頭に取り組みを進めており、これらのサービスを利用しているお客様もそうなると思っていただいてかまいません。

私たちは GDPR の要件に直接かかわる部分について利用契約に重要な改訂を加える予定です。また、私たちは GDPR コンプライアンスを目指すお客様のための献身的なパートナーでもあります。お客様は、Google Cloud に組み込まれている堅牢なデータ保護機能を理解していれば、自信をもって Google Cloud サービスを活用できます。

Google の取り組み

私たち Google は、お客様の EU データ保護要件への直接的な対応をお手伝いするために、過去 10 年にわたって献身的に努力してきました。GDPR コンプライアンスのための準備作業では、これらの取り組みが非常に重要な意味を持っています。

データ処理条項 : コンプライアンスの基本となるのは、クラウド プロバイダーと顧客企業との間でデータ保護に対するしっかりとした取り組みが合意されていることです。G Suite と Google Cloud Platform のサービス規約におけるデータ処理条項は、プライバシーに対する Google の取り組みをお客様に明確に示すものになっています。私たちは、お客様や規制当局からのフィードバックに基づいてこれらの条項を改善してきました。GDPR の施行にあたっても、これらの条項は改訂される予定です。

第三者機関による監査、認証 : G Suite と GCP は、第三者機関による監査、認証も受けています。ISO 27001 セキュリティ監査は数年前から毎年受けていますが、2016 年にはクラウド セキュリティの ISO 27017 とパブリック クラウドの個人識別情報保護の ISO 27018 という 2 つの新しいセキュリティ、プライバシー監査を導入しました。Google Cloud のさまざまなサービスは、これらとともに、SOC1、SOC2、SOC3 などの第三者機関監査を受けています。

国際的なデータ転送 : 従来のデータ保護指令と同様に、GDPR には国際データ転送メカニズムに関する規定も含まれています。G Suite と GCP は、現在の EU データ保護法制に対処するために Privacy Shield による認証を受けています。また、私たちのモデル契約条項は欧州データ保護当局のコンプライアンス認証を受けており、G Suite と GCP の利用契約は、データ保護指令が定める EU から域外へのデータ転送の法的枠組みの要件を満たしていることが確認されています。

データ エクスポート : GDPR は、個人データのエクスポートに関していくつかの要件を設けています。お客様が Google Cloud に格納するデータはお客様のものです。私たちは数年前からデータ処理条項にデータの可搬性に関する義務を記載しており、データ エクスポート機能をさらに堅牢なものにしていくための取り組みを続けていきます。

インシデントの通知 : GDPR には違反通知に関する要件が含まれていますが、G Suite と GCP では、かなり以前から Google のインシデント通知に関する義務を利用契約に明記しています。Google は数百人もの専任のセキュリティ エンジニアを抱えています。Google Cloud は、セキュリティ、インシデント対応、脅威の検出と防御に力を注いできましたし、これからもそれを続けていきます。

お客様がやるべきこと

Google Cloud の現在または将来のお客様は、今こそ GDPR 対応の準備に取りかかるときです。次のことを検討してください。

• 新しい法制の条項、特に従来のデータ保護指令との違いをよく理解するようにしましょう。新たな要件に応じてサービス プロバイダーとの間で新しい合意事項が必要になったり、新しい厳格な要件を満たすためのまったく新しい取り組みが必要になったりすることがありますので、注意してください。

• 処理対象の個人情報用として、更新済みの正確な管理簿を作ることを検討しましょう（Data Loss Prevention などの Google ツールが役に立ちます）。

• 現在の管理やプロセスが十分かどうかを再評価し、ギャップがある場合はそれを埋めるための計画を立ててください。

• 自社の規制コンプライアンス フレームワークの一部として Google Cloud のコンプライアンス機能が役に立つかどうかを検討しましょう。第三者機関による G Suite や Google Cloud Platform の監査、認証資料を十分に調査し、役立つ部分を探してください。

• 法制に関する指導の最新情報を把握し、状況に即して法律の専門家の指導を受けることを検討してください。

GDPR 準拠に向けて

私たちは、新しい法制に照らして必要とされる運用の変更に取り組むとともに、変更のプロセスを通じてお客様やパートナー、規制当局と密接に協力する所存です。

Google には、規制コンプライアンスの専門家、プロダクト マネージャ、エンジニア、法律顧問、公共政策の専門家からなるグローバルなチームがあり、GDPR の導入ガイダンスを注意深く追いかけていますので、それに従って利用契約の条項も改訂し続けていきます。

改訂したデータ処理条項は、近いうちにお客様にも公開します。また、GDPR 対応を準備するにあたって、お客様のデュー デリジェンスへの取り組みに役立つ追加資料も作成しています。

Google Cloud は、利用者である皆さんの信頼を得るために日々努力を重ねています。お客様の情報のプライバシーとセキュリティの保護は最優先事項の 1 つであり、コンプライアンスはこのミッションの中核をなすものです。私たちは、規制環境の変化に応じて能力の向上を図りながら、お客様の GDPR 準拠の取り組みをしっかりと支援していきます。