入門ガイド: Google Workspace でデジタル主権を実現する

※この投稿は米国時間 2025 年 7 月 11 日に、Google Workspace blog に投稿されたものの抄訳です。

国際プライバシー専門家協会（IAPP）によると、世界人口の 79.3% が現在、なんらかの形式の国内データプライバシー法の対象となっています。データ プライバシーと保護に関する法律の普及が進む一方で、多くの企業がグローバル化していることを考えると、すべての組織が明確に定義されたデジタル主権戦略を採用する必要性が浮き彫りになります。真の主権を達成するために必要な、複雑化する要求に対応するには、従来の生産性ソリューションでは苦労することがよくあります。Google Workspace は、安全性を重視した設計のインフラストラクチャ、技術的なデータアクセス制御、業界認定資格を、すべてクラウドネイティブ サービスとして提供することで、このプロセスを簡素化できます。カスタム ソフトウェアは必要ありません。

このブログ投稿では、コンプライアンスとプライバシーの責任者、および企業管理者が Workspace を使用してコンプライアンスの目標を達成し、規制要件を満たす方法について説明します。Workspace の Assured Controls により、お客様はデータ主権、ソフトウェア主権、運用主権の 3 つの柱にわたってデータを確実に管理できます。

データ主権戦略を確立する

1. 組織内で生成されるデータに適用される業界規制を理解することが大切です。Workspace は、業界の認証を幅広く取得しており、お客様がコンプライアンスと規制要件を満たすのに役立ちます。

• CCPA: 消費者に個人データに関する権利を付与するカリフォルニア州の法律。

• HIPAA: 患者の健康データの使用と開示に関する基準を定めた米国の連邦法。

• CSA STAR: クラウド サービス プロバイダのセキュリティ ポスチャーを認証する、世界的に認められたプログラム。

• ISO 27001、27017、27018、27701、9001、42001: 企業のプロダクト、サービス、プロセスが国際的なセキュリティとプライバシーの基準を満たしていることを第三者が検証したことを示す認証。

• SOC 1、2、3: 財務報告、セキュリティ、プライバシーに関する組織の管理体制を評価するレポート。

• FedRAMP High: 機密性の高い連邦データを管理するクラウド サービス プロバイダに対する米国で最も高いセキュリティ認証レベル。

• DoD IL4: 米国連邦機関と防衛請負業者が使用する管理対象非機密情報（CUI）とセンシティブ データを保護するためのセキュリティ基準。 

業界の規制に加えて、多くの組織が、運用主権のセクションで詳しく説明されているように、重複するデータの地域化要件に直面しています。

2. データ リージョンを使用して、組織のデータの地理的な保管場所と処理方法を管理できます。データ リージョンとして米国、EU、またはその両方を選択できるため、選択したリージョンにあるデータセンターでデータが保存および処理されるようになります。

3. クライアントサイド暗号化（CSE）を適用して、組織の最も機密性の高いデータをエンドツーエンドの暗号化で保護し、Google を含む第三者によるデータの復号を防止します。暗号鍵はお客様が所有し、Thales などの現地の鍵管理サービス パートナーを使用して、お客様が選択した国内に保存できます。

ソフトウェア主権戦略を確立する

1. データがポータブルであることを確認し、ブラック スワン イベントに対する復元力を高めます。Workspace は、SWIPO データ ポータビリティ行動規範の認定を受けています。これは、クラウド サービス プロバイダ（CSP）間のデータ ポータビリティを促進するために設計されたフレームワークです。これにより、お客様は SaaS と IaaS のクラウド環境間でデータを効果的に移行できます。

2. 国内でのデータ ローカリゼーションについては、ローカル データ ストレージを使用して Workspace データをエクスポートできます。これにより、Workspace データのコピーを、選択した国の Google Cloud Storage（GCS）バケットに保存できます。

3. データとシステムの相互運用性を考慮し、単一のベンダーに過度に依存しないようにします。オープン プロトコルに基づく Workspace API（REST や IMAP など）を利用しているため、他のシステムへのインテグレーションやデータフローが可能です。

運用主権戦略を確立する

1. Workspace が以下のコンプライアンス規制に準拠しているため、お客様の地域のデータ保護とプライバシーの要件を満たすことができます。

• GDPR: 個人データのプライバシーを保護する EU の法律

• EU の AI 規制法: AI システムの潜在的なリスクと影響度に基づいて AI システムの義務を定める法的な枠組み

2. アクセスの透明性ログを使用して、トラブルシューティングのために Google サポートがデータにアクセスしたすべてのやり取りを追跡できます。

3. アクセス管理で Google 担当者の物理的な場所（EU または米国）を選択することで、トラブルシューティングを目的としたリージョン外へのデータ転送を防止できます。

4. アクセス承認により、Google サポート担当者がトラブルシューティングのためにサポート データを閲覧する前に、お客様の明示的な承認をリクエストすることを必須にします。

詳細

今日の複雑な規制環境では、明確に定義されたデジタル主権戦略の必要性が最重要事項となっています。安全性を重視した設計のインフラストラクチャ、包括的なコンプライアンス管理、主要なデータ プライバシーおよびコンプライアンス規制の遵守を活用することで、Workspace は組織がデジタル主権を達成するのを支援すると同時に、労力と費用を最小限に抑えることができます。

Google のデジタル主権へのアプローチの詳細をご覧いただくか、無料トライアルをお試しください。

より技術的な内容については、電子書籍と、ゼロトラスト セキュリティの導入に関するブログ投稿をご覧ください。