Google Workspace、オランダの DPIA / DTIA 承認と新機能により、EU の公共機関の安全な選択肢となる

※この投稿は米国時間 2024 年 7 月 3 日に、Google Workspace blog に投稿されたものの抄訳です。

Google は、ユーザーのプライバシーとセキュリティに対する確固としたコミットメントを最も重要視しています。テクノロジー、規制環境、そしてユーザーの期待が変わっても、ユーザーデータの保護に対する Google の献身的な姿勢は変わりません。Gemini で AI の新時代を切り開くにあたり、Google はユーザーがプライバシーについて安全、安心だと感じ、自信を持って利用できるよう、これまで以上に尽力しています。世界中のお客様、プライバシー規制機関、政策立案者と積極的に協力しながら、サイバー セキュリティの脅威の一歩先を進んできた Google の確かな実績は、Google ならこのコミットメントを十分に果たせることを示しています。プライバシーとセキュリティは Google のすべての活動の中心にあり続けています。これは、組織から Google Workspace と Google Workspace for Education が選ばれる主な理由のひとつです。以下の最新情報は、お客様とユーザーに対するこのコミットメントを守るための Google の継続的な取り組みを示しています。

1. Google Meet に対するオランダの DTIA: 厳格なデータ移転影響評価（DTIA）を実施した後、オランダ法務省とオランダ教育省は、Google Meet が合格したことをオランダ議会で公表しました。これにより、オランダの公共機関と教育機関で Google Meet の使用が許可され、Google Workspace に対する信頼が再確認されました。お客様は、通信のプライバシーと安全性が確保されているという安心感を持って利用できます。

2. Google Workspace に対するオランダの DPIA: DTIA の承認は、昨年オランダの認証機関や代理機関の SLM、SURF、SIVON と幅広く協力して得た、Google Workspace と Google Workspace for Education に対するデータ保護影響評価（DPIA）の承認を踏まえて出されたものです。これにより、お客様のプライバシーと GDPR 遵守に対する Google の献身的な取り組みが明確化されました。DPIA の最終段階である DTIA の結論が出たことで、お客様は安心して Google Workspace を利用できるようになりました。

• 「SIVON とともに達成した結果を誇りに思います。Google は、オランダの教育現場で生徒や児童のプライバシーを保護する能力があることを示しました」SURF の CEO 兼取締役会長である Jet de Ranitz 氏はこのように話しています。

• オランダ法務省は議会への書簡の中で「これは、GDPR を遵守した Google Workspace の使用が可能であることを意味する」と結論付けています¹。

Google は、オランダ政府および教育機関とのパートナーシップに感謝しています。今後も、オランダ、EU、そして世界中の組織のコンプライアンスの実現に対する取り組みを支援していきます。

お客様のコンプライアンス実現への取り組みに対する支援

1. すべてのお客様の DPIA をサポート: Google は、DPIA の実施が複雑な作業であることを実際に体験しています。包括的な DPIA クラウド リソース センターのようなリソースを拡充することで、すべてのお客様が DPIA に対応できるよう、引き続き全力でサポートしていきます。さらに、北欧諸国では対面式ワークショップで多くのお客様とお会いして、お客様が Google Workspace の DPIA を実施できるよう支援しています。

2. データ処理者の役割への投資: お客様のための最高水準のデータ保護に対応するため、Google は安全性を重視して設計されたインフラストラクチャに引き続き多額の投資を行っています。また、4 つの ISO 認証（27001、27017、27018、27701）を拡大し、Google Workspace（Gemini for Workspace を含む）のデータ処理者としてのサービスデータの取り扱いを含めた、新しいデータ処理者コミットメントを公開しています。さらに、管理対象の ChromeOS デバイス用、および管理対象の ChromeOS デバイス上で動作する Chrome ブラウザ用のデータ処理者モードも開発しました。これは現在、欧州の数か国で利用可能で、今年後半にはさらに多くの市場に拡大される予定です。

3. プライバシー管理とセキュリティ管理の強化: Google は、データ保存場所やデータへのアクセス権を持つユーザーをより厳密に管理したい組織のために、高度なデータ所在地管理機能とデータ保護管理機能も提供しています。

• データ リージョンとアクセス管理により、お客様はデータを保存して処理するリージョンを選択できるだけでなく、サポートを提供するためにデータへのアクセスを許可する Google サポートチームの物理的なロケーションも選択できます。これにより、以前の「フォローザサン」サポートモデルにおけるデータ転送リスクが軽減されます。

• さらに、お客様はクライアントサイド暗号化（CSE）を有効にすることで、Gmail を含む Google Workspace の「特別カテゴリの個人データ」へのベンダーや外国政府のアクセスを防止できます。

強化されたこれらの機能は、お客様が Google Workspace を使用する際に機密性の高いデータを確実に管理できるようにするという、Google のコミットメントを示しています。

安全な基盤としての Google Workspace

Google は、ユーザーのプライバシーは信頼の基盤の上に築かれるものであり、その信頼はユーザーデータを保護するセキュリティ対策があって初めて強固なものになると考えています。最近のサイバーセキュリティのトレンドでは、米国サイバー安全審査委員会（CSRB）の最近の報告書に記載されているように、政府の支援を受けた脅威アクターによる継続的な侵害など、脅威の状況に警戒すべき進化が見られています。

2023 年に成功した侵入の 65% は、セキュリティ上の脆弱性を利用した不正プログラム、フィッシング、盗まれた認証情報が端緒になっています。攻撃者はネットワークにアクセスすると、通常は機密データを盗んだり、破壊的なランサムウェアをデプロイしたりします。さらには、システム全体を乗っ取り、そのシステムのプライバシーを無意味なものにしてしまうことさえあります。このような脅威は、お客様のデータを危険にさらし、企業、政府、社会の広範囲にわたって影響を及ぼします。組織がこうした課題に対処できるよう、Google が実施した Google Workspace の最近の機能強化をご紹介します。

1. 「より安全な働き方」プログラム: 従来型プロバイダによる重大なサイバーセキュリティ インシデントを踏まえ、Google は企業や政府機関に「より安全な働き方」を提供しています。実際、米国サイバー安全審査委員会（CSRB）が最近公開した報告書では、このような各種サイバー攻撃に対する Google のシステムやプロダクトを保護する取り組みが評価2 されています。

• 「Google は、できる限りステートフル トークンを使用するように ID システムを構築し直しました。ステートフル トークンでは、発行時にすべての認証情報に固有識別子が割り当てられ、受け取った認証情報が Google が発行したものであるという不可逆的な証拠としてデータベースに記録されます。Google はまた、できる限り完全に自動化された鍵のローテーションを導入し、ステートレス トークンの検証期間を制限することによって、脅威アクターが有効な鍵を見つけて取得できる時間を短縮しました。Google は、これらの ID システムを保護するために、ゼロトラスト ネットワークと Fast IDentity Online（FIDO）準拠のハードウェア ベースの 2 要素認証（2FA）の導入など、インフラストラクチャ セキュリティの包括的な見直しも実施しました。」

• さらに、Google によるゼロトラスト ネットワーク（BeyondCorp と BeyondProd）と FIDO 準拠のハードウェア格納型 2 要素認証（2FA）の実装は、インフラストラクチャのセキュリティを強化するものとして広く認められています。Google Workspace を利用している組織では、セキュリティ インシデントが平均 40% 減少し、保険料の最大 50% の節約が可能となっています3。Google は現在、より安全なメール プラットフォームやコラボレーション プラットフォームへの移行を希望する組織に対し、「より安全な働き方」プログラムを通じて特別価格や移行サポートを提供しています。

2. AI によるセキュリティ イノベーション: Gmail の高度な AI 防御機能が、ユーザーの受信トレイに届く迷惑メール、フィッシング、マルウェアの 99.9% 以上を自動的にブロックします。大規模言語モデルの実装により、全ユーザーに対する Gmail の迷惑メールはさらに 20% 削減されました。こうした AI の進歩により、ユーザーから報告された迷惑メールを一日にこれまでの 1,000 倍評価できるようになりました。これは、ユーザーのために 1,000 倍の数の人が迷惑メールと闘っているようなものです。

• さらに、大規模言語モデルを活用した AI 分類でドキュメントを分類できるようになりました。これにより、ユーザーはプライバシーを保護するカスタムモデルを使用して機密データを自動的に識別、分類し、保護できるようになります。

生成 AI の時代が進化し続ける中、プライバシーとセキュリティに対する Google のコミットメントは揺るぎません。Google がこれまで取り組んできた、そして今後も取り組み続ける基本的な仕事は、働き方を変革するだけでなく、データ保護とプライバシーを高い水準で支える AI ツールの構築にも貢献しています。

- Google Workspace、シニア プロダクト マネージャー David Lee
- EMEA、クラウド規制関連業務責任者 Fenitra Ravelomanantsoa

^{1 出典: オランダ法務大臣の代理として Tweedekamer.nl で公開された「Stand van zaken Google Workspace」というタイトルのオランダ議会への書簡（オランダ語原文からの引用を英訳）。}

^{2 出典: CSRB、2023 年夏の Microsoft Exchange Online への侵入に関するレビュー、ページ 20（CSRB、2024 年）。}

^{3 出典: At-Bay - 「Ranking Email Security Solutions: A Data Analysis of Cyber Insurance Claims」2023 年 2 月}