Google Workspace の顧客データのプライバシーとセキュリティ保護に関する Google の取り組み
Google Cloud Japan Team
※この投稿は米国時間 2021 年 3 月 2 日に、Google Cloud blog に投稿されたものの抄訳です。
Google Cloud では、お客様のデータのプライバシーの安全の確保と保護を第一に考えて、Google Workspace for Education などの Google Workspace サービスやソリューションを設計しています。Google のクラウドは、欧州の組織によるセキュリティやプライバシーに関する厳しい要件や期待に応えられる設計になっています。欧州各国のお客様からの Google Workspace に対する信頼が厚いのはこのためです。
また Google では、革新的なソリューションへのアクセス、コストの削減やセキュリティの向上、優れた復元力を提供できる Google のサービスが、欧州各国の公共部門の組織や学校でより多く採用されるよう取り組んでいます。
Google では、お客様のデータを保護する規制およびコンプライアンスの要件に対応しています。Google は、プライバシー、セキュリティ、コンプライアンスに対し精力的に取り組んでいることをお客様や関係者の皆様にご理解いただくためにも、Google のサービスや取り組みの透明性を保つことが何よりも重要であると考えています。
欧州のお客様をはじめ、規制当局や政策担当者などの関係者と緊密に連携し、より高いレベルの透明性を確保しながら信頼を築き上げることができれば、それぞれの組織で求められるセキュリティやプライバシーを的確に把握でき、得られたフィードバックを今後のサービスやツールの構築に役立てることができます。Google では、お客様やユーザーがそれぞれのコンプライアンス要件やプライバシーの設定に合わせて Google のサービスを構成しやすいように、得られたフィードバックを活用し一般公開ドキュメントの質の向上を図っています。
フィードバックを取得する方法の一つに、データ保護影響評価(DPIA)と呼ばれるプロセスがあります。新しい技術を取り入れる過程で、DPIA を受けることが標準的なプロセスとなっているところが多く、公的部門だけでなく民間部門の組織も、プロバイダによる個人データの取り扱いについて的確に理解するためにこのプロセスを取り入れています。最近では、オランダ政府が Google Workspace に関する DPIA を公表したのに加え、オランダ文部科学省と法務省(MoJ)が Google Workspace および Google Workspace for Education に対して実施した DPIA の結果をまとめた文書を国会に提出しました。
Google は、DPIA でオランダ法務省に幅広く協力しています。Google のプライバシーとセキュリティに関する取り組みをオランダの公共部門に披露する機会が与えられたことを嬉しく思います。欧州各国の公共部門の組織のパートナーとして、こうした問題に真剣に取り組んでいきます。Google では、DPIA で提起された懸念事項に対処するため、すでに多くの取り組みを開始し、オランダ政府とも引き続き協議を重ねていきますが、今ここで、以下の点に関する Google の立場を明確にしておきたいと存じます。
第一に、Google が広告のターゲット設定に顧客データやサービスデータ(使用状況など)を使用することはありません。Google が登録者に提供している、Gmail、Google Meet、Google Chat などのツールのプレミアム バージョンである、Workspace や Workspace for Education コアサービスに広告を表示することはありません。また、広告プロファイルの作成や Google 広告サービスの改善を目的として、顧客データやサービスデータを処理することはありません。
第二に、データを管理するのはお客様です。顧客データを所有するのはお客様であり、Google ではありません。Google はお客様との契約に基づいた手順に沿って、Cloud の顧客データを処理しているだけです。
第三に、Google は透明性、GDPR などの規制の遵守、プライバシー保護のベスト プラクティスに取り組んでいます。Google では、透明性の向上を目指す継続的な取り組みの一環として、2020 年に Cloud サービスの利用における個人データの取り扱いに関する公開ドキュメントを拡充しました。Google では、お客様が透明性の向上を求めていることを承知しており、これに対して Google が講じた対策を、Google Cloud のプライバシーに関するお知らせという形で発表しています。この中では、Google Workspace を提供し管理するうえで、Google が収集または生成する情報などのサービスデータをどのように処理するかについて説明しています。この情報は、セキュリティとサービス可用性の確保に必要不可欠なものです。Google では、透明性には常に改善の余地があると認識し、Google の透明性向上に対する取り組みについて、Google Cloud のプライバシーに関するお知らせの中で、今回のフィードバックと併せてより具体的に提示していこうと考えています。
また、Google Workspace データ保護実装ガイドを更新したほか、新たに発行した Google Workspace for Education データ保護実装ガイドには、Workspace コアサービスやその他のサービスにおけるデータの処理方法に関する情報とともに、プライバシーのベスト プラクティスに関する新セクションを追加しています。
DPIA への取り組みにおける Google の目標は、未解決の問題に関して、お客様や規制当局、政策担当者に対し完全な透明性を保持することです。今後数か月にわたり、オランダ政府と結果についての協議を続け、最終的には、オランダ国内外の公共部門の組織にとって選択の幅が広がるような合意に達することができるよう努めます。