【企業コンプラインス】Google Cloud サービス におけるコンプライアンス準拠の確認手順

概要

データの保護とコンプライアンスの確保は業界に関係なく重要な項目であり、特にクラウドサービスを利用する企業にとって、適切なコンプライアンスの確認は不可欠です。

今回のブログでは、Google Cloudが提供するコンプライアンス準拠状況と、それを活用して企業がどのようにコンプライアンスを確認できるかについて詳しく解説します。

具体的な手順例を示しますので、自社のクラウド環境におけるコンプライアンス要件を満たすためのガイドラインの参考としてご覧いただければ幸いです。

Google Cloud が取得しているコンプライアンス

Google Cloudは、世界中の企業が安心して利用できるよう、多くの国際的な規制と標準に準拠しています。以下は、Google Cloudが取得している主要なコンプライアンス認証の一部です。

• ISO/IEC 27001: 情報セキュリティマネジメントの国際標準
• ISO/IEC 27017: クラウドサービスに特化した情報セキュリティの国際標準
• ISO/IEC 27018: クラウドにおける個人データ保護の国際標準
• SOC 1, SOC 2, SOC 3: 財務報告の信頼性やセキュリティ、可用性、処理の完全性、機密性、プライバシーに関する報告書
• GDPR: 欧州連合の一般データ保護規則に準拠
• HIPAA: 米国の医療情報の保護に関する規制に準拠</li>

これらの認証は、Google Cloudのサービスが高いセキュリティ基準を満たしていることを証明しています。
以下の公式ドキュメントを確認するとそれぞれの規制と標準を確認することができます。

コンプライアンスの確認手順

1.案件の要件定義

• 顧客のデータが存在するリージョン、および処理を行うリージョンを明確にする。
• 顧客の業界規制、データ保護に関する要件（GDPR, HIPAAなど）を明確にする。

2.Google Cloud のコンプライアンスリソースを参照

• Cloud コンプライアンスで規制と認証の確認
  • https://cloud.google.com/security/compliance/offerings?hl=ja
• フィルタ条件から国、地域、業種、重点分野、その他フィルタに必要事項を入力。
  • （例）Japan Asia Pacific Energy Security
• ISO 27001やISO 27017などを選択し、関連するコンプライアンス情報を取得する。
• 具体的な規制・法律のコンプライアンス情報の例
  • GDPR：https://cloud.google.com/security/gdpr?hl=ja
  • HIPAA：https://cloud.google.com/security/compliance/hipaa?hl=ja

3.案件におけるコンプライアンス要件の確認

• 2.で取得した情報に基づき、以下の項目を確認する。
  • 顧客のデータが存在するリージョン、および処理を行うリージョンにおいて、必要な認証を取得しているか
  • 顧客の業界規制、データ保護に関する要件を満たしているか

4.コンプライアンスレポートの取得と顧客への提示

• 顧客からの要求に応じて、コンプライアンスレポートマネージャー から必要なレポートを取得し、顧客に提示する。

5.定期的な確認

• コンプライアンス要件は変更される可能性があるため、定期的にGoogle Cloud のコンプライアンス情報を参照し、最新情報を確認する。

お客様の要件（企業コンプライアンス、使用リージョンとサービス、業界...etc）により、確認するコンプライアンス項目は変動するため、柔軟に対応することが求められます。

まとめ

今回は、Google Cloudを利用する際に重要なコンプライアンス確認の手順について解説しました。このガイドはあくまでも一例であり、具体的な要件に応じた個別の対応が必要です。

このフローを参考にすることで、企業がコンプライアンス準拠に対する理解と関心を深めるきっかけとなれば幸いです。