Chrome Enterprise は、お客様に管理方法、選択権、透明性を提供し、信頼を構築することを重視しています。以下のデータ保護に関する Google のコミットメントでは、Chrome Enterprise のお客様のプライバシーを保護する方法と、コンプライアンスを維持しながら Google プロダクトをご利用いただくための施策についてご説明します。
お客様のプライバシーが最優先
Google は、お客様の信頼を獲得して維持するためには、プライバシーが重要であることを理解しています。Chrome Enterprise が業界最先端のプロダクト機能を開発し、お客様自身がデータを管理してデータアクセスの日時と方法を可視化できるようにしているのはそれが理由です。
Google は、お客様のデータをどのように先見的に保護し、プライバシーを優先させるかを明確にしています。基本的な前提となるのは、Chrome Enterprise のお客様ご自身がお客様データを所有するということです。Google は、厳格なセキュリティ対策を実施してデータを保護し、お客様が状況に応じてデータを管理するためのツールと機能を提供しています。サービスを通じて生成されたサービス データも、すべて同様に保護されます。サービス データ自体も、セキュリティと可用性の確保に必要不可欠です。
Google は、Chrome Enterprise Core と Chrome Enterprise Premium の両プロダクトに関する Chrome Enterprise データ保護コミットメントを作成し、Google の企業向けソリューションのお客様に Google が負うビジネス保護の責任全般を説明しています。
これらのコミットメントは、Chrome データ処理の修正条項、Cloud のデータ処理に関する追加条項、Google プライバシー ポリシーで Google がお客様に提供する、厳格なプライバシーに関するコミットメントを基盤にしています。
Chrome Enterprise データ保護コミットメント
お客様の組織による Chrome Enterprise クラウド管理サービス Core または Premium のご利用に関するコミットメントは、以下のとおりです。
お客様のデータはお客様がコントロール
お客様データはお客様のものであり、Google のものではありません。お客様のデータは常に契約に基づいた方法で処理されます。
Google が広告のターゲット設定やパーソナライズにお客様のデータを使用することはありません
広告プロファイルの作成や Google 広告サービスの改善を目的として、Google がお客様データを処理することはありません。
Google はデータの収集と使用について透明性を確保しています
Google は透明性の確保、一般データ保護規則(GDPR)などの規制の遵守、プライバシー保護のベスト プラクティスの実践に取り組んでいます。
Google がお客様の個人情報を販売することはありません
Google がお客様の個人情報を販売することはありません。また、カリフォルニア州消費者プライバシー法(CCPA)で定義された意味で、お客様の個人情報を「共有」することもありません。
セキュリティとプライバシーは、Google のすべてのプロダクトの主要な設計基準です
お客様のプライバシーを重視するということは、お客様から預かったデータを保護するということです。Google のプロダクトには、非常に強固なセキュリティ技術を組み込んでいます。
グローバルなプライバシー コンプライアンスの実現
Chrome Enterprise は世界中で使用されており、Google のプライバシー機能は、お客様の多様なニーズを満たすように設計されています。Google は世界各国の規制を継続的に調査し、遵守に努めています。地域ごとに独自の要件もありますが、ほとんどの要件は共通プライバシー原則に沿ったものです。Google は、Chrome Enterprise のお客様のデータを取り扱うにあたり、これらの原則を重視しています。
すべて開く | すべて閉じる
データの最小化
Google は、サービスの機能、品質、安全性に必要な、関連のある個人データのみを収集します。
保管制限
個人データは、厳密に必要になる期間に限り保持されます。
目的制限
個人データは、具体的かつ明示的、そして正当な目的のために収集され、それらの目的に反する方法で処理されることはありません。
整合性
個人データは、適切なセキュリティが確保される方法で処理されます。たとえば、不正または違法な処理、偶発的な損失、破壊、損傷に対して、適切な技術的または組織的対策を用いた保護を実施します。
機密保持
可能な場合には、主に仮名化 ID を使用して、データが個人に結び付けられる合理的可能性がないよう対策を講じます。また、ID が厳密に必要ではなくなった場合にも、その都度、データセットの継続的な評価、ID の除去、匿名化を実施しています。
データ主体の権利
Google は、お客様とお客様のユーザーが Google のシステムに送信したデータへのアクセス、データの訂正、データ処理の制限、データの削除を行う機能をお客様に提供しています。
可用性、完全性、復元力
Google のプラットフォームの構成要素は、冗長性に優れた設計になっています。Google のデータセンターは地理的に分散されているため、ある地域で自然災害や局地的な停電などが発生した場合でも、グローバルなプロダクトへの影響は最小限に抑えられます。ハードウェア、ソフトウェア、ネットワークの障害が発生しても、サービスは自動的かつ瞬時に別の施設に切り替わるため、オペレーションは中断されずに継続されます。冗長性の高いインフラストラクチャにより、お客様をデータ損失から保護します。
機器のテストとセキュリティ
Google はバーコードとアセットタグを使用して、取得から設置、廃止、破壊まで、データセンターの機器のステータスと場所を追跡しています。ライフサイクル中に性能試験に合格しなかったコンポーネントは、インベントリから除外され、廃棄されます。Google のハードドライブは、フルディスク暗号化(FDE)やドライブロックなどのテクノロジーを活用して保存データを保護します。
災害復旧テスト
Google は、インフラストラクチャ チームとアプリケーション チームがコミュニケーション計画やフェイルオーバー シナリオ、オペレーション移行、その他の緊急対策を共通した手順で実施できるように、災害復旧テストを毎年実施しています。災害復旧訓練に参加するすべてのチームがテスト計画を策定し、テストの結果と以後に向けた改善点を文書化する事後検証を行います。
暗号化
Google が処理または収集するデータには、Chrome の標準的な暗号化手法が適用されます。転送中のデータは TLS / SSL 証明書で保護され、保存データは
さまざまなレイヤで暗号化されます。
アクセス制御
Google 社員のアクセス権やアクセスレベルは、職務や役割に基づいて付与されており、責務に必要なアクセス権が、最小権限および必知事項の原則に則して与えられています。それ以外のアクセス権を得るには、Google のセキュリティ ポリシーに従い、所定の手続きでデータまたはシステムのオーナー、管理者、他のエクゼクティブへのリクエストを行い、承認を得る必要があります。Chrome Enterprise のシステムとインフラストラクチャ コンポーネントを収容するデータセンターには、物理的なアクセス制限が適用されており、24 時間 365 日体制でオンサイトのセキュリティ担当者、警備員が常駐しているほか、アクセス カード、生体認証メカニズム、物理的なロック、施設の内外をモニタリングするビデオカメラなどの防護策がとられています。
インシデント管理
Google にはお客様のデータのセキュリティとプライバシーを担当する専任のセキュリティ チームが存在しており、全世界におけるセキュリティ管理を毎日 24 時間、年中無休体制で実施しています。このチームのメンバーは常時、インシデント関連の通知を受け、継続的に緊急事態への対応に当たっています。インシデント対応ポリシーが規定され、重要なインシデントを解決するための手順が文書化されています。発生したインシデントの情報は、将来のインシデントを防止するために使用されているほか、情報セキュリティ トレーニングで例として取り上げられることもあります。Google のインシデント管理プロセスと対応ワークフローは文書化されています。Google のインシデント管理プロセスは、Google の ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 27001、
SOC 2 プログラムの一部として定期的に検証されており、Google のお客様と規制当局には、Google のセキュリティ、プライバシー、コンプライアンスの管理についての独立機関による検証結果が提供されています。
脆弱性の管理
Google は、市販ツールと社内で開発された専用のツール、自動および手動による集中的なペネトレーション テスト、品質保証プロセス、ソフトウェア セキュリティ レビュー、外部監査を組み合わせ、ソフトウェアの脆弱性をスキャンしています。また、Google は広範なセキュリティ研究コミュニティとも連携しています。
生成 AI とプライバシー
Chrome Enterprise には、ユーザーデータを保護しプライバシーを優先する方法についてまとめた、堅牢なプライバシーに対するコミットメントがあります。生成 AI によってこうしたコミットメントが変わることはなく、むしろその重要性が再認識されています。
Google は、Chrome Enterprise AI サービスを利用されるお客様のプライバシーを保護し、お客様のプライバシー コンプライアンスの取り組みを支援するよう努めています。