はじめに

DPIA とは、データ管理者が行うことを文書化したプロセスで、プロジェクトのプライバシーまたはデータ保護のリスクを記述、評価、管理し、プライバシーやデータ保護の義務に対する準拠を実証することを目的としています。この文脈における「プロジェクト」とは、たとえば、Google Workspace の使用を含む組織によるアウトソーシング、または教育、学習、コラボレーションをサポートする Google Workspace for Education の使用などを指します。

組織は、「データ管理者」として処理する個人データに関して、DPIA を完了する必要がある場合があります。GDPR で定義されている「データ管理者」という用語は、基本的に、個人データを処理する方法と目的を決定する組織を指します。Google では、お客様自身がデータ処理者として、他者の代理を務める場合があることを理解しています。しかし、このリソース センターは、主にクラウド サービスをデータ管理者として使用する組織を対象としています。

DPIA では以下の内容を説明する必要があります。

• 組織が個人データを処理する方法と理由、およびその処理を行う GDPR の法的根拠を特定する。

• 処理の必要性と合理性に関する評価（目的を達成するために組織が個人データを処理する必要がある理由）。これには、お客様の組織によるデータ処理をサポートするために使用している Google などのデータ処理者も含まれます。

• 特定した潜在的リスクと、それらのリスクに対処し軽減するために講じる措置。DPIA は、データ保護の原則に対するプロジェクトのコンプライアンスを評価し、示すための効果的な方法です。

個人データの処理が関与する新しいプロジェクトを開始する場合は、組織が DPIA を必要とするかどうかを早期に決定し、プロセスに慣れておくことが重要です。DPIA を早期に実施すると、プロジェクトに加える必要のある変更や、加えることのできる変更を特定しやすくなります。DPIA が必要である判断した場合は、個人データの処理を開始する前に DPIA を完了する必要があります。DPIA の必要性をご覧ください。

また、DPIA のレビューも継続的に行う必要があります。個人データの処理方法に大きな変更がある場合（新しいワークロードや、異なるデータセットの処理にクラウド サービスを使用する場合など）、リスクを再評価して、追加の措置を行いこれに対処する必要があるかどうかを判断する必要があります。

組織が GDPR の対象となるデータ管理者である場合、DPIA が必要かどうかの判断と DPIA の準備は組織が責任を負います。

組織にデータ保護オフィサー（DPO）がいる場合は、DPIA を実施する際にデータ保護オフィサー（DPO）の助言を求めることが重要です。また、関連するスキルや専門知識を持つ組織内の他のチームや個人（IT チーム、コンプライアンス チーム、法務チームなど）にサポートを依頼することもできます。

DPIA は、組織内で完了することも、外部のアドバイザーにアウトソーシングすることもできますが、その責任は引き続き組織が負います。

組織が GDPR の対象となるデータ管理者であり、プロジェクトに関連する個人データの処理が個人の権利と自由に「高いリスク」をもたらす可能性がある場合は、DPIA を実施する必要があります。処理の種類によっては常に「高リスク」とみなされ、GDPR の基では常に DPIA が必要になります。その他の種類の処理については、関連するリスクを客観的に評価する必要があります。

欧州データ保護会議は、GDPR における「高リスク」を示す可能性のある要因の 1 つとして、新しいテクノロジーの使用を挙げており、クラウド サービスに依存している多くの公共部門の処理業務には DPIA が必要になる可能性が高いとするガイダンスを公表しています。

詳しくは、以下の「処理が DPIA のトリガーを満たしているかどうかを判断する方法」のセクションをご覧ください。

以下の情報は、組織が DPIA を実施する必要があるかどうかの初期評価に役立ちます。ただ、お客様の国のデータ保護機関のガイダンスを確認し、独立した法的助言を求めることも推奨します。  

組織が GDPR の対象となるデータ処理者としてのみ行動している場合、GDPR では、組織による DPIA の実施を義務付けていませんが、コンプライアンスの観点では有効な手段です。

GDPR が適用される場合、一部の処理活動では常に DPIA が必要になります。これは、プロジェクトに次のいずれかが関与する場合に該当します。

• 個人の個人的側面の体系的かつ広範な評価（プロファイリングを含む）を伴う個人データの自動処理で、その処理に基づく意思決定が、その人物に対する法的（あるいは同等に重大な）影響につながる可能性がある。

たとえば、組織がクラウド サービスを使用して、従業員に関する個人データ（業績など）を自動的（例えば人の手を介さずに）に分析し、それが個人の雇用状況や給与に影響を与える可能性がある場合は、GDPR への準拠に DPIA が必要となる可能性が高くなります。

• 特殊なカテゴリのデータ、または有罪判決や犯罪行為に関するデータの大規模な処理。

たとえば、組織でクラウド ストレージを使用して個人の健康データ（医療記録や臨床検査結果など）の大規模なデータセットを保存している場合、GDPR への準拠に DPIA が必要となる可能性が高くなります。

• 一般公開されている領域の大規模かつ体系的なモニタリング。この文脈における一般公開されている領域とは、一般の人々全員に公開されている領域を指します。

たとえば、オフィスの施設の CCTV 映像をクラウドに保存するなど、CCTV システムをクラウド サービスと統合する場合は、GDPR への準拠に DPIA が必要となる可能性が高くなります。

注: 欧州の各データ保護機関は、GDPR に基づき DPIA を常に必要とする処理について追加の種類を定めています。お客様の国の追加要件をご確認ください。

上記のセクションで説明した処理では、GDPR が適用される場合、常に DPIA が必要です。しかし、組織の処理がこれらのカテゴリに当てはまらない場合でも、組織の処理が GDPR に基づく個人の権利と自由に対して「高リスク」になる可能性があるかどうかを判断する必要があります。

GDPR が適用される場合、その判断を下すためには、組織のデータ処理におけるリスクを客観的に評価する必要があります。評価では、処理の性質、範囲、コンテキスト、目的を考慮する必要があります。言い換えれば、個人データを使って何をしているか、なぜ行っているか、およびそれに関連する状況すべてです。

GDPR では、処理に新しいテクノロジーの使用が関わる場合、DPIA がより必要とされる可能性が高くなります。これは必ずしも、新しいテクノロジーが関与するすべての処理にデフォルトで DPIA が必要になることを意味しません。ただし、革新的なテクノロジーを使用している場合、あるいは既存のテクノロジーを新しい手法で応用して使用している場合は、その利用も評価の一環として検討する必要があります。クラウド サービスのお客様には、リスク評価を準備する際に、処理において Google Cloud のテクノロジーが果たしている役割について特に注意を払うことをおすすめします。

欧州データ保護委員会（EDPB）は、お客様の処理が GDPR で「高リスク」になる可能性があるかどうかを判断するためのガイダンスを用意しています。このガイダンスには、GDPR が適用される場合に「高リスク」であることを示す 9 つの要素が含まれています。

1.データの処理で、個人のプロファイリング、評価、スコア付け（信用照会スコアなど）が関与する。

2.個人データを使用して、個人に対して法的あるいは同等に重大な影響を及ぼす自動化された決定を下す（オンラインでの求人や、オンラインのクレジット申請の拒否など）。

3.個人を体系的にモニタリングする（例: CCTV、位置追跡など）。

4. 特殊なカテゴリのデータ、あるいはきわめて個人的な性質を持つ個人データ（医療記録など）を処理する。

5. 個人データを大規模に処理する。このガイダンスでは「大規模」が定義されていないため、これはご自身で判断していただくことになります。

6. 異なるデータセットを照合または組み合わせる（サードパーティから別のデータセットを取得して既存のデータセットを拡充する場合など）

7. 弱い立場にある個人（子供、患者など）に関するデータを処理する。

8. 新しい技術的または組織的ソリューションを適用する、あるいは革新的手法でテクノロジーを活用する（例: AI）

9. データ処理により、個人が権利を行使したり、サービスや契約を使用したりすることが制限される（たとえば、個人への融資を拒否する）

一般的に、組織の処理が上記のリスク要因の 2 つ以上を満たしている場合は、GDPR に基づく DPIA を実施する必要が生じる可能性が高くなります。

決定に関連するもう一つの要素は、組織が公的機関であるか、または公共部門（行政機関、地方自治体など）の内部にある個人データの処理に関与しているかです。EDPB は、データの機密性や処理の規模などの理由から、クラウド サービスに依存する多くの公的機関の処理業務は、GDPR の下で「高リスク」になる可能性が高いとするガイダンスを公表しています。

欧州の一部のデータ保護機関は、DPIA が必要かどうかの判断に役立つリスク評価ツールを開発しています。そのため、GDPR が適用される場合は、機関のウェブサイトでガイダンスを確認することを強くおすすめします。

組織はデータ管理者として、DPIA の必要性を判断し、DPIA を準備する責任を負います。Google がお客様に代わって DPIA を実施することはできませんが、お客様がクラウド サービスの使用に関して DPIA を完了する際に役立つ情報やリソースを提供することで支援します。

DPIA は通常、いくつかの主要なフェーズで構成されています。各フェーズについては、このセクションで詳しく説明します。

1.データ処理の説明

2.必要性と比例性の評価

3.リスクとその管理方法の説明

4. 追加の情報の収集

5. 結論の文書化

DPIA には決まった形式はありません。一部のデータ保護機関は、使用できるテンプレートを公開しています。また、Google Cloud が提供するテンプレートを使用することもできます（Google による DPIA のサポート方法をご覧ください）。

テンプレートを使用するか独自の DPIA 形式を作成するかにかかわらず、DPIA には以下を含める必要があります。

• 組織が個人データを処理する方法と理由、および GDPR の法的根拠（同意、契約の履行、正当な利益など）。

• 処理の必要性と比例性の評価（目的を達成するために個人データを処理する必要がある理由）。

• 特定した潜在的リスクと、それらのリスクに対処し軽減するために講じる措置。これは、データ保護の原則に対するプロジェクトのコンプライアンスを評価し、示すための効果的な方法です。

また、DPIA の対象となるデータ処理活動を定期的にモニタリングし、必要に応じて更新を組み込むことも、DPIA のライフサイクル全体における重要な部分です。データ処理活動に影響を与える重要な変更が発生した場合は、DPIA の該当部分を適宜見直し、更新することをおすすめします。

1. データ処理の説明

組織のデータ処理について具体的な説明が求められます。その際に、以下のことを自問することをおすすめします。

• プロジェクトで使用される個人データの種類（名前、連絡先情報、財務情報、メールアドレスなど）

• 従業員、顧客、生徒など、個人データは誰に関するものか（これはデータ主体とも呼ばれます）。

• 個人データのソースは何か？データの収集は個人から行うか、第三者から行うか。

• どのような目的でデータを使用するか？言い換えれば、なぜそのデータを処理するのか？

• データをどのように使用するか？どのように保存するか？どれくらいの期間保管しますか？

• 組織内の誰が個人データにアクセスできるか？

• データを組織外の人と共有するか？

説明には、図やフローチャートなどの視覚的な資料を含めることもできます。

2. 必要性と比例性の評価 

必要性と合理性は欧州のデータ保護法の重要な原則であり、欧州以外の法律にも関連する可能性があります。

GDPR が適用される場合に処理の必要性と合理性を実証するには、組織が GDPR に基づくデータ保護義務をどのように遵守する予定であるかを示すことが求められます。また、評価が以下の点を考慮していることを示す必要があります。

• 同意、契約の履行、正当な利益など、このデータを処理することについての GDPR 第 6 条の法的根拠は何か？正当な利益が根拠である場合には、その利益について説明する必要があります。

• データ処理は目的を達成するために必要か？個人データを処理しなければ、この目的を達成できないことに納得できるか？

• 必要以上に個人データを処理しないようにするために何を行うか？データの仮名化または匿名化を検討したか？

•  個人データを処理していることを関係者の個人にどのように伝え、GDPR で要求される情報（プライバシー ポリシーや通知など）をどのように提供するか。

• データ主体に、個人データの使用に関するデータ主題の権利（個人データにアクセスする権利、個人データの処理に異議を申し立てる権利など）を通知しているか？クラウド サービスでデータ主体の権利がどのようにサポートされるかについて詳しくは、Google による DPIA のサポート方法をご覧ください。

• 個人データに最大保持期間を設定しているか？これはどのようにして正当化されるか、また、データが適切なタイミンツで確実に削除されるようにするために、どのような対策を講じることができるか。

• 処理をサポートするためにどのデータ処理者を使用しているか？Google Cloud はデータ処理者の一つになるため、このことを DPIA に文書化する必要があります。Google とその復処理者について詳しくは、Google による DPIA のサポートをご覧ください。

• 十分なデータ保護（欧州委員会の決定に基づく）を提供していない国において、欧州経済領域外に拠点を置く第三者（外部企業や自社の子会社など）とデータを共有する場合、そうした第三国においてデータを保護するためにどのような安全保護対策を講じていますか？データ移転に関する Google Cloud の安全保護対策の詳細については、データ保護原則の遵守を支援する Google の取り組みをご覧ください。

• データ処理がデータ保護機関によって承認された行動規範に準拠している場合は、このことを考慮する必要があります。Google の EU クラウド行動規範の遵守については、Google による DPIA のサポート方法をご覧ください。

3. リスクとその管理方法の説明

DPIA では、組織のデータ処理によって生じる可能性のある個人の権利と自由に対するリスクを特定する必要があります。

こうしたリスクを特定することは、DPIA（データ処理活動の実際の影響の評価）の重要な部分です。その影響とリスクは、組織の活動、個人データの性質、関係者によって異なる可能性が高いです。

データ保護の影響とリスクを評価する方法は多数あり、GDPR は特定のアプローチの使用を要求しているわけではありません。欧州のデータ保護機関の中には、組織がこの評価を実施する際に役立つ資料やツールを公開しているところもあります。

以下に、評価の一部として組み込まれる可能性の高い要素を示します。

A) どのような潜在的なリスクを考慮すべきか

DPIA では、プロジェクトによって生じる可能性のある悪影響を考慮する必要があります。個人データを処理される人の立場に立って、その人が何を心配するかについて考えてみると良いでしょう。

潜在的なリスクの例:

• 個人が想定していない形での個人データの使用。

• 個人が自分の個人データを管理できなくなる。

• 差別や偏見。

• 個人情報の盗難や不正行為のリスクが高まる。

• 人々の私生活の侵害。

• 機密性の喪失。

• 仮名化されたデータの再識別。

• 機密情報や立場の弱い人（子供など）の情報の暴露。

• 個人に関して不正確な情報を収集したり、不正確な推測をしたりすること。

評価には、風評被害、規制措置、社会的信用の喪失といったリスクなど、組織として独自のリスクを含めることもできます。

また、潜在的な危害の可能性と重大度の両方を考慮に入れて、リスクのレベルを考慮します。たとえば、リスクは非常に深刻であるが実際に発生する可能性が非常に低い場合もあれば、リスクは比較的小さいが発生する可能性は高い場合もあります。数値のリスクスコアを割り当てるか、赤/黄色/緑の「信号機」アプローチを使用すると役に立ちます。

B) リスクを軽減するためにどのような手順を踏めばよいか

リスクのレベルを評価したら、そのリスクを軽減するために実行できる手順を特定する必要があります。軽減策の例としては、次のようなものが挙げられます。

• 一部の個人データを収集しないことを決定する。

• データの仮名化。

• 可能な場合には、データセットから立場の弱い個人を除外する。

• リスクに応じた適切なセキュリティ・レベルを確保するための対策を実施する。

• スタッフ向けの内部データ処理ポリシーを導入する。

• 個人データの使用方法に関するスタッフのトレーニングを行う。

• 追加の措置を講じて、組織が個人データをどのように取り扱うのかについて個人に通知する。

• 個人データがどのように使用されるかについて、各個人が選択できるようにする。

すべてのリスクを完全に排除する必要はありません。しかし、GDPR が適用される場合は、その義務に従って、全体的なリスクを許容できるレベルまで低減できる必要があります。残存リスクを評価する際はには、個人に対するプラスの側面も含め、プロジェクトのプラスの側面を考慮することができます。残存リスクが「高」のままの場合は、プロジェクトを続行しないか、あるいは続行する前にデータ保護機関に相談する必要があります。

4. 追加の情報の収集

組織にデータ保護オフィサー（DPO）が任命されており、GDPR の対象となっている場合、DPIA を準備する際に DPO へ助言を求めることが GDPR により義務付けられています。また、組織内の他の関係者（例: IT、コンプライアンス、法務チーム）に助言を求めることもできます。

プロジェクトの性質やそれに伴うリスクによっては、処理されるデータを持つ所有者の個人から意見を集めることもできます。この意見は、プロジェクトや場所に応じてさまざまな形式になると考えられます。たとえば、従業員が抱える疑問や懸念に答えるために従業員と対話する、組織内の従業員代表者（労働組合や委員会など）と相談する、エンドユーザー（小売組織の場合は顧客）の意見を調べるために市場調査を実施するなどが考えられます。

5. 結論の文書化

評価が完了したら、DPIA に次の情報を記録する必要があります。

• 特定された、計画的な個人データ処理のリスク。

• これらのリスクを軽減するために講じる対策。

• 残存リスクがどの程度残っているか、およびそのリスクのレベル。

• データ保護機関に相談するなど、追加の手順が必要かどうか。

GDPR が適用され、特定されたリスクは十分に軽減されていると DPIA が結論付けた場合、組織のデータ保護機関に相談せずに続行できます。

しかし、GDPR が適用され、リスク軽減策を講じたとしても、データ処理が「高リスク」をもたらすと DPIA が判断した場合は、処理を開始する前にデータ保護機関に相談する必要があります。協議しない場合、プロジェクトを続行しないことを決定できます。

Google では、Google Workspace（Google Workspace for Education を含む）用と Google Cloud 用の 2 つの DPIA テンプレートを用意しています。

• Google Workspace 向け DPIA テンプレート

• Google Cloud 向け DPIA テンプレート

これらのテンプレートを、DPIA の検討、計画、実施に役立てることができます。クラウド サービスに関連する使用を念頭に置いて設計されていますが、クラウド サービスで起こりうるすべてのユースケースを想定しているわけではなく、またそのようなことはできません。そのため、汎用的なものであり、提案される出発点として扱う必要があります。また、記載されている情報は、法的な助言を行うものではありません。DPIA（GDPR や他のプライバシー法で義務付けられている場合）の完了は、データ管理者としての責任であり、クラウド サービスの計画されたユースケースに固有のものである必要があることに留意ください。

GDPR では、DPIA に決まった形式はありません。データ保護機関によっては、独自の DPIA テンプレートを公開しているので、データ保護機関が推奨する形式も確認することをおすすめします。

関連するデータ処理についてお客様が説明できるよう、クラウド サービスに関する情報を以下に示します。また、クラウド サービスに関するその他の資料へのリンクも提供されているため、DPIA のこのセクションに記入する際にこれを役立てることができます。

データ保護影響評価の対象となる個人データ

DPIA では、お客様がデータ管理者として処理する個人データのうち、Cloud のデータ処理に関する追加条項（以下「CDPA」）の「お客様の個人データ」の定義に該当するものを対象とする必要があります。

CDPA の付録 1 に規定されているとおり、クラウド サービスを介して処理される個人データのカテゴリには、顧客またはエンドユーザーによって（またはその指示により）クラウド サービスを介して Google に提供される個人に関連するあらゆるデータが含まれます。

実際には、次のような内容が含まれます。

• 個人の詳細（名前、住所、連絡先情報、年齢、生年月日、性別、身体的特徴など、データ主体やその個人的特徴を特定する情報を含む）。

• データ主体の雇用に関する情報を含む雇用情報。雇用およびキャリア履歴、採用および解雇の詳細、出席記録、業績評価、研修記録、セキュリティ記録など。

• 財務情報（収入、給与、資産と投資、支払い、信用力、ローン、福利厚生、補助金、保険の詳細、年金情報など、データ主体の財務状況に関する情報を含む）。

• 教育とトレーニングの詳細（学歴、資格、スキル、トレーニング記録、専門知識、学生としての記録など、データ主体の教育や専門的なトレーニングに関連する情報を含む）。

• 公的機関が識別子とした発行した個人の情報（パスポート番号、国民保険番号、身分証明書番号、運転免許証の詳細など）。

• 家族、ライフスタイル、社会的状況。これには、データ主体の家族、およびデータ主体のライフスタイルと社会的状況に関連する情報（家族および他の世帯員の詳細、習慣、住宅、旅行の詳細、レジャー活動、および慈善団体やボランティア団体の加入など）が含まれます。

• 組織が管理しているその他の個人データ。

お客様の組織によるクラウド サービスの使用目的に応じて、個人データには GDPR または他のプライバシー法で定義されている特別なカテゴリーの個人データが含まれることがあります。たとえば、人種や民族的出自、政治的見解、宗教的または哲学的信念、労働組合への加入状況を明らかにするデータ、遺伝データ、生体認証データ（識別目的で使用されるもの）、健康、性生活、性的指向に関するデータなどです。

Google がデータ処理者としてサービスデータを処理する場合の追加情報

Google によるお客様の個人データの処理とは別に、Google はクラウド サービスを提供するときにサービスデータも処理します。Google Cloud のプライバシーに関するお知らせにおいて、サービスデータとは、クラウド サービスの提供または管理中に Google が収集または生成する個人情報を意味し、お客様データは含まれません。

Google Workspace for Education　の利用者は、Googleとの間で契約条件（Google Workspace for Education Service Data Addendum）を締結することができます。この契約条件では、利用者はサービスデータの管理者となり、Googleをサービスデータの処理者として指定します。ただし、限定的なサービスデータの処理については、Googleが管理者として引き続き行います。該当のお客様は、このサブセクションと同じ見出しを持つこのリソース センターの部分を使用して、DPIA でのサービス データの使用に対処することができます。

クラウド サービスの使用に関与する処理について、どのように説明しますか。

処理活動について説明する際には、クラウド サービスの一部として利用可能なサービスと機能の説明を読んでこれを役立てることができます。

• Google Workspace と Google Workspace for Education は、生産性向上とコラボレーションのためのツールです。サービスについては、Google Workspace サービスの概要をご覧ください（関連するエディション / SKU をご確認ください）。これらのサービスの詳細については、こちら（Google Workspace）およびこちら（Google Workspace for Education）をご覧ください。

• Google Cloud は、150 を超えるクラウド コンピューティング、データ分析、ML プロダクトで構成されています。Google Cloud のお客様が利用できるサービスについては、Google Cloud サービスの概要をご覧ください。これらのサービスについて詳しくは、こちらをご覧ください。

なお、本クラウド サービスは、YouTube や検索など、Google が提供している一般ユーザー向けサービスからは独立した別のサービスです。クラウド サービスは、商用利用（サービス改善、広告、AI モデルのトレーニングなど）を目的として、お客様のデータ（お客様の個人データを含む）をこれらの消費者サービスと共有することはありません。

クラウド サービスの使用は、お客様のデータ処理の目的にとってどのような意味を持ちますか？

データ保護影響評価では、組織が（データ管理者として）データ処理者に個人データを処理することを指示する目的を説明する必要があります。

組織がクラウド サービスを使用する場合は、そうした目的に沿ってお客様の個人データを処理するように Google Cloud に委託します。特に、お客様の組織（データ管理者）は、以下の目的のためにのみ、該当するクラウド サービス契約（CDPA を含む）に従ってお客様の個人データを処理することを Google Cloud（データ処理者）に指示します。

• お客様のクラウド サービス契約に基づいて提供されるクラウド サービスと技術サポート サービスを提供、保護、および監視するため。

• お客様による、関連するクラウド サービスとテクニカル サポート サービスの利用を通じて、または CDPA に基づいてお客様が提供し、Google により承認されたその他の書面による指示によって、詳細に指定されます。

Google は、かかる処理に関して、CDPA に記載されているお客様の指示に従います。

Google がデータ処理者としてサービスデータを処理する場合の追加情報

Google Workspace for Education のお客様であり、Google Workspace for Education サービスデータ追加条項に同意することを選択した場合、サービスデータに関して Google Cloud がデータ処理者として従う指示は、この追加条項で規定されます。

クラウド サービス内の個人データには、どのような第三者がアクセスできますか？

データ保護影響評価では、個人データを共有する第三者をすべて示す必要があります。

• クラウド サービスを使用する場合、CDPA で規定される Google の契約主体と顧客の個人データを共有することになりますが、これが、データの処理者になります。正しいエンティティはこちらで確認できます。

• Google Cloud は、技術サポート サービス、データセンターの運用、サービス メンテナンスなど、クラウド サービスに関連する限定的なアクティビティを実行するために復処理者も使用します。お客様が Google の CDPA に同意すると、これらの第三者の選任を承認したことになります。

注: Google Workspace（Google Workspace for Education を含む）の復処理者のリスト（および実行するアクティビティに関する情報）についてはこちらから確認できます。Google Cloud　についてはこちらから確認できます。

復処理者を使用する場合、Google は以下のことを保証することを約束します。

• 各復処理者は、Google との間で締結されたクラウド サービス契約（CDPA を含む）に従って顧客データ（個人データを含む）にアクセスできます。ただし、下請けされた限定的なアクティビティの範囲内に限られます。

• CDPA に記載されているデータ保護義務は、GDPR または他のプライバシー法（該当する場合）で要求されるとおり、復処理者に課されます。

• 新しい復処理者が顧客データ（顧客の個人データを含む）の処理を開始する前に、復処理者の名前と所在地、復処理者が行うアクティビティなどがお客様に事前に通知されます。

Google がデータ処理者としてサービスデータを処理する場合の追加情報

Google Workspace for Education のお客様であり、Google Workspace for Education サービスデータ追加条項に同意することを選択した場合、顧客の個人データの復処理者は、サービスデータの復処理者にもなります。また、この追加条項で規定されるサービスデータに関する同様のコミットメントの対象となります。

データの保存と処理が行われる場所

Google はそのパブリック・クラウド・サービスのグローバルな性質を考慮して、顧客データ（顧客の個人データを含む）を保存および処理する施設をすべてのリージョンでグローバルに維持しています。

Google とその復処理者が施設を維持している場所の詳細については、以下をご覧ください。

Google Workspace（Google Workspace for Education を含む）:

• Google の施設

• 復処理者の施設

Google Cloud:

• Google の施設

• 復処理者の施設

顧客データ（顧客の個人データを含む）の処理に使用されるインフラストラクチャ（ハードウェアやネットワークなど）の詳細については、セキュリティ インフラストラクチャ設計の概要および以下をご覧ください。

• Google Workspace（Google Workspace for Education を含む）については、Google Workspace のセキュリティに関するホワイトペーパーをご覧ください。

• Google Cloud の場合: Google セキュリティの概要。

また Google は、顧客データの保管場所について、さらなる選択肢や管理機能を求めるお客様もいることを理解しています。

• Google Cloud の場合: こちらに記載されているサービスを構成して、顧客データを特定のリージョンまたはマルチリージョンに、Cloud のロケーション ページに記載されているように保存するように構成できます。このコミットメントは、Google Cloud サービス固有の規約の「データのロケーション」セクションに反映されています。さらに、組織のポリシーを設定して、サポート対象サービスの新しいリソースの物理的な場所を制限することもできます。

• Google Workspace（Google Workspace for Education を含む）: 対象となるエディションのお客様は、データ リージョン機能を使用してデータ リージョン（ヨーロッパなど）を選択し、対象の顧客データ（バックアップを含む）を保存できます。この機能は現在、こちらに記載されている Google Workspace のコアサービスとデータに適用されています（これは Google Workspace サービス固有の利用規約の「データ リージョン」セクションに反映されています）。

Google がデータ処理者としてサービスデータを処理する場合の追加情報

Google Workspace for Education サービスデータ追加条項に同意された Google Workspace for Education のお客様について、「復処理者」の施設に関する該当情報は、追加条項の関連リンクでご確認ください。

Google Cloud は顧客データをどのくらいの期間保持しますか？

Google のお客様が早期にデータを削除しない限り、Google Cloud は以下の期間顧客データを処理します。

• CDPA の期間中（クラウド サービスの提供が終了した時点で終了します）。

• 契約期間終了後、データが削除されるまでの一定期間。CDPA に記載されているとおり、最大 30 日間の復元期間の後、Google は合理的に可能な限り速やかに、かつ最長でも 180 日以内にデータを削除します。契約期間終了後もデータの保持を希望する場合は、データ エクスポート ツールなどの組み込み機能を使用して、契約期間の終了前にデータをお客様に戻すように Google に指示できます。

また、お客様は、利用中のクラウド サービスの組み込み機能を使用して、契約期間中いつでも顧客データを削除できます。クラウド サービスの機能を使用してお客様のデータを削除する場合、Google は CDPA に記載されているとおり、合理的に実行可能な限り速やかに、最長でも 180 日以内にそのデータを削除します。

保持と削除の詳細については、以下をご覧ください。

• Google Workspace（Google Workspace for Education を含む）については、組織からユーザーを削除すると 組織の Google アカウントを削除するに関するヘルプセンターの記事をご覧ください。

• Google Cloud については、Google Cloud でのデータの削除ページをご覧ください。

Google またはその復処理者のシステムの外部に保存することを選択したデータのコピーについては、お客様の責任となります。

Google がデータ処理者としてサービスデータを処理する場合の追加情報

Google Workspace for Education サービスデータ追加条項に同意された Google Workspace for Education のお客様に関して、サービスデータに関する Google の保持と削除に関する義務はこの追加条項に記載されています。

データ処理の必要性と比例性を評価する際には、データ保護原則の遵守に関するさまざまな側面を DPIA でカバーする必要があります。

お客様の組織はデータ管理者としてコンプライアンスを実証する責任がありますが、クラウド サービスは、お客様の評価をサポートする安全保護対策、設備、機能を提供します。

データ最小化の取り組みを Google からどのようにサポートできますか？

お客様の組織が、その定められた目的の達成に必要な最小限の個人データのみを処理するように実装した技術的および組織的な対策に加えて、Google Cloud では、クラウド サービスで処理される個人データの量の削減に役立つ特定の設備、機能、リソースを利用できるようにする場合があります。例として、センシティブ データの匿名化と仮名化に関する Google Cloud ドキュメントをご覧ください。

データ主体の権利の遵守に関して Google はどのようにサポートしますか？

お客様の組織は、個人データの管理者として、個人データに関する権利（アクセス、消去、ポータビリティの権利など）を通知し、これらの権利を行使する個人からの要求に対応する責任があります。

お客様の組織が Google の義務を遵守できるように、Google は、クラウド サービスの諸機能と整合性を保ちながら、お客様が顧客データ（お客様の個人データを含む）の削除、アクセス、エクスポート、修正、または処理の制限を行えるようにします。

Google のクラウドデータ保護チームが、顧客の個人データに関連するリクエストを個人から受け取った場合で、お客様の組織であると特定された場合、Google はその個人に対して、リクエストをお客様に提出するようにアドバイスします。Google はリクエストを受領したことを速やかにお客様に通知します。これ以外にお客様の許可なく対応することはありません。

Google Workspace（Google Workspace for Education を含む）については、Google Workspace データ主体リクエスト（DSR）ガイドに、データ主体からのリクエストに対応するためにこれらのサービスをどのように使用できるかに関する詳細情報が記載されています。

Google がデータ処理者としてサービスデータを処理する場合の追加情報

Google Workspace for Education サービスデータ追加条項に同意された Google Workspace for Education のお客様の場合、Google は、Google が処理者として処理するサービスデータについても、このセクションで概説される義務を担います。

データの越境移転に対してどのような安全保護対策がとられていますか？

GDPR が適用される場合、お客様の組織（データ管理者）と Google（データ処理者）の両者は、顧客の個人データ（および、Google Workspace for Education サービスデータ追加条項に同意した Google Workspace for Education のお客様のサービスデータ）を欧州経済領域外のいわゆる「第三国」に転送する場合に、必ず GDPR のデータ転送要件を遵守する責任を負います。

当該データが GDPR が適用される米国との間で送受信される場合、現在、Google は代替移転ソリューションとして EU-U.S. データ プライバシー フレームワーク（DPF）に依拠しています（https://cloud.google.com/terms/alternative-transfer-solution を参照）。DPF は、欧州委員会による十分性認定を反映したものです。

GDPR の対象となるこのようなデータの他の移転については、十分性認定の対象外であるため、欧州標準契約条項に対する Google Cloud の取り組みのホワイトペーパーで説明されているとおり、EU 委員会が承認した標準契約条項（SCC）が適用されます。

利用者個人データの国際的な移転に関する Google の契約上の義務は、CDPA に規定されています。

また、GDPR や他の欧州のデータ保護法が適用される場合の国際的なデータ移転を保護するために Google が導入している技術、法律、組織的な安全保護対策についても提供しています。

• Google Workspace（Google Workspace for Education を含む）については、Google Workspace および Google Workspace for Education の国際的なデータ移転に関する安全保護対策のホワイトペーパーをご覧ください。

• Google Cloud については、Google Cloud を使用した国際的なデータ転送に対する安全保護対策のホワイトペーパーをご覧ください。

Google は承認された行動規範を遵守していますか？

Google は、クラウド サービスに関して EU GDPR クラウド行動規範を遵守しています。

Cloud 行動規範は、クラウド プロバイダが GDPR を遵守するデータ処理者として適切な技術的および組織的な措置を講じることを保証する方法を示すための仕組みです。対象となるクラウド サービスを確認するには、こちらをご覧ください。

Cloud 行動規範は、欧州データ保護会議の肯定的な意見に基づき、2021 年 5 月 20 日にベルギーのデータ保護機関によって承認されました。

組織の処理に伴うリスクを評価したら、DPIA では、それらのリスクを軽減する計画を説明する必要があります。これは通常、関連するリスクに適した技術的および組織的な対策（データ セキュリティ対策など）を組織が講じていることを意味します。

クラウド サービスを使用する場合、顧客データの処理で以下を活用できるようになります。

• Google が導入、維持する、業界をリードするセキュリティ対策。

• 任意で使用できる、クラウド サービスのユーザーが利用できる追加のセキュリティ リソース、機能、および/またはコントロール。

• 技術的、組織的、物理的な対策に関する Google の契約上の義務。

Google がデータ処理者としてサービスデータを処理する場合の追加情報

Google Workspace for Education サービスデータ追加条項に同意された Google Workspace for Education のお客様の場合、これには、Google が処理者として処理するサービスデータのセキュリティ対策に関する同等の契約上の義務も含まれます。

組織が CDPA を締結する場合、お客様は、これらの対策が、データ処理に伴うリスクを考慮したうえで適切なレベルのセキュリティを提供することに同意するものとします。

Google はクラウド サービスに対してどのようなセキュリティ対策を行っていますか？

クラウドのイノベーターとして、Google はクラウドでのセキュリティについて理解しています。Google は、セキュリティを業務の最優先事項としており、Google のクラウド サービスは多くのオンプレミスのアプローチよりも優れたセキュリティを提供できるように設計されています。

Google の組織体制、文化、研修の優先順位、雇用プロセスにおいても、セキュリティは重要視されています。セキュリティは、Google のデータセンターの設計と、データセンターで採用される技術の基準です。これは Google の日常業務の中心であり、顧客データとサービスデータの両方を処理する際に優先されるものです。これは、Google が維持する認証と監査レポートにも影響します。

Google のグローバル規模の技術インフラストラクチャが、クラウド サービスの安全なデプロイ、サービス間の安全な通信、インターネットを介した顧客との安全でプライベートな通信、管理者による安全な運用を実現するためにどのように設計されているかの詳細については、Google のセキュリティ インフラストラクチャ設計の概要をご覧ください。

また、Google が維持する技術的対策や組織的対策に関するその他の情報も以下でご覧いただけます。

• Google Workspace（Google Workspace for Education を含む）については、Google Workspace のセキュリティに関するホワイトペーパーをご覧ください。

• Google Cloud については、Google のセキュリティの概要と Google Cloud のセキュリティに関するホワイトペーパーをご覧ください。

クラウド サービスに関する Google の技術および組織的セキュリティ対策に関するその他のリソースは、セキュリティ ベスト プラクティス センターおよびプライバシー リソース センターでご覧いただけます。

クラウド サービスの使用に対して、どのようなセキュリティ管理をオプションとして適用できますか。

また、Google は、クラウド サービスのお客様がセキュリティとコンプライアンスのニーズを満たすのに役立つ追加のセキュリティ管理をオプションとして提供しています。これらは、管理コンソール、暗号化ソリューション、ロギングおよびモニタリング ツール、Identity and Access Management など、お客様がオプションで使用できるセキュリティ リソース、機能、コントロールです。

組織がクラウド サービス、特徴、機能を構成する方法の詳細について、以下のリソースもご確認いただけます。

• Google Workspace（ Google Workspace for Education を含む）については、Google Workspace および Google Workspace for Education データ保護実装ガイドにて、関連するサービスと設定をどのように使用、構成できるかについての情報を確認できます。

• Google Cloud については、Google Cloud アーキテクチャ フレームワークにてベスト プラクティスと実装に関する推奨事項が説明されています。お客様は、ビジネスニーズに合わせて Google Cloud のデプロイを設計する際にこれを役立てることができます。

セキュリティとコンプライアンスのニーズを満たすのに役立つその他のリソースをセキュリティ ベスト プラクティス センターとプライバシー リソース センターにご用意しています。

Google が担う契約上の義務やその他の約束は何ですか？

CDPA は、個人データを含む顧客データに関する Google の契約上の義務を規定しています。Google は、偶発的または違法な破壊、紛失、改変、不正な開示またはアクセスから顧客データを保護するための、技術、組織、物理的対策を実装し、維持することに尽力します。

これらの対策については、CDPA の付録 2 で詳しく説明されています。これには、データセンターとネットワークのセキュリティ、アクセスとサイトの管理、データ セキュリティ、従業員のセキュリティ、復処理者のセキュリティに関するコミットメントが含まれます。

また、Google Cloud の企業プライバシーに対するコミットメントでは、Google のクラウド サービスを利用するお客様のデータを Google がどのように保護するかについて、より一般的な用語で説明しています。

1.お客様のデータはお客様が管理: お客様のデータはお客様のものであり、Google の所有物ではありません。お客様のデータは常に契約に基づいた方法で処理されます。

2.Google が広告のターゲット設定にお客様のデータを使用することは決してない: 広告プロファイルの作成や Google 広告サービスの改善のために、顧客データを処理することはありません。

3.データの収集および使用に関する透明性の確保: Google は透明性の確保、GDPR などの規制の遵守、プライバシー保護のベスト プラクティスの実施に取り組んでいます。

4. Google がお客様データやサービスデータを販売することはない: Google がお客様データやサービスデータを第三者に販売することはありません。

5. セキュリティとプライバシーは Google のすべてのサービスの主な設計基準: お客様のプライバシーを優先するということは、お客様から預かったデータを保護するということです。Google のプロダクトには、堅牢なセキュリティ技術を組み込んでいます。

Google がデータ処理者としてサービスデータを処理する場合の追加情報

Google Workspace for Education のお客様であり、Google Workspace for Education サービスデータ追加条項に同意することを選択した場合、Google が処理者として処理するサービス データに関する契約上の義務は、この追加条項で規定されます。

Google は法執行機からの要求にどのように対応していますか？

Google は、法執行機関や政府からのデータアクセスへの要請に対し、国際的なベスト プラクティスの要件を満たす、透明性のある徹底したプロセスを整備しました。Google Cloud では、さまざまな状況を考慮しながら、法的要件、顧客契約、プライバシー ポリシーに基づき、個別に対応を行っています。

このような要請に関して Google Cloud が従うプロセスは、クラウド顧客データに関する政府からのリクエストのホワイトペーパーに記載されています。

また、Google の透明性レポートでは、適用される法律で認められている場合は、法執行機関や政府機関が Enterprise Cloud 顧客情報に対して行われたリクエストの件数を開示しています。

Google Cloud はコンプライアンスをどのように実証していますか？

クラウド サービスは、独立した機関によるセキュリティ、プライバシー、コンプライアンス統制の監査を定期的に受けており、それらを遵守していることを示す認証、証明書、監査レポートを取得しています。Compliance Reports Manager を使用すると、さまざまな認証（ISO 27001、27017、27018、27701 など）、監査レポート（SOC 1、SOC 2、SOC 3 など）、その他の関連リソースに直接アクセスしてダウンロードできます。

さらに、サービスデータの保護に対する Google の継続的な取り組みを示すため、ISO 27001、27017、27018、および 27701 認証の範囲を拡大し、Google が該当する Google Workspace サービスのデータ処理者として機能するサービスデータも対象にしました。

さらに、前述のとおり、Google は EU GDPR クラウド行動規範を遵守しています。これは、クラウド プロバイダが GDPR に基づくデータ処理者として適切な技術的および組織的な措置を実装するために十分な保証をどのように提供しているかを示すためのメカニズムです。