Google は、適用されるデータ保護法を遵守します

Google は常にコンプライアンスの徹底に取り組んでいます。それはお客様のビジネスで、コンプライアンスを実践しやすくなることを意味します。Google では第三者による定期的な監査を受け、コンプライアンス認証を維持しながら業界標準の契約による保護を提供したり、お客様のビジネスでのコンプライアンス強化に役立つツールや情報を公開したりしています。

Blue Privacy Shield(プライバシー シールド)

ユーザー プライバシーに関わる Google の取り組み

ユーザーの情報を安全に保護しプライバシーを守ることは、Google にとっての最優先事項です。Google は長年にわたり世界中のデータ保護機関と緊密に連携し、各機関の指針に沿った強固なプライバシー保護を実装してきました。

デジタル市場法 公的機関に問題を提起する

Google は、デジタル市場法が適用される契約または利用規約のいかなる条項(機密保持条項を含む)も、取引相手が法律または関連する公的機関の規制に反する問題を提起することを妨げるものとは解釈しません。これは、デジタル市場法で定義されている、ビジネス ユーザーとの契約において定められた合法的な申し立て処理メカニズムの運用を損なうものではありません。

データ保護法に対する Google の取り組み

プライバシーに関わる規制は変化しています。Google は、適用されるすべてのデータ保護法を遵守したサービスをユーザーが選択できるようにし、法律を遵守して個人データを使用する必要があることを認識しています。ここでは、Google がどのようにして特定のプライバシー法を遵守しているかについて説明します。

監査と認証

お客様が Google と共有するビジネスデータは適切に保護されますので、ご安心ください。Google サービスのセキュリティ管理については、ISO 標準や SSAE18 / ISAE 3402 などの国際規格に照らして定期的な監査を受けており、お客様のビジネスデータを責任を持って取り扱っていることをご確認いただけます。さらに米国を拠点とした認定資格を持つ第三者機関が、少なくとも 2 年おきに Google の管理の有効性を検証しています。

Blue シールドには Safer with Google が表示されています

ISO 27001(情報セキュリティ管理)

ISO 27017 は、特にクラウド サービスを対象として、ISO/IEC 27002 に基づく情報セキュリティ管理の方法を規定した国際規格です。Google は Google Cloud Platform サービスと Google Workspaceについて ISO 27017 認証を受けています。

ISO 27017(クラウド セキュリティ)

ISO 27017 は、特にクラウド サービスを対象として、ISO/IEC 27002 に基づく情報セキュリティ管理の方法を規定した国際規格です。Google は Google Cloud Platform サービスと Google Workspaceについて ISO 27017 認証を受けています。

ISO 27018(クラウド プライバシー)

ISO 27018 はパブリック クラウド サービスで個人情報(PII)を保護する方法を規定した国際規格です。Google は Google Cloud Platform サービスと Google Workspaceについて ISO 27018 認証を受けています。

ISO 27701(プライバシー情報管理)

ISO/IEC 27701 は、個人情報(PII)の収集と処理に焦点を当てた、プライバシーに関する国際標準です。 Google は Google Cloud Platform と Google Workspace について ISO 27701 認証を受けています。

SSAE16 / ISAE 3402

American Institute of Certified Public Accountants(AICPA: 米国公認会計士協会)の SOC(Service Organization Controls)2 と SOC 3 の各監査フレームワークは、セキュリティ、可用性、処理の整合性、機密性に関する Trust サービスの原則と基準を規定しています。Google では Google Cloud Platform と Google Workspace について、SOC 2 と SOC 3 の保証報告書を取得しています。SOC 3 報告書はダウンロードすることができます。また AdWords、AdSense、DoubleClick Campaign Manager、DoubleClick for Publishers、DoubleClick Ad Exchange については、SOC 1 Type 2 報告書を取得しています(この報告書は秘密保持契約の下で、お客様に提供しています)。

FedRAMP

FedRAMP は米国連邦政府が利用するクラウド製品やクラウド サービスを対象に、セキュリティ評価、認証、継続的モニタリングの標準規格を規定するプログラムです。Google は Google Workspace と App Engine を対象として、FedRAMP Authorization to Operate(ATO)を取得しています。

PCI DSS(Payment Card Industry Data Security Standard)

PCI DSS(Payment Card Industry Data Security Standard)は、ペイメント カードのデータを保存、処理、または転送する事業者を対象として策定された、技術上および運営上の要件です。独立した認定審査機関による審査を受け、最新版の PCI DSS に準拠していると認定された Google サービスは、Android Pay、Google App Engine、Google Compute Engine、Google Cloud Storage、Google Cloud Datastore、Google Cloud SQL、Google BigQuery、Google Cloud Dataproc、Google Cloud Dataflow、Google Container Engine、Google Container Registry、Google Cloud Bigtable です。

Googleの広告プラットフォーム事業のための利益相反・自社優遇行為に関するポリシー

1 目的

Googleは、デジタル広告において最高水準の顧客サービスを提供すべく尽力しています。この水準を維持するために、Googleは、公正な取引推進のための一般原則及びガイダンスを提供し、Googleのデジタル広告サービスから生ずる可能性がある潜在的な利益相反及び自社優遇の適切な管理を行うために本ポリシーを制定しました。移り変わりの激しいデジタル広告分野では、生じうる全ての状況を具体的に予見することは不可能であり、本ポリシーは、Google がお客様やその他の利害関係者を保護するための行動をとることを禁止するものではありません。本ポリシーは、日本の規制に準拠するために作成されています。

2 本ポリシーの対象となる取引の類型

本ポリシーに定める原則及びガイダンスは、特に、Googleが以下の者に対し並行してデジタル広告ソリューションを提供する場合を対象としています。

  • (1) パブリッシャー(すなわち、セルサイド)及び広告主(すなわち、バイサイド)
  • (2) サードパーティ・パブリッシャー及びGoogleが所有・運営する(「O&O」)広告枠

本ポリシーは、また、Googleの顧客間の潜在的な利益相反(例えば、あるパブリッシャー/広告主に関連して別のパブリッシャー/広告主のデータを使用する場合等)も対象としています。

3 本ポリシーの指針及びガイダンス

以下の指針及びガイドラインは、関連する状況において適切である限り、多くのGoogleのデジタル広告製品に適用されます。

(i) 包括的な指針

  • バイサイドの製品及びサービスは、セルサイドに中立であり、広告主の需要に応えることに重点を置くよう努めます。
  • セルサイドの製品及びサービスは、バイサイドに中立であり、パブリッシャーの需要に応えることに重点を置くよう努めます。
  • バイサイド及びセルサイドは、サードパーティと比較して自社を優遇することなく、独立して運営するべく努めます。
  • Googleは、該当製品の利用規約及びGoogleのプライバシーポリシーに従ってのみ、パブリッシャー及び広告主のデータ及び機密情報を使用します。
  • Googleは、バイサイドとセルサイドの営業チームの指揮命令系統を区別し、両者を分離するよう努めます。
  • Googleは、関連する従業員がこれらの指針及びガイダンスを理解し、遵守できるよう、十分な研修及びサポートを提供するよう努めます。

プラットフォームとして機能する製品(すなわち、Google及びサードパーティ両者の広告枠を相当量管理するもの)1には、以下のガイダンスが適用されます。

(ii) データアクセス及びインサイト

  • 顧客から提供された一切の秘密情報は、当該顧客とGoogleとの契約に従って取り扱われます。
  • Googleは、バイサイドチームが保有する商業上の機密情報について、機密情報の取扱いがサードパーティの競合事業者と比較してセルサイドチームを不当に利することとなる場合、セルサイドチームから分離するよう(その逆の場合も同様に分離するよう)努めます。
  • Googleは、 Googleのバイサイドのプラットフォームから提供される商業上の機密情報について、機密情報の取扱いがサードパーティの競合事業者と比較してGoogleに不当な優位性を提供することとなる場合、O&O広告枠の営業担当チームから分離するよう(その逆の場合も同様に分離するよう)努めます。

(iii) 営業目標、OKR(Objectives and Key Results)及び成功指標

  • Googleは、バイサイドの営業チーム又は顧客対応チームに関して、セルサイドに関連した営業目標、OKR又は成功指標を設定しないよう努めます(その逆の場合も同様)。
  • Googleは、バイサイド広告プラットフォームの営業チームに関して、O&O広告枠の購入を優先させるような営業目標、OKR又は成功指標を設定しないよう努めます。

(iv) チームの構成及び連絡系統

  • バイサイド及びセルサイドのチームが同じ顧客を共有している場合、Googleは、そのような顧客との会議は別々に行うよう努めます。

(v) 製品設計

  • Googleは、Googleのバイサイドのアドテクツールがセルサイドの商業上の機密情報へのアクセスから利益を上げないことを確保するよう努めます。ただし、当該情報がGoogleのセルサイドツールに統合されたサードパーティのバイサイドツールにも提供されている場合はこの限りではありません。(逆の場合も同様。)
  • Googleは、セルサイドの潜在的利益に基づきバイサイドの製品に関する決定を行わないよう(またその逆の場合も同様に)努めます。

(vi) 研修及びサポート

  • Googleは、該当する従業員がこれらのガイドラインをよく理解できるよう、研修プログラムを制定しています。
  • Googleはまた、これらのガイドラインの適用について疑問のある従業員に対し、専門の法的サポート及びコンプライアンスに関するサポートを提供しています。
1 Googleのアドテク製品が(項目第2に記載する)利益相反又は自社優遇の取扱いの重大なリスクを高めるものではない場合、残る一切のリスクは本ガイドラインの範囲外で適切に管理されます。