データ転送に関する法的枠組み
発効日: 2022年2月10日
Google のサーバーは世界各地に設置されており、お客様の情報は、お客様がお住まいの国以外の場所にあるサーバーで処理されることもあります。 データ保護法令は国によって異なり、保護の厳格な国もあればそうでない国もあります。Google では、ユーザーの情報が処理される場所にかかわらず、プライバシー ポリシーに定める共通の保護対策を適用しています。また、下記の枠組みをはじめとしたデータ移転に関する特定の法的枠組みも遵守しています。
十分性認定
欧州委員会は、欧州経済領域(EEA)以外でも特定の国においては個人データが適切に保護されているという判断を下しました。つまり、特に安全保護対策を必要とすることなく、EU 加盟国、ノルウェー、リヒテンシュタイン、アイスランドから EEA 非加盟国にデータを移転できます。英国およびスイスも、同様の十分性認定を承認しています。 場合によって、Google は以下の十分性認定を適用します。
標準契約条項
標準契約条項(SCC)は当事者間の書面による約定であり、適切なデータ保護措置を提供することによって、EU 加盟国から他国へのデータ移転の原則として使用できます。SCC は欧州委員会により承認されており、SCC を使用する当事者側で変更することはできません(欧州委員会により採択された SCC については、こちら、こちら、およびこちらをご覧ください)。当該条項は、英国とスイス以外の国へのデータ移転についても承認されています。Google は、必要に応じてデータ移転に対し SCC を適用しています。SCC のコピーをご希望の場合は、ご連絡ください。
Google は、Google Workspace、Google Cloud Platform や、Google 広告をはじめとする広告サービス、測定サービスなど、ビジネス サービスのお客様との契約にも SCC を導入しています。詳しくは、privacy.google.com/businesses をご覧ください。
EU-U.S. Privacy Shield(EU-US プライバシー シールド)フレームワークおよび Swiss-U.S. Privacy Shield(Swiss-US プライバシー シールド)フレームワーク
Google のPrivacy Shield(プライバシー シールド)認定の記述にもあるとおり、Google は、欧州連合加盟国(EEA 加盟国を含む)、英国、およびスイスそれぞれにおける個人情報の収集、利用、および保持に関して米国商務省が規定する EU-U.S. Privacy Shield(EU-US プライバシー シールド)フレームワークおよび Swiss-U.S. Privacy Shield(Swiss-US プライバシー シールド)フレームワークを遵守しています。Google(Google LLC および Google LLC の米国内における完全子会社を含む(明示的に除外されている場合を除く))は、Privacy Shield(プライバシー シールド)原則の遵守について認定を取得しています。「ユーザー情報の共有」にも記載されているように、Google は、処理業務を委託する第三者との間で外部の第三者への転送に関する原則に基づきユーザーの個人情報を共有した場合でも、以後も当該個人情報すべてに責任を負います。Privacy Shield(プライバシー シールド)プログラムの詳細と Google が受けている認定については、Privacy Shield(プライバシー シールド) ウェブサイトをご覧ください。
プライバシー シールド認定に関連する Google のプライバシー保護の取り組みについてご不明な点がある場合は、Google にお問い合わせください。Google は、米国連邦取引委員会(FTC)の調査権および執行権の対象となります。また、お住まいの地域のデータ保護当局に申し立てを委任することもできます。その場合 Google は、当該機関と協力して解決にあたります。プライバシー シールド原則の付録 I で規定されているとおり、特定の状況において、プライバシー シールド フレームワークでは、他の手段では解決されない申し立てを解決するために、拘束力のある仲裁を行う権利を認めています。
2020 年 7 月 16 日をもって、Google では、EEA または英国から米国へのデータ転送において EU-U.S. Privacy Shield(EU-US プライバシー シールド)の利用を終了しました。