Google 関連サービス利用時の共通ガイドライン

Google 関連サービス利用時の共通ガイドライン

目次

1. 本ガイドラインの対象

2. 契約方法

3. 利用方法

(１)サービスの利用開始と通知 (２)ドメインの取得と設定

(３)利用者（ユーザー）アカウントの作成 (４)パスワードの設定と管理

(５)各サービスの運用（教材の格納、動画のアップロード等） (６)サービスの利用終了時の対応

4. インシデント発生時の対応

5. 留意事項

6. 問い合わせ先

１. 本ガイドラインの対象

・JICA が実施する研修員受入事業において、JICA と研修委託契約を締結した研修受託機関が契約または利用する Google 関連サービス

 Google Workspace（有償 Business Plus プランまたは Business Standard プラン）、You Tube、Google Classroom のすべてあるいはいずれか

※Google Workspace (旧 G Suite)は、複数のアプリケーションで構成されるが、フォーム、                                                                                ドライブ、ドキュメント、スプレッドシート、スライド、Jamboard、Meet、Gmail、管理コンソールが利用可能。

・対象期間 2020 年 10 月～2023 年 3 月 31 日

・アカウント管理者：研修受託機関（JICA が契約する場合は JICA）

・アカウント利用者：研修受託機関、コースリーダー、国内機関研修担当、研修員、研修監理員

※ガイドラインは状況に合わせて適宜更新することとします。

２.契約方法

・Google Workspace の利用契約においては、原則 Google Workspace の有償版

（Business Plus プランまたは Business Standard プラン）を選択し、サポートを含めた販売パートナーとコースごとの契約とします。ただし、サポートを含めた販売パートナーとの契約でない形ですでに有料版 Google Workspace を利用中、かつ今後

もサポートを必要としない場合、販売パートナーとの契約に切り替える必要はありません。

・YouTube のみでの利用の場合、個別の契約はありませんが、本ガイドラインに準拠した運用をお願いいたします。

・Google Classroom については、データの格納先は管理者の Google Drive であり、前述の Google Workspace の調達が前提となります。Google Workspace の契約のオプションに含めることで、一定のサポートを受けられます。

3．利用方法

（1）サービスの利用開始と通知

・研修委託契約の締結後、サービスの契約を行う前に、本ガイドラインが定める情報セキュリティ対策について合意する打合簿（別紙 1）を作成します。その際に、サービ                                                                                  ス提供事業者と運用支援事業者1について、担当者・連絡先等の詳細を国内機関担当者へ通知します。

（2）ドメインの取得と設定

・Google Workspace で利用するためには、独自ドメイン（メールアドレスでいう@の後、xx.xxx xxx.xx など）を初期設定時に取得し、所有権の確認等の作業を行います。Google のサービスではビジネスで使用するドメイン使用も可能となっていますが、本利用ガイドラインでは、以下のルールに準じてドメイン管理会社からドメインを新規に購入し、設定することとします。

＜ルール＞

ドメインのなりすまし等により悪用されないよう下記の対応を徹底する。

 ドメイン名は、JICA や研修受託機関を想起できないドメイン名とする。(「jica」など、組織名称などの文字列を含まない。)

 原則、Google Workspace を設定・運用する目的のみに使用し、研修関係者以外に公表しない。

 JICA サブドメイン（xx.xxxx.xx.xx）等を利用しないことから JICA を騙る偽サイト等と誤認識されないよう研修参加者等に周知徹底する。

 利用終了した独自ドメインについては悪用されないよう適切に廃棄の上、関係者にも周知する2。外部向けのセミナーなどで研修コース用 GoogleWorkspace サイトへ

1 「２．契約方法」に記載の原則どおり販売パートナーとの契約を行う場合、販売パートナーを指します。また Google 公式 Website から直接申し込みを行いサポート体制は別途対応するなど例外的な場合は、契約先とサポート体制とその提供元となります。。

2（参考）「ドメイン名の廃止に関する注意」（xxxxx://xxxx.xx/xxxxxxxxxxxx/xxxxxxxxx/）（出典：

（株）日本レジストリサービス（JPRS））

のリンクをドメイン名がわかる形でウェブサイト等に掲載していた場合には、それらも確実に削除する。

（3）管理者・利用者（ユーザー）アカウントの作成

・研修 1 コースに対して、管理者アカウントは一つとします。複数名でのアカウントの共用、複数コースでの併用、またJICA 研修以外での利用は不可とします。

・管理者アカウントは、利用者アカウントの作成・削除、パスワードの設定と監査ログの管理、教材データの格納、その他、利用者のサポートで管理者権限を必要とすることのみに用います。

・JICA 担当者より提供される研修員名簿をもとに、研修員分と研修監理員、必要に応じてコースリーダーの利用者アカウントを管理コンソールで作成します。

・利用者アカウント作成後、JICA 担当者に利用者リスト3を共有します。JICA 国内機関から各研修員にアカウント情報を通知します。

（4）パスワードの設定/管理とログ管理

・管理者アカウントは、可能な限りログインする端末を制限し、ID とパスワードの他、 2 段階認証を設定します。不正なログインを防ぐため、パスワードの⾧さは英数字大小

8 文字以上として、3 カ月毎に変更します。

・利用者アカウントは、管理者が管理コンソールで登録する際、管理者アカウント同様に、⾧さ（英数字大小 8 文字以上）、有効期限（3 ヵ月）のパスワード要件を適用し、アカウントを保護します。利用者のパスワードは、管理コンソールより安全度を確認することができます。なお、研修員アカウントも 2 段階認証の導入が必要です。ただし、研修員の IT リテラシーも様々であることから、設定前に JICA 研修担当者へご相談ください。

・次に、不審なアクセスを早期発見するため、予めシステム定義のアラートをオンにしておく設定を行ってください。

xxxxx://xxxxxxx.xxxxxx.xxx/x/xxxxxx/0000000

・また、GoogleWorkspace の契約期間中を対象に、管理コンソールより監査ログを CSVで書き出し、保管することとします。（不正アクセスがないことの記録及び万一インシデントが発生した際の調査等のため。）

＜詳細＞

 1 回で書き出しできる上限は現在 10 万行とのことから、どの程度の期間でデータがそのレベルに達するかを（アクセス数により異なるため）概ね想定し、確認しながら、書き出すタイミングを調整してください。

3 対象者の種類（研修受託機関、研修員、研修監理員等）、氏名（研修員の場合は研修員番号、国名も）及びアカウント名の一覧。

xxxxx://xxxxxxx.xxxxxx.xxx/x/xxxxxx/0000000

xxxxx://xxxxxxx.xxxxxx.xxx/x/xxxxxx/0000000

 監査ログの種類は多数ありますが、特に選択せず全て書き出し保存するか、または対象を絞る場合は、「管理コンソール」「グループ」「ログイン」「ドライブ」

「ユーザーアカウント」のログは必ず書き出し保存してください。 [管理コンソール]xxxxx://xxxxxxx.xxxxxx.xxx/x/xxxxxx/0000000 [グループ]xxxxx://xxxxxxx.xxxxxx.xxx/x/xxxxxx/0000000

[ログイン]xxxxx://xxxxxxx.xxxxxx.xxx/x/xxxxxx/0000000 [ドライブ]xxxxx://xxxxxxx.xxxxxx.xxx/x/xxxxxx/0000000

[ユーザーアカウント]xxxxx://xxxxxxx.xxxxxx.xxx/x/xxxxxx/0000000

（参考）監査ログに関する総合的な情報 URL:

xxxxx://xxxxxxx.xxxxxx.xxx/x/xxxxx/0000000?xxxxx&xxx_xxxxxx0000000

 また、管理者で Gmail にアラートメールを受信した際には、上記で決定した書き出しルールやタイミングによらず、速やかにアラート内容を管理コンソールより確認し、関係するログを書き出し保存してください。 xxxxx://xxxxxxx.xxxxxx.xxx/x/xxxxxx/0000000?xxxxx

・YouTube は、ログ管理機能がないので、①動画をチャンネルに追加・削除をした時、

②アップロード時に非公開に設定した時、当該の設定画面をキャプチャし、保管します。研修終了後、JICA に提出してください（JICA で 1 年間保管します）。また、前回ログイン以降に身に覚えのない操作形跡（動画の削除・追加・設定変更）がないか確認を行います。

（5）各サービスの運用（教材の格納、動画のアップロード等）

・本ガイドラインが対象とするサービスについては、利用方法のチュートリアル動画やウェブサイトも各言語で充実しています。必要に応じて、これらを参照の上、案内します。

・併せて、操作方法の不明な点は、Google Workspace のサポート、販売パートナーのサポートに問合せできます（なお、Google Classroom と YouTube については付帯サポートが限定的な場合もありますので、ご留意ください。）。

・公開設定のあるサービス、特に動画をアップロードする YouTube につき、非公開を原則とします。（※YouTube の単体利用の場合、研修員等の利用者アカウントを動画に紐づける非公開設定での動画掲載が困難です。その際は、万一公開状態になっても支障がない動画のみを限定公開設定により掲載してください。また、掲載期限を決定し事前に関係者に周知する等、適切に管理するようお願いします。）

（6）サービス利用終了時の対応

・管理者アカウントで、管理コンソールより、監査ログを CSV 形式で書き出し、データを保存します（JICA 内にて、1 年間保管いたします。）。

・その上で、全ての利用者アカウントの削除と格納されているデータ（クラス情報・教材や動画など）を破棄の上、JICA 国内機関担当者へ報告します。JICA 国内機関担当者の確認後、サービス（のサブスクリプション）を解約します。これにより、アカウントやデータが削除され、復元できなくなります。サービス利用終了の時期については、業務完了報告の前を想定していますので、あらかじめ担当者にご相談ください。

・上記 3.(2)に記載のとおり、ドメインを確実に廃棄し、関係者に周知してください。

４. インシデントの予防と発生時の対応

・対象とするサービスを利用するにあたり、不正アクセスやアカウント乗っ取り、情報改ざん・漏洩等の情報セキュリティインシデント（事件・事故）が起こりえます。

・管理者は、上記３．（2）管理者アカウントの制限（3）パスワード設定に加え、不審なログインアクティビティに関するメールアラートを有効にします。

・インシデント発生時（または発生した可能性がある時）、研修受託機関の業務責任者 4は JICA 研修担当者に通報します（第一報）。同通報は JICA 内部の情報セキュリティ担当者・管理部門等に共有されます。その後、業務責任者は、サービス提供事業者や運営支援業者のインシデント対応窓口、JICA 情報システム部の指導のもと、ログ等を調査し、必要な再発防止策を講じた上でインシデントの内容を報告します。第一報後、JICA 国内機関から、業務責任者に対して当該サービスの利用停止を指示することがあります。調査の結果、問題がなければ利用を再開することができます。

5. 留意事項

（１）サービス上で扱うデータ

・Google Drive（クラウドストレージ）を始めとしたサービス上では、研修員名簿等の                                                                                  個人情報や機微な情報を含むデータを一切扱わないこととし、業務用メールあるいは Gigapod を利用することとします。

・利用者を始め教材を提供する講師等には、管理者がこれら利用条件を周知し、許容されたデータのみを扱うこととします。

4 研修委託契約における契約管理ガイドライン（業務責任者） xxxxx://xxx.xxxx.xx.xx/xxxxxxxxxx/xxxxxxx/xx_xxxxx/xx00xx00000xxxxx-xxx/xxxxxxxxx_xxxxxxxx.xxx

（２）サービスを使用する管理者の接続端末

・ウイルス感染による 2 次被害（情報漏洩）を防止するため、接続端末では次のことを実施します。

① パスワード等による端末ロックの常時設定

② OS やアプリケーションの最新化

③ アンチウイルスソフトの導入と定義ファイルの更新

④ 定期的なウイルスチェック HDD の暗号化

（３）データのバックアップ

・研修実施期間中の接続/システム障害や利用者による意図しない削除に備えて、教材コンテンツ等のデータのバックアップを管理者端末で定期的に行います。

（４）著作権や肖像xxに関する注意喚起

・管理者は JICA とともに、サービスの利用者に対し注意喚起を行います。

・著作者の認める利用範囲を超えて、各サービス上に格納された教材コンテンツ（動画やパワーポイント）や実施されたMeet（ビデオ会議）の講義内容を複製、アップロードは著作権を侵害する行為であり厳禁です。

・同じく各サービス上の参加者の画像は、肖像権やプライバシー権に関わるため、複製、利用、アップロードは厳禁です。

（５）YouTube と Google Workspace の非公開

・当ガイドラインが対象とするサービスでは、非公開設定を原則とする。一部のコンテンツを公開する場合には、別途 JICA のホームページや公式 YouTube チャンネル等の適切なプラットフォームを検討し、運用を明確に区別する。

（６）Gmail の利用について

・Google Workspace を利用することでGmail の利用が可能となりますが、アカウントへのログイン情報確認や教材格納等の通知受信の利用に限り、その他の用途に使用しないこととします。

（７）YouTube の利用について（Google Workspace との併用の場合）

・Google Workspace とYouTube を連携させる（管理者アカウントによる YouTube チャンネルの立ち上げ）には、Google Workspace ライセンス購入後 30 日経過している必要があるため、購入時期に留意してください。

（８）Google Drive の設定について

・Google Drive のファイル共有設定は、「制限付き」共有(Google Drive 上のファイル所有者から指定されたユーザのみがアクセス可能な設定)のみとします。

（９）Google Meet の設定について

・講師等の一時利用者には、アカウントを付与せず、URL 案内のみとします（別途、講師等が個別に取得したGoogle アカウントが必要）。

・管理者は、必要に応じて利用者の録画やストリーミング、ファイル共有の無効化を設定します。

・管理者の設定する会議のリンクは再利用可能とします。一時利用者のアカウントはその都度、参加者登録から削除します。研修が終了し、不要となった管理者アカウントは削除する。

・「待合室」（参加リクエスト）機能により管理者側で一時利用者の参加承認を行います。

・講義動画の保存先は、管理者のGoogle Drive のみとします。

（10）研修目的以外の利用禁止

・当ガイドラインのもと利用が許可されているのは JICA の研修員受入事業を目的とする使用のみであり、それ以外の利用を禁止とします。管理者及び JICA 職員は、研修員を始めとする利用者に周知徹底する。

６. 問合せ先

ガイドラインについて：JICA 各国内機関 研修担当課契約について：各 Google 社販売パートナー

サービスサポートについて：Google 社の提供するサポート（電話、チャット、メール）、あるいは各 Google 販売パートナーのサポ―ト窓口

以上