Firebase のプライバシーとセキュリティ

このページでは、Firebase の主なセキュリティとプライバシー情報について概説します。Firebase を使って新しいプロジェクトを開始する場合、既存のプロジェクトで Firebase がどのように機能するか知りたい場合にかかわらず、Firebase がどのようにユーザーを保護するのかについて以下をお読みください。

最終更新日: 2018 年 7 月 19 日

データ保護

Firebase が GDPR に対応

2018 年 5 月 25 日付けで、1995 EU データ保護指令の代わりに EU 一般データ保護規則（GDPR）の運用が開始されます。Google は、お客様が大規模なソフトウェア企業であるか独立したデベロッパーであるかにかかわらず、GDPR に準拠しビジネスで成功できるように支援します。

GDPR では、データ管理者とデータ処理業者に対して責務を課しています。通常、Firebase のお客様は、Firebase の使用に伴って Google に提供するエンドユーザーの個人データの「データ管理者」の役割を担い、Google は通常、「データ処理業者」となります。

これは、データはお客様の管理下にあることを意味します。データ管理者は、個人データに関する個人の権利を守るなどの責務を負います。

データ管理者としての責務について把握するには、GDPR の規定について十分に理解し、コンプライアンス プランを確認するよう、おすすめします。

次の重要な質問を検討してください。

• データ利用に関わる透明性と管理を、組織としてどのような方法でユーザーに保証していますか。
• GDPR により必要とされる場面において、組織として適切な同意を確実に得ていますか。
• 組織として、ユーザーの設定や同意を記録するための適切なシステムを備えていますか。
• 規制当局やパートナーに対し、組織が GDPR の原則に従っていること、説明責任を果たせる組織であることをどのように示しますか。

Firebase のデータ処理とセキュリティ規約

お客様が Firebase を使用している場合、通常は Google がデータ処理業者としてお客様に代わって個人データを処理します。Firebase の規約には、すべての Firebase サービスに適用されるデータ処理とセキュリティ規約（2018 年 5 月 25 日発効）が含まれます。

Google Cloud Platform（GCP）の利用規約で管理されるいくつかの Firebase サービスはすでに、関連するデータ処理規約である GCP データ処理とセキュリティ規約の適用対象となっています。現在、GCP の利用規約で管理されている Firebase サービスの完全なリストは、Firebase サービスの利用規約でご確認いただけます。

Firebase 向け Google アナリティクスは、Google 広告データ保護規約の対象となります。

主要なセキュリティ規格やプライバシー規格で認定されている Firebase

ISO と SOC への準拠

Firebase の全サービスは、ISO 27001 や SOC 1、SOC 2、SOC 3 の評価プロセスを正常に完了しており、さらに一部のサービスは ISO 27017 や ISO 27018 の認証プロセスも完了しています。

プライバシー シールド フレームワークの認定

2016 年 7 月、欧州委員会は、EU から米国への個人情報移転に関する指令に基づいた要件を EU 内の企業が遵守できるようにする適切な方法として「EU と米国間のプライバシー シールド フレームワーク」を採択しました。Google LLC は、EU と米国間およびスイスと米国間のプライバシー シールド フレームワークの両方で認定を受けています。プライバシー シールド リストで認定を確認できます。

データ処理情報

Firebase によって処理されるエンドユーザーの個人データの例

一部の Firebase サービスは、エンドユーザーの個人データを処理することでサービスを提供します。以下の表は、Firebase のさまざまなサービスがエンドユーザーの個人データをどのように使用し、処理するかを例示しています。さらに、Firebase の多くのサービスでは、特定のデータの削除を要求したり、データの処理方法を制御したりできます。

エンドユーザーの個人データ処理のオプトインを有効にするためのガイド

上記の表のサービスが機能するには、複数のエンドユーザーの個人データが必要です。その結果、そのようなサービスを使用している間は、データ収集を完全に無効にすることはできません。

ユーザーがサービスやそれに付属するデータ収集にオプトインする機会を提供したいお客様は、ほとんどの場合、サービスを使用する前にダイアログを追加するか、トグルを設定するだけで済みます。

ただし、一部のサービスはアプリに含めると自動的に起動します。このようなサービスを使用する前にユーザーにオプトインする機会を与えるには、各サービスの自動初期化を無効にし、代わりに実行時に手動で初期化することができます。方法については、以下のガイドをご覧ください。

• Cloud Messaging: 自動初期化を禁止する（Android）または自動初期化を禁止する（iOS）
• Crashlytics: オプトイン レポートを有効にする
• Crash Reporting: オプトイン レポートを有効にする
• Performance Monitoring: オプトイン モニタリングを有効にする
• アナリティクス: アナリティクスの収集を無効にする

データを保管する場所と処理する場所

サービスまたは機能でデータの保存場所を選択できるようになっていない場合、Firebase は、Google またはその代理人が施設を運営する任意の場所でデータを処理し、保管する場合があります。可能性のある施設の場所は、サービスによって異なります。

米国のみのサービス

一部の Firebase サービスは、米国のデータセンターからのみ実行されます。その結果、このようなサービスは米国内でのみデータを処理します。

• Firebase Realtime Database
• Firebase Hosting
• Firebase Test Lab
• Firebase Authentication

グローバル サービス

Firebase サービスの大部分は、Google のグローバル インフラストラクチャ上で実行されます。そのため、データは Google Cloud Platform のロケーションや Google のデータセンターのロケーションで処理されることがあります。サービスによっては、特定のデータ ロケーションを選択することで、処理をそのロケーションに限定できます。

• Cloud Storage for Firebase
• Cloud Firestore
• Cloud Functions for Firebase
• Firebase Performance Monitoring
• Firebase Crash Reporting
• Firebase Dynamic Links
• Firebase Invites
• Firebase Remote Config
• Firebase Cloud Messaging
• Firebase Predictions
• Firebase 向け Google アナリティクス
• Firebase 向け ML Kit

セキュリティ情報

データ暗号化

Firebase サービスは、HTTPS を使用して転送中のデータを暗号化し、顧客データを論理的に分離します。

さらに、一部の Firebase サービスは、保存データも暗号化します。

• Cloud Firestore
• Cloud Functions for Firebase
• Cloud Storage for Firebase
• Firebase Authentication
• Firebase Cloud Messaging
• Firebase Realtime Database
• Firebase Test Lab

セキュリティの実践

Firebase は、個人データを安全に保つために、幅広いセキュリティ対策を採用してアクセスを最小限に抑えています。

• Firebase は、個人データへのアクセスをビジネス上必要な特定の従業員のみに制限します。
• Firebase は、個人データを含むシステムへの従業員によるアクセスを記録します。
• Firebase は、Google ログインと 2 段階認証プロセスでログインする従業員による個人データへのアクセスのみを許可します。

ご不明な点がございましたら、ご連絡ください

ここでは説明していないプライバシー関連の質問については、アカウント サービス フォームからお問い合わせください。