コンプライアンス (Compliance) データのセキュリティとプライバシーを検証するための定期的な監査 ServiceNow は、最も厳格なコンプライアンスフレームワークに準拠しているため、セキュリティとコンプライアンスを継続的に維持できます。 セキュリティポータルにアクセス
ServiceNow AI Platform のコンプライアンス 認定 GDPR リソース
Alt
「ServiceNow は、お客様の信頼、評判、安全性、データの整合性を維持することで、お客様の支援に尽力していることを示すために、厳しい業界認定と認証の取得を追求しています」 John Castelly ServiceNow、最高コンプライアンス責任者
世界と地域におけるコンプライアンス
認定と証明
認定と証明 ServiceNow は、すべての地域で最高のセキュリティとプライバシーの基準を満たしています。また、当社のアプリケーションを使用した場合、企業は各部門や地域の要件を満たすこともできます。 すべて表示
コンプライアンス (Compliance)
コンプライアンス (Compliance) コンプライアンスの認証と証明は不可欠なものです。当社は、技術力、ガイダンス文書、法的な契約を通じて、コンプライアンスプロセスを容易にします。  詳しくはこちら
データプライバシー
データプライバシー 機密データを保護するためのツールを提供することで、お客様のビジネスの重要領域でのリスクを軽減します。  
安全に保護されたアクセス制御
安全に保護されたアクセス制御 多要素認証 (MFA) により、不正なアカウントアクセスを防止し、データセキュリティを向上させます。 ブログを読む
透明性
透明性 透明性が信頼を育みます。当社の厳格な規約とデータ保護契約は、当社のデータ処理方法を規定するもので、これには政府からの要請に対応するための方針も含まれています。 詳しくはこちら
セキュリティとプライバシーの取り組みへの挑戦 当社では、急速に変化する規制環境に対応するため、セキュリティプロトコルを事前対応的に監視し、適応させています。 すべて展開 すべて折りたたみ ISO/IEC 42001 – 人工知能管理システム (AIMS)
ISO/IEC 42001 は、人工知能をライフサイクル全体にわたって責任ある方法で管理するための世界初の国際標準です。ServiceNow の認定は、強力なガバナンス、透明性、リスク管理を備えた AI システムの構築と運用に対する当社のコミットメントを実証するものであり、お客様が世界の規制や倫理的な期待に応えながら自信を持って AI を導入できるよう支援します。
ISO/IEC 27017:2015

ISO/IEC 27017:2015 は、ISO/IEC 27002 で指定されているクラウド固有の情報セキュリティコントロールの実装に関する規格です。

この認定取得は年ごとに実施される監査により行われ、ServiceNow は 2018 年から ISO/IEC 27017:2015 の認定を受けている組織です。
ISO/IEC 27001:2022

ISO/IEC 27001:2022 認定は、ISO/IEC 27002 のベストプラクティスガイドに基づいて、セキュリティ管理のベストプラクティスとコントロールを指定します。これにより、当社の情報セキュリティマネジメントシステム (ISMS) が適切に調整され、セキュリティ上の脅威の変化に対応していることが保証されています。これは目まぐるしく進化する IT セキュリティの世界において不可欠な要素です。

再認定は、3 年ごとに監査によって取得され、これに含まれる年次監査モニタリングオーダーにより ServiceNow の以下の事項が立証されています。

  1. 包括的な ISMS を設計し、実装している。
  2. 継続的なリスク管理プロセスを採用し、進化し続ける脅威の状況やリスクに合わせて適切な情報セキュリティコントロールを確実に実施している。
  3. 体系的に情報セキュリティリスクを適切に評価し、組織の脅威や脆弱性の影響を含む複数の要因を考慮している。

ServiceNow は、2012 年以降、ISO/IEC 27001 の認定を受けており、認定証はこちらにあります。
ISO/IEC 27018:2019

ISO/IEC 27018:2019 は ISO/IEC 27002 に基づく実践のための規範であり、ISO/IEC 29100 のプライバシー原則に従って、公共クラウドでの個人識別情報 (PII) の保護を取り扱っています。

この認定取得は年ごとに実施される監査により行われ、ServiceNow は 2016 年から ISO/IEC 27018:2019 の認定を受けています。
ISO/IEC 27701:2019
ISO / IEC 27001 のこの拡張版は、個人情報管理システム (PIMS) の確立と保守に焦点を当てています。これは個人識別情報 (PII) を含む可能性のある顧客データの処理者である ServiceNow にとって関連があります。ServiceNow は 2020 年にこの認定を受けています。
SSAE 18 SOC 1 および SOC 2 レポート

サービスの組織的コントロール (SOC) フレームワークは、クラウド内のお客様のデータの機密性、完全性、可用性を保護するための適切なコントロール能力に関し、ServiceNow が必要な基準を満たしていることの証明書です。

- SOC 1 は、お客様の財務レポートに影響を与える内部コントロールの有効性に焦点を当てています。

- SOC 2 は、可用性、完全性、セキュリティ、機密性、またはプライバシーに関連するコントロールを評価します。

ServiceNow は、第三者による監査を受けており、2011 年以降、SSAE 18 SOC 1 タイプ 2 の証明書を維持しています (2017 年に SSAE 16 は SSAE 18 に更新)。SSAE 18 は国際規格 ISAE3402 に準拠しており、現在は廃止されている SAS70 が置き換えられました。

ServiceNow の SOC 1 レポートは、10 月 1 日 (前暦年) から 9 月 30 日 (当暦年) までの期間を対象としており、各暦年の年末 (12 月) までに ServiceNow CORE から入手可能となります。

4 月 1 日から 3 月 31 日までの期間を対象とする SOC 1 レポートは、各暦年の第 2 四半期末 (6 月) までに ServiceNow CORE から入手可能となります。

また、2013 年以来 ServiceNow は、AICPA 信頼サービス基準 (TSC) に記載されているセキュリティ、可用性、および機密性のコントロールに関連する、年次 SOC 2 タイプ 2 の証明書を維持しています。

ServiceNow の SOC 2 レポートは、10 月 1 日 (前暦年) から 9 月 30 日 (当暦年) までの期間を対象としており、各暦年の年末 (12 月) までに ServiceNow CORE から入手可能となります。

ブリッジレターは、各監査期間の間に提供されるため、ServiceNow は年間を通じて監査の対象となります。

ServiceNow の SOC 1 ブリッジレターは、10 月 1 日 (当暦年) から 12 月 31 日 (当暦年) までの期間を対象としており、翌暦年の第 1 四半期末までに ServiceNow CORE から入手可能となります。

4 月 1 日から 6 月 30 日までの期間を対象とする SOC 1 ブリッジレターは、各暦年の第 3 四半期末までに ServiceNow CORE から入手可能となります。

ServiceNow の SOC 2 ブリッジレターは、10 月 1 日 (当暦年) から 12 月 31 日 (当暦年) までの期間を対象としており、翌暦年の第 1 四半期末までに ServiceNow CORE から入手可能となります。
BSI クラウドコンピューティングコンプライアンスコントロールカタログ (C5) 標準
C5 はドイツ連邦情報安全局 (BSI) によって策定された、クラウド固有のコンプライアンスコントロールカタログであり、公的機関と民間セクターの両方で活用されています。C5 証明レポートは AICPA SOC 2 レポートと同様のプロセスとスキーマに従っており、多くが AICPA 信頼サービス基準と重なる要件とともに、クラウドを中心とした特定の追加要件が定められています。ServiceNow は 2020 年に C5 証明レポートを受けています。
APEC プロセッサー向けプライバシー識別 (PRP)
APEC PRP は、アジア太平洋地域に特化したデータ処理者による任意認定資格であり、この地域のローカルメンバーによって開発されています。認定資格は毎年更新されますが、処理者のプライバシープロセスや手順に重大な影響を与える可能性のある変更については、より頻繁に査定を行う可能性があります。
ISMAP クラウドサービス
ISMAP (Information System Security Management and Assessment Program) は、日本政府が調達するクラウドサービスにおいて、日本政府のセキュリティ要件を満たすクラウドサービスを評価して登録し、セキュリティレベルを確保することを目的としたプログラムです。  ServiceNow の Now Platform は、ISMAP の管理における管理基準を満たしていると、ISMAP の登録審査員による独立した評価を受け、2022 年 3 月から ISMAP クラウドサービスとして登録されています。  ISMAP クラウドサービス一覧はこちらからご覧いただけます。https://www.ismap.go.jp/csm?id=cloud_service_list
CSA STAR レベル 2:STAR 認定
クラウドコントロールマトリクス (CCM) は、クラウドコンピューティングのセキュリティに不可欠なコントロール (ポリシーと手順) のフレームワークです。クラウドセキュリティアライアンス (CSA) によって作成および更新され、CSA のベストプラクティスに沿っています。CSA STAR レベル 2 の認定は、ISO/IEC 27001 要件とともに、CSA クラウドコントロールマトリクスに対するクラウドサービスプロバイダーのセキュリティについての、サードパーティによる厳格な独立した評価です。
EU クラウド行動規範 (CoC)

EU クラウド行動規範 (CoC) は、欧州のクラウドコンピューティング市場で信頼と透明性を高め、クラウド顧客向けのクラウドサービスプロバイダー (CSP) のリスクアセスメントプロセスを簡素化するために設計された一連のコントロール要件です。このコンプライアンスを実証するために、ServiceNow は 80 を超える EU クラウド行動規範 (CoC) 要件の内部監査を実施し、その監査作業の外部評価を受けました。ServiceNow が EU クラウド行動規範 (CoC) への準拠を外部で検証したことは、既存のセキュリティ認定とプライバシー認定に加えて、最高レベルのプライバシーとセキュリティ基準を維持するという当社の継続的な取り組みを物語っています。

サービスは、EU クラウド行動規範 (CoC)、Verification-ID 2022LVL02SCOPE3113 に準拠していることが検証されています。詳細については、https://eucoc.cloud/en/public-register をご覧ください。
米国政府機関およびプロバイダー向け FedRAMP High P-ATO

ServiceNow の Government Community Cloud (GCC) は現在、米国連邦政府によるリスクおよび認証管理プログラムの合同認定委員会 (FedRAMP JAB) から受けた P-ATO (High Baseline Provisional Authority to Operate) を保持しています。これにより ServiceNow は、当社のセキュアクラウドソリューションの米国連邦政府機関とプロバイダーへの導入を加速させ、連邦情報セキュリティ管理法 (FISMA) のもと、クラウドコンピューティング製品やサービスの評価、監視、認定を行うための標準化された手法を実装することができます。

GCC は、2019 年 8 月に最初の GCC FedRAMP High Provisional Authority to Operate (P-ATO) の認定を受けました。GCC は、米国防総省 (DoD) の影響度レベル 4 (IL4) と CNSSI 1253F プライバシーオーバーレイ高気密性 PII + PHI の規制要件も満たしています。

FedRAMP Marketplace に登録された ServiceNow はこちらからご覧ください。
米国 DoD および IC 機関向け DoD IL4 PA

ServiceNow の Government Community Cloud (GCC) サービスは現在、米国防総省 (DoD) の影響度レベル 4 (IL4) の暫定認可 (PA) を維持しています。これにより、米国の国防総省 (DoD) とインテリジェンスコミュニティ (IC) による ServiceNow 製品の調達が容易になり、国防情報システム局 (DISA) が開発した DoD クラウドコンピューティング (CC) セキュリティ要求事項ガイド (SRG) によって定義された、ベースライン標準が確立されています。

ServiceNow は、2019 年 10 月に最初の GCC DoD IL4 PA を取得しました。DoD IL4 PA には、FedRAMP High と DoD IL4 の両方の規制要件が含まれています。ServiceNow の GCC は、CNSSI 1253F プライバシーオーバーレイ高気密性 PII + PHI の規制要件も満たしています。

ここをクリックすると、DISA Storefront の『Standard Offering』セクションで ServiceNow が示されています。
国家安全保障クラウド向け DoD IL5

ServiceNow は、米国国防総省 (DOD) の影響度レベル 5 (IL5) の暫定認可を取得しました。これにより、ServiceNow National Security Cloud (NSC) は、国防総省の厳しいクラウドコンピューティングセキュリティ要求事項ガイドを影響度レベル 5 で満たすように構築され認可された、数少ない SaaS (Software-as-a-service) / PaaS (Platform-as-a-Service) 製品の 1 つとなりました。

この IL5 暫定認可によって、国防総省、そのミッションパートナー、一部の連邦政府機関は、管理された非分類情報や非分類国家安全保障システムなどの機密性の高いデータを、Microsoft Azure Government にホストされた ServiceNow のクラウドベースソリューションに移行できるため、国防総省のデジタル変革を加速させることができます。
シンガポール向け多階層クラウドセキュリティ標準 (MTCS) レベル 3

MTCS レベル 3 は、ServiceNow がシンガポールのクラウドにおけるお客様のデータの機密性と完全性に関する基準を満たすことを保証する認定です。ISO/IEC 27001 を基盤とし、事業継続性のプランニングと災害復旧とともに、データの主権、保存、可用性を対象とします。

ServiceNow は、取得可能な最高レベルの認定である MTCS レベル 3 を取得していることを誇りに思います。
クラウドサービスの OFFICIAL と PROTECTED の ASD IRAP 評価

ServiceNow のオーストラリアプラットフォームについては、OFFICIAL データと PROTECTED データに関してオーストラリアの ISM コントロールを満たしていることが公認の IRAP 審査員によって中立的に評価されています。IRAP で評価された OFFICIAL クラウドサービスと PROTECTED クラウドサービスは、オーストラリア政府のお客様に Now Platform の信頼と自信を提供し、ServiceNow がオーストラリア政府機関や重要なインフラストラクチャプロバイダーに効果的に関与することを可能にしています。

オーストラリアの規制対象のお客様向け詳細については、こちらをご確認ください。https://your.servicenow.com/microsoftregulatedindustries/australia
カナダ政府 GC クラウドプロバイダー
カナダサイバーセキュリティセンター (CCCS) は、GC クラウドプロバイダーとして認定されるために満たす必要のある一連の物理的要件と論理的要件の両方を確立しています。GC クラウドプロバイダーとして承認される前に、クラウドプロバイダーは CCCS に準拠していることを実証する必要があります。GC とは、クラウド内に保存することが承認されている、政府によって定義されたデータ分類レベルです。
HITRUST 認定
HITRUST は、CSF フレームワークのコントロールを利用したコンプライアンスの標準化を目的として、医療業界によって開発されました。当初は ISO27001 に基づいて構築されました。HITRUST CSF 保証プログラムは、あらゆる規模、複雑さ、リスクを抱える組織に対して達成可能なアセスメントとレポートパスを通じて、情報保護に対する信頼を効果的に確立します。認定は、検証済みのアセスメントを完了し、必要なスコアリングしきい値やその他の認定基準を満たしている組織に授与されます。
英国の Cyber Essentials Plus 認定
Cyber Essentials Plus は、英国政府が支援するスキームで、組織が IT システムに対するサイバーセキュリティの脅威のリスク軽減と評価を実証することを支援します。この制度では、外部監査人により、ベストプラクティスと最高レベルのセキュリティを確保するための様々な技術的コントロールの実施が求められます。このスキームは地域に特化したものであるため、この認証は英国地域に限定されています。
PCI DSS コンプライアンス
Payment Card Industry Data Security Standard (PCI DSS) は Visa、MasterCard、Discover Financial Services、JCB International、American Express が 2004 年に策定した一連のセキュリティ基準です。このコンプライアンス要件は Payment Card Industry Security Standards Council (PCI SSC) によって管理されており、データの盗難や不正利用から、クレジットカード取引とデビットカード取引のセキュリティを保護することを目的として作成されました。これはクレジットカードデータを含む可能性のある顧客データの処理者である ServiceNow に関連するものです。ServiceNow は 2023 年に準拠しました。
EU DSA コンプライアンス

ServiceNow と EU デジタルサービス法 (デジタルサービスの単一市場に関する 2022 年 10 月 19 日付欧州議会および理事会規則 (EU) 2022/2065 および指令 2000/31/EC の改正):

EU デジタルサービス法に基づくお問い合わせは、DSACompliance@ServiceNow.com までご連絡ください。
データプライバシーフレームワーク

ServiceNow は、データプライバシーフレームワーク (DPF) プログラムに参加しています。EU-U.S. DPF、UK Extension to the EU-U.S. DPF、Swiss-U.S. DPF は、それぞれ米国商務省と欧州委員会、英国政府、スイス連邦政府によって開発され、EU、英国、スイスから米国に個人データを移転するための信頼できるメカニズムを米国の組織に提供し、EU、英国、スイスの法律と整合性のあるデータ保護を確保します。

データプライバシーフレームワークプログラムの詳細については、https://www.dataprivacyframework.gov/s/ をご覧ください。ServiceNow の DPF ポリシーは、https://www.servicenow.com/data-privacy-framework.html から入手できます。
ISO/IEC 9001:2015

ISO 9001:2015 認証は、品質管理システム (QMS) のベストプラクティスとコントロールを規定し、組織が顧客要件と規制要件を満たす製品およびサービスを一貫して提供できることを保証します。これは、高品質の基準を維持しながら、オペレーションのあらゆる側面で継続的な改善を促進するという当社のコミットメントを示しています。

再認定は 3 年ごとの監査によって実施され、年次監査モニタリングにより当組織の以下の事項を確認します。

  • 堅牢な QMS を設計して実装し、すべてのプロセスが業界のベストプラクティスに準拠していること。
  • 顧客中心のアプローチに重点を置き、一貫した満足度とエンゲージメントを確保していること。
  • データに基づくインサイトとフィードバックを活用してプロセスおよびパフォーマンスを向上させ、継続的な改善の文化を維持していること。
  • リスクと機会を積極的に評価し、QMS の有効性を向上させ、変化する市場および運用条件に適応していること。
ISO/IEC 20000:2018

ISO/IEC 20000-1:2018 認定は、IT サービス管理 (ITSM) のベストプラクティスを規定し、組織が顧客のニーズと規制要件を満たす高品質の IT サービスを提供できることを保証します。これは、効率性と顧客満足度に重点を置きながら、IT サービスデリバリの品質を管理および改善するという当社のコミットメントを示すものです。

再認定は 3 年ごとの監査によって実施され、年次監査モニタリングにより当組織の以下の事項を確認します。

  • ISO/IEC 20000-1 標準に準拠した包括的な IT サービス管理システム (SMS) を設計および実装していること。
  • IT サービスのパフォーマンスとデリバリを継続的に監視して改善し、顧客の期待と業界ベンチマークを確実に満たしていること。
  • サービス関連のリスクと機会を管理するための体系的なアプローチを確保し、進化する顧客要件とテクノロジートレンドとの整合性を維持していること。
  • フィードバックと測定基準を使用して IT サービスプロセスを最適化し、一貫性と信頼性の高いサービスデリバリを確保することで、継続的なサービス改善 (CSI) の文化を促進していること。
ISO/IEC 22301:2019

ISO 22301:2019 認定は、事業継続性管理システム (BCMS) のベストプラクティスを概説し、組織が中断に効果的に対応し、重要なビジネスオペレーションを維持できる体制であることを保証します。これは、潜在的な危機や緊急事態に直面しても、業務のレジリエンスと継続性を保護するという当社のコミットメントを示すものです。

再認定は 3 年ごとの監査によって実施され、年次監査モニタリングにより当組織の以下の事項を確認します。

  • ISO 22301 標準に準拠した堅牢な BCMS を設計および実装していること。
  • 事業継続性に対する潜在的な脅威を特定して軽減するための予防的アプローチを維持し、重要なサービスの継続的な可用性を確保していること。
  • 復旧計画を体系的に評価してテストし、中断の影響を最小限に抑え、重要なビジネス機能を維持するために効果的な体制であること。
  • 継続的な改善を促進していること。
Esquema Nacional de Seguridad (ENS) 認定 認定を表示 免責事項を表示
Esquema Nacional de Seguridad (ENS) 認定

国家安全保障制度 (ENS) は、電子行政の範囲内で電子情報を適切に保護するための基準と要件を確立するスペインの認定フレームワークです。ENS は王令によって規定されており、公的機関および団体、ならびに公的データを処理する民間企業のための標準を確立しています。ENS は、データの機密性とそれを用いた運用に基づいてデータを分類し、基本レベルから最高レベルまでのさまざまなセキュリティ対策を定義し、堅牢なデータ保護、効果的なインシデント管理、監査による定期的なコンプライアンスチェックを保証します。この認定は、スペイン政府が提供する電子サービスに対する信頼を高めるために不可欠です。

ServiceNow は、ENS に「高」レベルで準拠するための要件を満たしています。
GDPR コンプライアンス データアクセスの拡大やプライバシーバイデザインなどの要件を、シームレスに行われる日常業務の一環として満たすことができるソリューションを提供することで、企業が GDPR に準拠するのを支援します。  さらに見る
リソース 記述 EU でのサービス提供に ServiceNow が投資 『International Data Transfers FAQ (国際的なデータ移転に関する FAQ)』 ServiceNow Security for the UK Public Sector (英国公共部門向けの ServiceNow のセキュリティ) 責任ある AI のガイドライン ホワイトペーパー データ暗号化 ServiceNow AI Platform の保護 Regulated Industries and Data Privacy Requirements (IDC) (規制業界とデータプライバシー要件 (IDC))
詳細を見る ServiceNow は、お客様がセキュリティの脅威から身を守り、データを保護して、進化する国際的な義務に準拠するのを支援します。    詳細を見る GDPR プライバシー セキュリティ コンプライアンス (Compliance) ServiceNow AI Platform カスタマーセキュリティポータル