コンプライアンス データのセキュリティとプライバシーを確保するための定期的な監査 セキュリティとコンプライアンスを絶えず維持するために、最も厳格なコンプライアンスフレームワークに適合しています。
ServiceNow プラットフォームのコンプライアンス 認定 GDPR リソース
代替
「ServiceNow は、お客様の信頼、評判、安全性、データの整合性を維持することで、お客様の支援に尽力していることを示すために、厳しい業界認定と認証の取得を追求しています」 John Castelly ServiceNow、最高コンプライアンス責任者
世界と地域におけるコンプライアンス
認定と証明
認定と証明 ServiceNow は、すべての地域で最高のセキュリティとプライバシーの基準を満たしています。 また、当社のアプリケーションを使用した場合、企業は各部門や地域の要件を満たすこともできます。 すべて表示
お客様のコンプライアンス
お客様のコンプライアンス コンプライアンスの認証と証明は不可欠なものです。 当社は、技術力、ガイダンス文書、法的な契約を通じて、お客様のコンプライアンスプロセスを容易にすることができます。 詳しくはこちら
お客様のデータの保護
お客様のデータの保護 機密データを保護するためのツールを提供することで、お客様のビジネスの重要な部分がリスクに曝されるのを低減します。
安全に保護されたアクセス制御
安全に保護されたアクセス制御 多要素認証 (MFA) により、不正なアカウントアクセスを防止し、データセキュリティを向上させます。 ブログを読む
透明性
透明性 透明性が信頼を育みます。 当社の厳格な規約とデータ保護契約は、当社のデータ処理方法を規定するもので、これには政府からの要請に対応するための方針も含まれています。 詳細を見る
セキュリティとプライバシーの取り組みへの挑戦 当社では、急速に変化する規制環境に対応するため、セキュリティプロトコルを事前対応的に監視し、適応させています。 すべて展開 すべて折りたたみ ISO/IEC 27017:2015

ISO/IEC 27017:2015 は、ISO/IEC 27002 で指定されているクラウド固有の情報セキュリティコントロールの実装に関する規格です。

この認定取得は年ごとに実施される監査により行われ、ServiceNow は 2018 年から ISO/IEC 27017:2015 の認定を受けている組織です。
ISO/IEC 27001:2022

ISO/IEC 27001:2022 認定は、ISO/IEC 27002 のベストプラクティスガイドに基づいて、セキュリティ管理のベストプラクティスとコントロールを指定します。 これにより、当社の情報セキュリティマネジメントシステム (ISMS) が適切に調整され、セキュリティ上の脅威の変化に対応していることが保証されています。これは目まぐるしく進化する IT セキュリティの世界において不可欠な要素です。

再認定は、3 年ごとに監査によって取得され、これに含まれる年次監査モニタリングオーダーにより ServiceNow の以下の事項が立証されています。

  1. 包括的な ISMS を設計し、実装している。
  2. 継続的なリスク管理プロセスを採用し、進化し続ける脅威の状況やリスクに合わせて適切な情報セキュリティコントロールを確実に実施している。
  3. 体系的に情報セキュリティリスクを適切に評価し、組織の脅威や脆弱性の影響を含む複数の要因を考慮している。

ServiceNow は、2012 年以降、ISO/IEC 27001 の認定を受けており、認定証はこちらにあります。
ISO/IEC 27018:2019

ISO/IEC 27018:2019 は ISO/IEC 27002 に基づく実践のための規範であり、ISO/IEC 29100 のプライバシー原則に従って、公共クラウドでの個人識別情報 (PII) の保護を取り扱っています。

この認定取得は年ごとに実施される監査により行われ、ServiceNow は 2016 年から ISO/IEC 27018:2019 の認定を受けています。
ISO/IEC 27701:2019
ISO / IEC 27001 のこの拡張版は、個人情報管理システム (PIMS) の確立と保守に焦点を当てています。 これは個人識別情報 (PII) を含む可能性のある顧客データの処理者である ServiceNow にとって関連があります。 ServiceNow は 2020 年にこの認定を受けています。
SSAE 18 SOC 1 および SOC 2 レポート

サービスの組織的コントロール (SOC) フレームワークは、クラウド内のお客様のデータの機密性、完全性、可用性を保護するための適切なコントロール能力に関し、ServiceNow が必要な基準を満たしていることの証明書です。

- SOC 1 は、お客様の財務レポートに影響を与える内部コントロールの有効性に焦点を当てています。

- SOC 2 は、可用性、完全性、セキュリティ、機密性、またはプライバシーに関連するコントロールを評価します。

ServiceNow は、第三者による監査を受けており、2011 年以降、SSAE 18 SOC 1 タイプ 2 の証明書を維持しています (2017 年に SSAE 16 は SSAE 18 に更新)。 SSAE 18 は国際規格 ISAE3402 に準拠しており、現在は廃止されている SAS70 が置き換えられました。

ServiceNow の SOC 1 レポートは、10 月 1 日 (前暦年) から 9 月 30 日 (当暦年) までの期間を対象としており、各暦年の年末 (12 月) までに ServiceNow CORE から入手可能となります。

4 月 1 日から 3 月 31 日までの期間を対象とする SOC 1 レポートは、各暦年の第 2 四半期末 (6 月) までに ServiceNow CORE から入手可能となります。

また、2013 年以来 ServiceNow は、AICPA 信頼サービス基準 (TSC) に記載されているセキュリティ、可用性、および機密性のコントロールに関連する、年次 SOC 2 タイプ 2 の証明書を維持しています。

ServiceNow の SOC 2 レポートは、10 月 1 日 (前暦年) から 9 月 30 日 (当暦年) までの期間を対象としており、各暦年の年末 (12 月) までに ServiceNow CORE から入手可能となります。

ブリッジレターは、各監査期間の間に提供されるため、ServiceNow は年間を通じて監査の対象となります。

ServiceNow の SOC 1 ブリッジレターは、10 月 1 日 (当暦年) から 12 月 31 日 (当暦年) までの期間を対象としており、翌暦年の第 1 四半期末までに ServiceNow CORE から入手可能となります。

4 月 1 日から 6 月 30 日までの期間を対象とする SOC 1 ブリッジレターは、各暦年の第 3 四半期末までに ServiceNow CORE から入手可能となります。

ServiceNow の SOC 2 ブリッジレターは、10 月 1 日 (当暦年) から 12 月 31 日 (当暦年) までの期間を対象としており、翌暦年の第 1 四半期末までに ServiceNow CORE から入手可能となります。
BSI クラウドコンピューティングコンプライアンスコントロールカタログ (C5) 標準
C5 はドイツ連邦情報安全局 (BSI) によって策定された、クラウド固有のコンプライアンスコントロールカタログであり、公的機関と民間セクターの両方で活用されています。 C5 証明レポートは AICPA SOC 2 レポートと同様のプロセスとスキーマに従っており、多くが AICPA 信頼サービス基準と重なる要件とともに、クラウドを中心とした特定の追加要件が定められています。 ServiceNow は 2020 年に C5 証明レポートを受けています。
APEC プロセッサー向けプライバシー識別 (PRP)
APEC PRP は、アジア太平洋地域に特化したデータ処理者による任意認定資格であり、この地域のローカルメンバーによって開発されています。 認定資格は毎年更新されますが、処理者のプライバシープロセスや手順に重大な影響を与える可能性のある変更については、より頻繁に査定を行う可能性があります。
ISMAP クラウドサービス
ISMAP (Information System Security Management and Assessment Program) は、日本政府が調達するクラウドサービスにおいて、日本政府のセキュリティ要件を満たすクラウドサービスを評価して登録し、セキュリティレベルを確保することを目的としたプログラムです。  ServiceNow の Now Platform は、ISMAP の管理における管理基準を満たしていると、ISMAP の登録審査員による独立した評価を受け、2022 年 3 月から ISMAP クラウドサービスとして登録されています。  ISMAP クラウドサービス一覧はこちらからご覧いただけます。https://www.ismap.go.jp/csm?id=cloud_service_list
CSA STAR レベル 2:STAR 認定
クラウドコントロールマトリクス (CCM) は、クラウドコンピューティングのセキュリティに不可欠なコントロール (ポリシーと手順) のフレームワークです。 クラウドセキュリティアライアンス (CSA) によって作成および更新され、CSA のベストプラクティスに沿っています。 CSA STAR レベル 2 の認定は、ISO/IEC 27001 要件とともに、CSA クラウドコントロールマトリクスに対するクラウドサービスプロバイダーのセキュリティについての、サードパーティによる厳格な独立した評価です。
EU クラウド行動規範 (CoC)

EU クラウド行動規範 (CoC) は、欧州のクラウドコンピューティング市場で信頼と透明性を高め、クラウド顧客向けのクラウドサービスプロバイダー (CSP) のリスクアセスメントプロセスを簡素化するために設計された一連のコントロール要件です。 このコンプライアンスを実証するために、ServiceNow は 80 を超える EU クラウド行動規範 (CoC) 要件の内部監査を実施し、その監査作業の外部評価を受けました。 ServiceNow が EU クラウド行動規範 (CoC) への準拠を外部で検証したことは、既存のセキュリティ認定とプライバシー認定に加えて、最高レベルのプライバシーとセキュリティ基準を維持するという当社の継続的な取り組みを物語っています。

サービスは、EU クラウド行動規範 (CoC)、Verification-ID 2022LVL02SCOPE3113 に準拠していることが検証されています。 詳細については、https://eucoc.cloud/en/public-register をご覧ください。
米国政府機関およびプロバイダー向け FedRAMP High P-ATO

ServiceNow の Government Community Cloud (GCC) は現在、米国連邦政府によるリスクおよび認証管理プログラムの合同認定委員会 (FedRAMP JAB) から受けた P-ATO (High Baseline Provisional Authority to Operate) を保持しています。 これにより ServiceNow は、当社のセキュアクラウドソリューションの米国連邦政府機関とプロバイダーへの導入を加速させ、連邦情報セキュリティ管理法 (FISMA) のもと、クラウドコンピューティング製品やサービスの評価、監視、認定を行うための標準化された手法を実装することができます。

GCC は、2019 年 8 月に最初の GCC FedRAMP High Provisional Authority to Operate (P-ATO) の認定を受けました。 GCC は、米国防総省 (DoD) の影響度レベル 4 (IL4) と CNSSI 1253F プライバシーオーバーレイ高気密性 PII + PHI の規制要件も満たしています。

FedRAMP Marketplace に登録された ServiceNow はこちらからご覧ください。
米国 DoD および IC 機関向け DoD IL4 PA

ServiceNow の Government Community Cloud (GCC) サービスは現在、米国防総省 (DoD) の影響度レベル 4 (IL4) の暫定認可 (PA) を維持しています。 これにより、米国の国防総省 (DoD) とインテリジェンスコミュニティ (IC) による ServiceNow 製品の調達が容易になり、国防情報システム局 (DISA) が開発した DoD クラウドコンピューティング (CC) セキュリティ要求事項ガイド (SRG) によって定義された、ベースライン標準が確立されています。

ServiceNow は、2019 年 10 月に最初の GCC DoD IL4 PA を取得しました。 DoD IL4 PA には、FedRAMP High と DoD IL4 の両方の規制要件が含まれています。 ServiceNow の GCC は、CNSSI 1253F プライバシーオーバーレイ高気密性 PII + PHI の規制要件も満たしています。

ここをクリックすると、DISA Storefront の『Standard Offering』セクションで ServiceNow が示されています。
国家安全保障クラウド向け DoD IL5

ServiceNow は、米国国防総省 (DOD) の影響度レベル 5 (IL5) の暫定認可を取得しました。 これにより、ServiceNow National Security Cloud (NSC) は、国防総省の厳しいクラウドコンピューティングセキュリティ要求事項ガイドを影響度レベル 5 で満たすように構築され認可された、数少ない SaaS (Software-as-a-service) / PaaS (Platform-as-a-Service) 製品の 1 つとなりました。

この IL5 暫定認可によって、国防総省、そのミッションパートナー、一部の連邦政府機関は、管理された非分類情報や非分類国家安全保障システムなどの機密性の高いデータを、Microsoft Azure Government にホストされた ServiceNow のクラウドベースソリューションに移行できるため、国防総省のデジタル変革を加速させることができます。
シンガポール向け多階層クラウドセキュリティ標準 (MTCS) レベル 3

MTCS レベル 3 は、ServiceNow がシンガポールのクラウドにおけるお客様のデータの機密性と完全性に関する基準を満たすことを保証する認定です。 ISO/IEC 27001 を基盤とし、事業継続性のプランニングと災害復旧とともに、データの主権、保存、可用性を対象とします。

ServiceNow は、取得可能な最高レベルの認定である MTCS レベル 3 を取得していることを誇りに思います。
クラウドサービスの OFFICIAL と PROTECTED の ASD IRAP 評価

ServiceNow のオーストラリアプラットフォームについては、OFFICIAL データと PROTECTED データに関してオーストラリアの ISM コントロールを満たしていることが公認の IRAP 審査員によって中立的に評価されています。 IRAP で評価された OFFICIAL クラウドサービスと PROTECTED クラウドサービスは、オーストラリア政府のお客様に Now Platform の信頼と自信を提供し、ServiceNow がオーストラリア政府機関や重要なインフラストラクチャプロバイダーに効果的に関与することを可能にしています。

オーストラリアの規制対象のお客様向け詳細については、こちらをご確認ください。https://your.servicenow.com/microsoftregulatedindustries/australia
カナダ政府 GC クラウドプロバイダー
カナダサイバーセキュリティセンター (CCCS) は、GC クラウドプロバイダーとして認定されるために満たす必要のある一連の物理的要件と論理的要件の両方を確立しています。 GC クラウドプロバイダーとして承認される前に、クラウドプロバイダーは CCCS に準拠していることを実証する必要があります。 GC とは、クラウド内に保存することが承認されている、政府によって定義されたデータ分類レベルです。
AICPA SOC 2 TSC + HITRUST CSF
HITRUST は、CSF フレームワークのコントロールを利用したコンプライアンスの標準化を目的として、医療業界によって開発されました。当初は ISO27001 に基づいて構築されました。 それ以降、NIST 800-53、AICPA SOC 2 Trust Services Criteria など、多くの一般的なセキュリティ標準に組み込まれ、明示されています。 SOC 2 + HITRUST レポートは、AICPA (米国公認会計士協会) と HITRUST Alliance 間のコラボレーションにより作成され、 サービスの監査人が、Trust Services Criteria と HITRUST CSF の設計と有効性に関する意見をこの同一のレポートで述べています。
英国の Cyber Essentials Plus 認定
Cyber Essentials Plus は、英国政府が支援するスキームで、組織が IT システムに対するサイバーセキュリティの脅威のリスク軽減と評価を実証することを支援します。 この制度では、外部監査人により、ベストプラクティスと最高レベルのセキュリティを確保するための様々な技術的コントロールの実施が求められます。 このスキームは地域に特化したものであるため、この認証は英国地域に限定されています。
PCI DSS コンプライアンス
Payment Card Industry Data Security Standard (PCI DSS) は Visa、MasterCard、Discover Financial Services、JCB International、American Express が 2004 年に策定した一連のセキュリティ基準です。 このコンプライアンス要件は Payment Card Industry Security Standards Council (PCI SSC) によって管理されており、データの盗難や不正利用から、クレジットカード取引とデビットカード取引のセキュリティを保護することを目的として作成されました。 これはクレジットカードデータを含む可能性のある顧客データの処理者である ServiceNow に関連するものです。 ServiceNow は 2023 年にこの認定を受けています。
EU DSA コンプライアンス

ServiceNow と EU デジタルサービス法 (デジタルサービスの単一市場に関する 2022 年 10 月 19 日付欧州議会および理事会規則 (EU) 2022/2065 および指令 2000/31/EC の改正):

EU デジタルサービス法に基づくお問い合わせは、DSACompliance@ServiceNow.com までご連絡ください。
データプライバシーフレームワーク

ServiceNow は、データプライバシーフレームワーク (DPF) プログラムに参加しています。 EU-U.S. DPF、UK Extension to the EU-U.S. DPF、Swiss-U.S. DPF は、それぞれ米国商務省と欧州委員会、英国政府、スイス連邦政府によって開発され、EU、英国、スイスから米国に個人データを移転するための信頼できるメカニズムを米国の組織に提供し、EU、英国、スイスの法律と整合性のあるデータ保護を確保します。

データプライバシーフレームワークプログラムの詳細については、https://www.dataprivacyframework.gov/s/ をご覧ください。 ServiceNow の DPF ポリシーは、https://www.servicenow.com/data-privacy-framework.html から入手できます。
GDPR コンプライアンス データアクセスの拡大やプライバシーバイデザインなどの要件を、シームレスに行われる日常業務の一環として満たすことができるソリューションを提供することで、企業が GDPR に準拠するのを支援します。  さらに見る
リソース 記述 EU でのサービス提供に ServiceNow が投資 『International Data Transfers FAQ (国際的なデータ移転に関する FAQ)』 ServiceNow Security for the UK Public Sector (英国公共部門向けの ServiceNow のセキュリティ) 責任ある AI のガイドライン ホワイトペーパー データ暗号化 『Now Platform の保護』 Regulated Industries and Data Privacy Requirements (IDC) (規制業界とデータプライバシー要件 (IDC))
詳細はこちら ServiceNow は、お客様がセキュリティの脅威から身を守り、データを保護して、進化する国際的な義務に準拠するのを支援します。   詳しく知る GDPR プライバシー セキュリティ コンプライアンス Now Platform