Workday コンプライアンス
工作日のコンプライアンスプログラム
当社の厳格なコンプライアンス プログラムは、第三者による監査および国際認証で構成されています。これにより、データ セキュリティとプライバシーを確保し、セキュリティの脅威やデータ漏洩を防止し、お客様のデータへの不正アクセスを阻止しています。
お客様の組織に適したコンプライアンス リソース
SOC 1
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning
Service Organization Controls (SOC 1) レポートには、お客様の財務報告の内部統制に影響を及ぼす可能性のある、業務受託会社の統制環境に係る情報が記載されています。
当社の SOC 1 Type II レポートは、国際保証業務基準 (ISAE) 第 3402 号 (受託業務に係る内部統制の保証報告書) に従って発行されます。SOC 1 レポートは、Workday エンタープライズ クラウド アプリケーションに係る統制が効果的に設計および運用されていることを記載したものです。本レポートは 6 か月ごとに発行され、対象期間は 4 月 1 日から 9 月 30 日と 10 月 1 日から 3 月 31 日です。
SOC 2
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice
SOC 2 Type II レポートは、第三者によって実施された当社の統制環境に係る独立評価です。
SOC 2 レポートは、AICPA の Trust サービス基準に基づくものであり、AICPA の AT セクション 101 (保証業務) に従って年 1 回発行されます。本レポートは、Workday アプリケーションのうち、お客様のデータを含むシステムの統制が効果的に設計および運用されていることを詳述したものです。対象期間は 10 月 1 日から 9 月 30 日の 12 か月間です。Workday エンタープライズ製品の SOC 2 レポートは、Trust サービス規準 (セキュリティ、可用性、機密保持、処理のインテグリティ、プライバシー) をすべて網羅しています。また、SOC 2+ 追加対象領域手続きの一環として NIST サイバーセキュリティ フレームワーク および NIST 800-171 にも対応しており、これらのフレームワークへの Workday の統制のマッピングも監査済みです。
SOC 3
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning
米国公認会計士協会 (AICPA) が策定した SOC 3 フレームワークは、クラウドで保存および処理される情報の機密保持とプライバシー保護を対象としたものです。
SOC 3 レポートは、第三者によって実施された当社の統制環境に係る独立評価です。本レポートは一般公開されており、お客様のデータのセキュリティ、可用性、機密性、処理のインテグリティ、プライバシーに係る統制環境の概要が記載されています。
Workday エンタープライズ製品のSOC 3 レポートをご確認ください。
Workday Adaptive Planning のSOC 3 レポートをご確認ください。
Workday Peakon のSOC 3 レポートをご確認ください。
Workday ストラテジック ソーシングのSOC 3 レポートをご確認ください。
PCI DSS
適用対象: Workday エンタープライズ製品
Workday は PCI DSS に準拠しています。対象範囲は、マスクされていないカード保有者データを規定のインテグレーションを通じて保存、処理、転送する隔離環境である Workday Secure Credit Card Environment です。
この環境については、最新の PCI DSS 要件を基準とする認定セキュリティ審査機関の評価を年 1 回受けています。Workday は 2013 年から PCI DSS の準拠を継続しています。Workday Secure Credit Card Environment をご利用のお客様には、ご要望に応じて年次評価報告書のコピーを提供しています。
TRUSTe 企業プライバシーおよびデータ ガバナンス認証
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング
Workday は、TRUSTe 企業プライバシーおよびデータ ガバナンス プラクティス プログラムに参加しています。
このプログラムは、当社のような組織の個人情報に対するプライバシーおよびデータ ガバナンスについての取り組みが、認知されている法律および規制に基づく標準に準拠していることを証明するためのものです。対象としている法規制として、OECD プライバシー ガイドラインや APEC プライバシー フレームワーク、EU 一般データ保護規則 (GDPR)、米国の「医療保険の相互運用性と説明責任に関する法律」(HIPAA)、ISO 27001 情報セキュリティ マネジメント システムに関する国際規格などのプライバシーに関する世界的な法規制があります。
当社の TRUSTe認証のステータスをご確認ください。
SIG 質問票
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice
Standardized Information Gathering (SIG) 質問票は、業界標準の質問票で、さまざまなリスク管理領域において、情報テクノロジーやデータ セキュリティを評価する際に使用します。
SIG は第三者リスク保証を専門とする世界的な組織 Shared Assessments によって発行されています。Workday は、SIG を基に年に 1 回の自己評価を行い、標準の質問事項に対する当社の統制環境について、詳細をお客様に提供しています。お客様は Workday コミュニティでSIG 質問票をご確認いただけます。
NIST CSF と NIST 800-171
適用対象: Workday エンタープライズ製品
NIST サイバーセキュリティ フレームワーク (CSF) は、サイバーセキュリティ リスクの防止、検知、対応の能力を向上する方法について組織に指針を提供します。NIST Privacy Framework は、組織のプライバシー プログラムを測定および改善するための指針を示したものです。NIST 800-171 基準は、連邦政府外のシステムおよび組織に存在する、管理された非格付け情報の保護に関するものです。
Workday は、関連の SOC 2 統制を NIST CSF、NIST PF、NIST 800-171 基準にマッピング済みです。このマッピングは、Workday の SOC 2+ レポートの一環として監査を受けています。
TrustArc とプライバシー シールド
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング
Workday はプライバシー シールドに積極的に参加しています。Workday はプライバシー シールドに対する第三者検証機関として TRUSTe を利用しています。
当社のプライバシー シールド認証をご確認ください。
EU クラウド行動規範
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning
EU クラウド行動規範 (CCoC) は、クラウド サービス プロバイダ (CSP) が GDPR への準拠を示すための一連の要件です。
Workday の認証をご確認ください。
HIPAA
適用対象: Workday エンタープライズ製品
Workday は、Workday エンタープライズ製品について「医療保険の相互運用性と説明責任に関する法律 (HIPAA)」の第三者認証を受けています。この認証は、個々の医療情報および個人情報の保存、アクセス、共有に関して適切な対策を定めた HIPAA 準拠プログラムが、Workday で実施されていることを保証するものです。
Workday は、この評価の詳細をまとめたホワイトペーパーを発行しています。また、お客様のご要望に応じて業務提携契約 (BAA) を締結しています。この契約により、お客様は HIPAA および「経済的および臨床的健全性のための医療情報技術」(HITECH) の準拠要件を確実に満たすことができます。
FedRAMPModerate
適用対象: Workday エンタープライズ製品
Federal Risk and Authorization Management Program (FedRAMP) は、連邦政府機関がクラウドベースのシステムを IT 環境に導入できるようにするための米国政府のプログラムです。FedRAMP は、クラウド テクノロジーおよび連邦政府機関のセキュリティとリスクを評価するアプローチを標準化することで、クラウド上で連邦政府のデータを最高水準で継続的に保護できるようにするものです。
Workday Government Cloud は、FedRAMP 認証によるセキュリティ深刻度の評価で Moderate レベルの評価を受けています。
G-Cloud
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday Peakon Employee Voice
G-Cloud フレームワークは、英国政府とクラウド サービス プロバイダ間の協定です。
クラウド サービス プロバイダは G-Cloud への登録を申請し、承認を得ることで、英国の公共機関にクラウド サービスを販売することが可能になります。G-Cloud フレームワークは、管轄組織である Crown Commercial Services (CCS) によって年 1 回更新されています。
英国の公共機関は現在、CCS デジタル マーケットプレースを通じて Workday のサービスを購入することができます。
Cyber Essentials
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice
Cyber Essentials はサイバー セキュリティの脅威から企業を保護するために英国政府が支援するスキームで、技術的な統制事項の基準が規定されています。
当社の Cyber Essentials認証をご確認ください。
オーストラリアの IRAP
適用対象: Workday エンタープライズ製品
オーストラリア政府は、クラウド サービスを含む ICT サービスの利用に関するセキュリティ文書を管理しています。この文書は Information Security Manual (ISM) および Protective Security Policy Framework (PSPF) を通じて公開されています。Australian Cyber Security Centre (ACSC) が管理する Infosec Registered Assessors Program (IRAP) では、ISM や PSPF の統制要件に対する組織の有効性を確認する個々の評価機関を承認しています。
Workday は第三者評価機関による IRAP 評価を受けています。ISM および PSPF の統制要件の適合性について、Workday の運用環境は PROTECTED レベルと評価されています。
TISAX
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング
Trusted Information Security Assessment Exchange (TISAX) は、ENX Associationがドイツ自動車工業会の委託を受けて管理しています。欧州自動車業界に情報セキュリティ システムに対する、一貫性のある標準化されたアプローチを提供しています。
ENXポータルで審査結果をご確認ください。
CCCS CSP评估
適用対象: Workday エンタープライズ製品
Canadian Centre for Cyber Security (CCCS) は、カナダ政府 (GC) の省庁および機関が行う CSP サービスの評価を支援する Cloud Service Provider (CSP) Information Technology Security (ITS) Assessment Program を制定しました。CCCS は CSP ITS の技術、運用、手続きに関するアドバイスやガイダンスを提供しています。この評価では、セキュリティ プロセスとセキュリティ管理が、カナダ財務省事務局が公開している Protected B、 Medium Integrity、Medium Availability (PB/M/M) で、情報およびサービスに関する GC パブリック クラウド セキュリティ要件を満たしているか判定します 。