Workday コンプライアンス
Workday のコンプライアンス プログラム
当社の厳格なコンプライアンス プログラムは、第三者による監査および国際認証で構成されています。データ セキュリティとプライバシーを確保し、セキュリティの脅威やデータ漏洩を防止し、お客様のデータへの不正アクセスを阻止するように厳密に設計されています。
お客様の組織に適したコンプライアンス リソース
SOC 1
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday VNDLY
Service Organization Controls (SOC 1) レポートには、お客様の財務報告の内部統制に影響を及ぼす可能性のある、業務受託会社の統制環境に係る情報が記載されています。
当社の SOC 1 Type II レポートは、国際保証業務基準 (ISAE) 第 3402 号 (受託業務に係る内部統制の保証報告書) に従って発行されます。 SOC 1 レポートは、Workday エンタープライズ クラウド アプリケーションに係る統制が効果的に設計および運用されていることを記載したものです。
SOC 2
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice、Workday VNDLY
SOC 2 Type II レポートは、第三者によって実施された当社の統制環境に係る独立評価です。
SOC 2 レポートは、AICPA の Trust サービス基準に基づくものであり、AICPA の AT セクション 101 (保証業務) に従って年 1 回発行されます。 SOC 2 レポートは、Workday アプリケーションのうち、お客様のデータを含むシステムに係る統制が効果的に設計および運用されていることを詳述したものです。Workday エンタープライズ製品の SOC 2 レポートは、Trust サービス規準 (セキュリティ、可用性、機密保持、処理のインテグリティ、プライバシー) をすべて網羅しています。また、SOC 2+ 追加対象領域手続きの一環として NIST サイバーセキュリティ フレームワーク および NIST 800-171 にも対応しており、これらのフレームワークへの Workday の統制のマッピングも監査済みです。
SOC 3
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday Peakon Employee Voice、Workday ストラテジック ソーシング
米国公認会計士協会 (AICPA) が策定した SOC 3 フレームワークは、クラウドで保存および処理される情報の機密保持とプライバシー保護を対象としたものです。
SOC 3 レポートは、第三者によって実施された当社の統制環境に係る独立評価です。本レポートは一般公開されており、お客様のデータのセキュリティ、可用性、機密性、処理のインテグリティ、プライバシーに係る統制環境の概要が記載されています。
Workday エンタープライズ製品の SOC 3 レポートをご確認ください。
Workday Adaptive Planning の SOC 3 レポートをご確認ください。
Workday Peakon Employee Voice の SOC 3 レポートをご確認ください。
Workday ストラテジック ソーシングの SOC 3 レポートをご確認ください。
ISO 27001
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday VNDLY、Workday Peakon Employee Voice
当社の情報セキュリティ マネジメント システム (ISMS) は、世界的に認められた、規格ベースのセキュリティへのアプローチで定められた要件を満たしています。
Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice の ISO 27001 統合認証をご確認ください。
VNDLY の ISO 27001 認証をご確認ください。
ISO 27017
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning
クラウド サービスの提供や利用に適用される、情報セキュリティ統制の管理および導入の指針となるものです。
Workday エンタープライズ製品と Workday Adaptive Planning の ISO 27017 統合認証をご確認ください。
ISO 27018
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning
個人データを処理するクラウド サービス プロバイダ向けのガイドラインを規定しています。
Workday エンタープライズ製品と Workday Adaptive Planning の ISO 27018 統合認証をご確認ください。
ISO 27701
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning
この規格は、ISO/IEC 27001 の追加条件として、組織のプライバシー情報マネジメント システム (PIMS) を導入して継続的に改善するための要件とガイドラインを示したものです。
Workday エンタープライズ製品と Workday Adaptive Planning の ISO 27701 統合認証をご確認ください。
TRUSTe 企業プライバシーおよびデータ ガバナンス認証
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング
Workday は、TRUSTe 企業プライバシーおよびデータ ガバナンス プラクティス プログラムに参加しています。
このプログラムは、当社のような組織の個人情報に対するプライバシーおよびデータ ガバナンスについての取り組みが、認知されている法律および規制に基づく標準に準拠していることを証明するためのものです。対象としている法規制として、OECD プライバシー ガイドラインや APEC プライバシー フレームワーク、EU 一般データ保護規則 (GDPR)、米国の「医療保険の相互運用性と説明責任に関する法律」(HIPAA)、ISO 27001 情報セキュリティ マネジメント システムに関する国際規格などのプライバシーに関する世界的な法規制があります。
当社の TRUSTe 認証のステータスをご確認ください。
SIG 質問票
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice、Workday VNDLY
Standardized Information Gathering (SIG) 質問票は、業界標準の質問票で、さまざまなリスク管理領域において、情報テクノロジーやデータ セキュリティを評価する際に使用します。
SIG は第三者リスク保証を専門とする世界的な組織 Shared Assessments によって発行されています。Workday は、SIG を基に年に 1 回の自己評価を行い、標準の質問事項に対する当社の統制環境について、詳細をお客様に提供しています。お客様は Workday コミュニティで SIG 質問票をご確認いただけます。
NIST CSF と NIST 800-171
適用対象: Workday エンタープライズ製品
NIST サイバーセキュリティ フレームワーク (CSF) は、サイバーセキュリティ リスクの防止、検知、対応の能力を向上する方法について組織に指針を提供します。NIST Privacy Framework は、組織のプライバシー プログラムを測定および改善するための指針を示したものです。NIST 800-171 基準は、連邦政府外のシステムおよび組織に存在する、管理された非格付け情報の保護に関するものです。
Workday は、関連の SOC 2 統制を NIST CSF、NIST PF、NIST 800-171 基準にマッピング済みです。このマッピングは、Workday の SOC 2+ レポートの一環として監査を受けています。
TrustArc とプライバシー シールド
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング
Workday はプライバシー シールドに積極的に参加しています。Workday はプライバシー シールドに対する第三者検証機関として TRUSTe を利用しています。
当社のプライバシー シールド認証をご確認ください。
EU クラウド行動規範
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning
EU クラウド行動規範 (CCoC) は、クラウド サービス プロバイダ (CSP) が GDPR への準拠を示すための一連の要件です。
準拠 ID: 2019LVL02SCOPE001
Workday の認証をご確認ください。
HIPAA
適用対象: Workday エンタープライズ製品
Workday は、Workday エンタープライズ製品について「医療保険の相互運用性と説明責任に関する法律 (HIPAA)」の第三者認証を受けています。この認証は、個々の医療情報および個人情報の保存、アクセス、共有に関して適切な対策を定めた HIPAA 準拠プログラムが、Workday で実施されていることを保証するものです。
FedRAMP Moderate
適用対象: Workday エンタープライズ製品
Federal Risk and Authorization Management Program (FedRAMP) は、連邦政府機関がクラウドベースのシステムを IT 環境に導入できるようにするための米国政府のプログラムです。FedRAMP は、クラウド テクノロジーおよび連邦政府機関のセキュリティとリスクを評価するアプローチを標準化することで、クラウド上で連邦政府のデータを最高水準で継続的に保護できるようにするものです。
Workday Government Cloud は、FedRAMP 認証によるセキュリティ深刻度の評価で Moderate レベルの評価を受けています。
G-Cloud
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday Peakon Employee Voice
G-Cloud フレームワークは、英国政府とクラウド サービス プロバイダ間の協定です。
クラウド サービス プロバイダは G-Cloud への登録を申請し、承認を得ることで、英国の公共機関にクラウド サービスを販売することが可能になります。G-Cloud フレームワークは、管轄組織である Crown Commercial Services (CCS) によって年 1 回更新されています。
英国の公共機関は現在、CCS デジタル マーケットプレースを通じて Workday のサービスを購入することができます。
Cyber Essentials Plus
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice、Workday VNDLY
Cyber Essentials Plus はサイバー セキュリティの脅威から企業を保護するために英国政府が支援するスキームで、技術的な統制事項の基準が規定されています。
当社の Cyber Essentials Plus 認証をご確認ください。
オーストラリアの IRAP
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning
オーストラリア政府は、クラウド サービスを含む ICT サービスの利用に関するセキュリティ文書を管理しています。この文書は Information Security Manual (ISM) および Protective Security Policy Framework (PSPF) を通じて公開されています。Australian Cyber Security Centre (ACSC) が管理する Infosec Registered Assessors Program (IRAP) では、ISM や PSPF の統制要件に対する組織の有効性を確認する個々の評価機関を承認しています。
Workday は第三者評価機関による IRAP 評価を受けています。ISM および PSPF の統制要件の適合性について、Workday の運用環境は PROTECTED レベルと評価されています。
CSA STAR 自己評価
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice、Workday VNDLY
クラウド セキュリティ アライアンス (CSA) の Security, Trust & Assurance Registry (STAR)、Consensus Assessments Initiative Questionnaire (CAIQ) 自己評価は、セキュリティのリスクと統制に関する最新の情報を 1 つの業界標準質問票 (CSA STAR CAIQ) に統合したものです。
Workday は、CSA STAR CAIQ を基に 2 年に 1 回の自己評価を行い、お客様に当社の統制環境に関する詳細を提供しています。本文書では、Workday の統制環境について詳しくご確認いただけます。
TISAX
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング
Trusted Information Security Assessment Exchange (TISAX) は、ENX Association がドイツ自動車工業会の委託を受けて管理しています。欧州自動車業界に情報セキュリティ システムに対する、一貫性のある標準化されたアプローチを提供しています。
ENX ポータルで審査結果をご確認ください。
CCCS CSP ITS Assessment
適用対象: Workday エンタープライズ製品
Canadian Centre for Cyber Security (CCCS) は、カナダ政府 (GC) の省庁および機関が行う CSP サービスの評価を支援する Cloud Service Provider (CSP) Information Technology Security (ITS) Assessment Program を制定しました。CCCS は CSP ITS の技術、運用、手続きに関するアドバイスやガイダンスを提供しています。この評価では、セキュリティ プロセスとセキュリティ管理が、カナダ財務省事務局が公開している Protected B、 Medium Integrity、Medium Availability (PB/M/M) で、情報およびサービスに関する GC パブリック クラウド セキュリティ要件を満たしているか判定します 。
TX-RAMP
適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice、Workday VNDLY
Texas Risk and Authorization Management Program (TX-RAMP) は、テキサス州政府機関にデータを送信するクラウド製品やサービスのセキュリティ対策を審査するための DIR プログラムです。クラウド プロバイダが承認を得るためには、規定の DIR フレームワークや継続的なコンプライアンスに準拠する必要があります。TX-RAMP は上院法案 475 の要件に基づいて設立されました。
Workday は TX-RAMP レベル 2 認証を取得しています。
適応力の獲得