Workday コンプライアンス

SOC 1

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday VNDLY

Service Organization Controls (SOC 1) レポートには、お客様の財務報告の内部統制に影響を及ぼす可能性のある、業務受託会社の統制環境に係る情報が記載されています。

当社の SOC 1 Type II レポートは、国際保証業務基準 (ISAE) 第 3402 号 (受託業務に係る内部統制の保証報告書) に従って発行されます。SOC 1 レポートは、Workday エンタープライズ クラウド アプリケーションに係る統制が効果的に設計および運用されていることを記載したものです。

SOC 2

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice、Workday VNDLY、HiredScore AI for Recruiting、HiredScore AI for Talent Mobility、Workday Contract Lifecycle Management, powered by Evisort AI

SOC 2 Type II レポートは、第三者によって実施された当社の統制環境に係る独立評価です。

SOC 2 レポートは、AICPA (米国公認会計士協会) の Trust サービス基準に基づくものであり、AICPA の AT セクション 101 (保証業務) に従って年 1 回発行されます。SOC 2 レポートは、Workday アプリケーションのうち、お客様のデータを含むシステムに係る統制が効果的に設計および運用されていることを詳述したものです。Workday エンタープライズ製品の SOC 2 レポートは、Trust サービス規準 (セキュリティ、可用性、機密保持、処理のインテグリティ、プライバシー) をすべて網羅しています。また、SOC 2+ 追加対象領域手続きの一環として NIST サイバーセキュリティ フレームワーク および NIST 800-171 にも対応しており、これらのフレームワークへの Workday の統制のマッピングも監査済みです。

SOC 3

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday Peakon Employee Voice、Workday ストラテジック ソーシング

AICPA が策定した SOC 3 フレームワークは、クラウドで保存および処理される情報の機密保持とプライバシー保護を対象としたものです。

SOC 3 レポートは、第三者によって実施された当社の統制環境に係る独立評価です。本レポートは一般公開されており、お客様のデータのセキュリティ、可用性、機密性、処理のインテグリティ、プライバシーに係る統制環境の概要が記載されています。

Workday エンタープライズ製品の SOC 3 レポートをご確認ください。

Workday Adaptive Planning の SOC 3 レポートをご確認ください。

Workday Peakon Employee Voice の SOC 3 レポートをご確認ください。

Workday ストラテジック ソーシングの SOC 3 レポートをご確認ください。

ISO 27001

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday VNDLY、Workday Peakon Employee Voice

当社の情報セキュリティ マネジメント システム (ISMS) は、世界的に認められた、規格ベースのセキュリティへのアプローチで定められた要件を満たしています。

Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice の ISO 27001 統合認証をご確認ください。

VNDLY の ISO 27001 認証をご確認ください。

ISO 27017

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning

クラウド サービスの提供や利用に適用される、情報セキュリティ統制の管理および導入の指針となるものです。

Workday エンタープライズ製品と Workday Adaptive Planning の ISO 27017 統合認証をご確認ください。

ISO 27018

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning

個人データを処理するクラウド サービス プロバイダ向けのガイドラインを規定しています。

Workday エンタープライズ製品と Workday Adaptive Planning の ISO 27018 統合認証をご確認ください。

ISO 27701

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning

この規格は、ISO/IEC 27001 の追加条件として、組織のプライバシー情報マネジメント システム (PIMS) を導入して継続的に改善するための要件とガイドラインを示したものです。

Workday エンタープライズ製品と Workday Adaptive Planning の ISO 27701 統合認証をご確認ください。

ISO 42001

適用対象: Workday ヒューマン キャピタル マネジメント、Workday ファイナンシャル マネジメント (財務管理)、Workday Student、Workday 支出管理、Workday Adaptive Planning、Workday Peakon Employee Voice、Workday 給与計算、Workday ワークフォース管理、Workday タレント マネジメント、Workday 分析とレポート、Workday プラットフォームと製品の拡張機能

ISO 42001 は、組織内で人工知能管理システム (AIMS) の開発、導入、維持管理、継続的な改善を行うための要件を規定する国際規格です。この規格は、AI ベースの製品やサービスを提供/使用する組織向けに設計されており、AI システムの責任ある開発と使用を規定するものです。

統合された ISO 42001 レポートをご確認ください。

NIST AI リスク管理フレームワーク (NIST AI RMF)

適用対象: Workday, Inc.

NIST AI リスク管理フレームワーク (NIST AI RMF) は、個人、組織、社会が AI の潜在的リスクを管理し、AI システムを誠実に 開発し、責任を持って利用できるよう支援するために策定されました。このフレームワークは自発的な利用を前提としており、AI を活用した製品、サービス、システムを誠実・慎重に設計、開発、利用、評価する能力を高めることを目的としています。

当社の NIST AI リスク管理フレームワーク認証をご確認ください。

SIG 質問票

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice、Workday VNDLY

Standardized Information Gathering (SIG) 質問票は、業界標準の質問票で、さまざまなリスク管理領域において、情報テクノロジーやデータ セキュリティを評価する際に使用します。

SIG は第三者リスク保証を専門とする世界的な組織 Shared Assessments が発行しています。Workday は、SIG を基に年に 1 回の自己評価を行い、標準の質問事項に対する当社の統制環境について、詳細をお客様に提供しています。お客様は Workday コミュニティで SIG 質問票をご確認いただけます。

NIST CSF と NIST 800-171

適用対象: Workday エンタープライズ製品

NIST サイバーセキュリティ フレームワーク (CSF) とは、サイバーセキュリティ リスクの防止、検知、対応の能力を向上する方法について組織に指針を提供するものです。NIST Privacy Framework は、組織のプライバシー プログラムを測定および改善するための指針を示したものです。NIST 800-171 基準は、連邦政府外のシステムおよび組織に存在する、管理された非格付け情報の保護に関するものです。

Workday は、関連の SOC 2 統制を NIST CSF、NIST PF、NIST 800-171 基準にマッピング済みです。このマッピングは、Workday の SOC 2+ レポートの一環として監査を受けています。

データ プライバシー フレームワーク

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday VNDLY、HiredScore AI for Recruiting、HiredScore AI for Talent Mobility、Workday Contract Lifecycle Management, powered by Evisort AI

Workday はデータ プライバシー フレームワーク プログラムに積極的に参加しています。Workday はデータ プライバシー フレームワークに対する第三者検証機関として TRUSTe を利用しています。

当社のデータ プライバシー フレームワーク認証をご確認ください。

エンタープライズ プライバシーとデータ プライバシー ガバナンス プラクティス認証

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday VNDLY、HiredScore AI for Recruiting、HiredScore AI for Talent Mobility、Workday Contract Lifecycle Management, powered by Evisort AI

このプログラムは、当社のような組織の個人情報に対するプライバシーおよびデータ ガバナンスについての取り組みが、認知されている法律および規制に基づく標準に準拠していることを証明するためのものです。対象としている法規制として、OECD プライバシー ガイドライン、EU 一般データ保護規則 (GDPR)、米国の「医療保険の相互運用性と説明責任に関する法律」(HIPAA)、APEC プライバシー フレームワーク、ISO 27001 情報セキュリティ マネジメント システムに関する国際規格などのプライバシーに関する世界的な法規制があります。

当社の TRUSTe 認証のステータスをご確認ください。

グローバル越境プライバシー ルール (CBPR) 認証および処理者向けグローバル プライバシー評価 (PRP) 認証

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice、Workday VNDLY、HiredScore AI for Recruiting、HiredScore AI for Talent Mobility、Workday Contract Lifecycle Management, powered by Evisort AI

グローバル CBPR 制度は、消費者が個人情報の保護を信頼できる方法で、企業が法域を越えて個人情報を移転する手段を提供します。グローバル PRP 制度は、データ処理者が個人情報の処理能力を証明し、その処理がグローバル CBPR 制度に基づく管理者の適用要件に最低限準拠していることを保証できるように設計されています。

グローバル CBPR フォーラムで、当社の認証をご確認ください。

EU クラウド行動規範

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning

EU クラウド行動規範 (CCoC) は、クラウド サービス プロバイダ (CSP) が GDPR への準拠を示すための一連の要件です。

準拠 ID: 2019LVL02SCOPE001

Workday の認証をご確認ください。

HIPAA

適用対象: Workday エンタープライズ製品

Workday は、Workday エンタープライズ製品について「医療保険の相互運用性と説明責任に関する法律 (HIPAA)」の第三者認証を受けています。この認証は、個々の医療情報および個人情報の保存、アクセス、共有に関して適切な対策を定めた HIPAA 準拠プログラムが、Workday で実施されていることを保証するものです。

FedRAMP Moderate

適用対象: Workday エンタープライズ製品

Federal Risk and Authorization Management Program (FedRAMP) は、連邦政府機関がクラウドベースのシステムを IT 環境に導入できるようにするための米国政府のプログラムです。FedRAMP は、クラウド テクノロジーおよび連邦政府機関のセキュリティとリスクを評価するアプローチを標準化することで、クラウド上で連邦政府のデータを最高水準で継続的に保護できるようにするものです。

Workday Government Cloud は、FedRAMP 認証によるセキュリティ深刻度の評価で Moderate レベルの評価を受けています。

G-Cloud

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday Peakon Employee Voice

G-Cloud フレームワークは、英国政府とクラウド サービス プロバイダ間の協定です。

クラウド サービス プロバイダは G-Cloud への登録を申請し、承認を得ることで、英国の公共機関にクラウド サービスを販売することが可能になります。G-Cloud フレームワークは、管轄組織である Crown Commercial Services (CCS) によって年 1 回更新されています。

英国の公共機関は現在、CCS デジタル マーケットプレースを通じて Workday のサービスを購入することができます。

Cyber Essentials Plus

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice、Workday VNDLY

Cyber Essentials Plus はサイバー セキュリティの脅威から企業を保護するために英国政府が支援するスキームで、技術的な統制事項の基準が規定されています。

当社の Cyber Essentials Plus 認証をご確認ください。

オーストラリアの IRAP

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning

オーストラリア政府は、クラウド サービスを含む ICT サービスの利用に関するセキュリティ文書を管理しています。この文書は Information Security Manual (ISM) および Protective Security Policy Framework (PSPF) を通じて公開されています。Australian Cyber Security Centre (ACSC) が管理する Infosec Registered Assessors Program (IRAP) では、ISM や PSPF の統制要件に対する組織の有効性を確認する個々の評価機関を承認しています。

Workday は第三者評価機関による IRAP 評価を受けています。ISM および PSPF の統制要件の適合性について、Workday の運用環境は PROTECTED レベルと評価されています。

CSA 認定クラウド プロバイダ

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice、Workday VNDLY

既存のクラウド セキュリティ アライアンス プログラムに基づいて開発された認定クラウド プロバイダ プログラムにより、総合的なセキュリティの確保に取り組んでいることを実証できます。このプログラムは、セキュリティ要件に準拠したクラウド プロバイダを探しているお客様にとっての参照情報になります。

CSA STAR 自己評価

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice、Workday VNDLY

クラウド セキュリティ アライアンス (CSA) の Security, Trust & Assurance Registry (STAR)、Consensus Assessments Initiative Questionnaire (CAIQ) は、セキュリティのリスクと統制に関する最新の情報を 1 つの業界標準質問票に統合したものです。Workday の多くのお客様が、社内でベンダー評価を独自に行う際に CSA の質問票を利用されています。

Workday は CSA STAR レジストリの STAR レベル 1 の認定を受けています。Workday の STAR レジストリ認定をご確認ください。

TISAX

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング

Trusted Information Security Assessment Exchange (TISAX) は、ENX Association がドイツ自動車工業会の委託を受けて管理しています。欧州自動車業界に情報セキュリティ システムに対する、一貫性のある標準化されたアプローチを提供しています。

ENX ポータルで審査結果をご確認ください。

CCCS CSP ITS Assessment

適用対象: Workday エンタープライズ製品

Canadian Centre for Cyber Security (CCCS) は、カナダ政府 (GC) の省庁および機関が行う CSP サービスの評価を支援する Cloud Service Provider (CSP) Information Technology Security (ITS) Assessment Program を制定しました。CCCS は CSP ITS の技術、運用、手続きに関するアドバイスやガイダンスを提供しています。この評価では、セキュリティ プロセスとセキュリティ管理が、カナダ財務省事務局が公開している Protected B、 Medium Integrity、Medium Availability (PB/M/M) で、情報およびサービスに関する GC パブリック クラウド セキュリティ要件を満たしているか判定します 。