Workday コンプライアンス

SOC 1

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday VNDLY

Service Organization Controls (SOC 1) レポートには、お客様の財務報告の内部統制に影響を及ぼす可能性のある、業務受託会社の統制環境に係る情報が記載されています。

当社の SOC 1 Type II レポートは、国際保証業務基準 (ISAE) 第 3402 号 (受託業務に係る内部統制の保証報告書) に従って発行されます。 SOC 1 レポートは、Workday エンタープライズ クラウド アプリケーションに係る統制が効果的に設計および運用されていることを記載したものです。

SOC 2

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice、Workday VNDLY

SOC 2 Type II レポートは、第三者によって実施された当社の統制環境に係る独立評価です。

SOC 2 レポートは、AICPA の Trust サービス基準に基づくものであり、AICPA の AT セクション 101 (保証業務) に従って年 1 回発行されます。 SOC 2 レポートは、Workday アプリケーションのうち、お客様のデータを含むシステムに係る統制が効果的に設計および運用されていることを詳述したものです。Workday エンタープライズ製品の SOC 2 レポートは、Trust サービス規準 (セキュリティ、可用性、機密保持、処理のインテグリティ、プライバシー) をすべて網羅しています。また、SOC 2+ 追加対象領域手続きの一環として NIST サイバーセキュリティ フレームワーク および NIST 800-171 にも対応しており、これらのフレームワークへの Workday の統制のマッピングも監査済みです。

SOC 3

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning

米国公認会計士協会 (AICPA) が策定した SOC 3 フレームワークは、クラウドで保存および処理される情報の機密保持とプライバシー保護を対象としたものです。

SOC 3 レポートは、第三者によって実施された当社の統制環境に係る独立評価です。本レポートは一般公開されており、お客様のデータのセキュリティ、可用性、機密性、処理のインテグリティ、プライバシーに係る統制環境の概要が記載されています。

Workday エンタープライズ製品の SOC 3 レポートをご確認ください。

Workday Adaptive Planning の SOC 3 レポートをご確認ください。

Workday Peakon Employee Voice の SOC 3 レポートをご確認ください。

Workday ストラテジック ソーシングの SOC 3 レポートをご確認ください。

ISO 27001

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday VNDLY

当社の情報セキュリティ マネジメント システム (ISMS) は、世界的に認められた、規格ベースのセキュリティへのアプローチで定められた要件を満たしています。

Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシングの ISO 27001 統合認証をご確認ください。

VNDLY の ISO 27001 認証をご確認ください。

ISO 27017

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning

クラウド サービスの提供や利用に適用される、情報セキュリティ統制の管理および導入の指針となるものです。

Workday エンタープライズ製品と Workday Adaptive Planning の ISO 27017 統合認証をご確認ください。

ISO 27018

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday VNDLY

個人データを処理するクラウド サービス プロバイダ向けのガイドラインを規定しています。

Workday エンタープライズ製品と Workday Adaptive Planning の ISO 27018 統合認証をご確認ください。

VNDLY の ISO 27018 認証をご確認ください。

ISO 27701

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning

この規格は、ISO/IEC 27001 の追加条件として、組織のプライバシー情報マネジメント システム (PIMS) を導入して継続的に改善するための要件とガイドラインを示したものです。

Workday エンタープライズ製品と Workday Adaptive Planning の ISO 27701 統合認証をご確認ください。

PCI DSS

適用対象: Workday エンタープライズ製品

Workday は PCI DSS に準拠しています。対象範囲は、マスクされていないカード保有者データを規定のインテグレーションを通じて保存、処理、転送する隔離環境である Workday Secure Credit Card Environment です。

この環境については、最新の PCI DSS 要件を基準とする認定セキュリティ審査機関の評価を年 1 回受けています。Workday は 2013 年から PCI DSS の準拠を継続しています。Workday Secure Credit Card Environment をご利用のお客様には、ご要望に応じて年次評価報告書のコピーを提供しています。

TRUSTe 企業プライバシーおよびデータ ガバナンス認証

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング

Workday は、TRUSTe 企業プライバシーおよびデータ ガバナンス プラクティス プログラムに参加しています。

このプログラムは、当社のような組織の個人情報に対するプライバシーおよびデータ ガバナンスについての取り組みが、認知されている法律および規制に基づく標準に準拠していることを証明するためのものです。対象としている法規制として、OECD プライバシー ガイドラインや APEC プライバシー フレームワーク、EU 一般データ保護規則 (GDPR)、米国の「医療保険の相互運用性と説明責任に関する法律」(HIPAA)、ISO 27001 情報セキュリティ マネジメント システムに関する国際規格などのプライバシーに関する世界的な法規制があります。

当社の TRUSTe 認証のステータスをご確認ください。

SIG 質問票

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice、Workday VNDLY

Standardized Information Gathering (SIG) 質問票は、業界標準の質問票で、さまざまなリスク管理領域において、情報テクノロジーやデータ セキュリティを評価する際に使用します。

SIG は第三者リスク保証を専門とする世界的な組織 Shared Assessments によって発行されています。Workday は、SIG を基に年に 1 回の自己評価を行い、標準の質問事項に対する当社の統制環境について、詳細をお客様に提供しています。お客様は Workday コミュニティで SIG 質問票をご確認いただけます。

NIST CSF と NIST 800-171

適用対象: Workday エンタープライズ製品

NIST サイバーセキュリティ フレームワーク (CSF) は、サイバーセキュリティ リスクの防止、検知、対応の能力を向上する方法について組織に指針を提供します。NIST Privacy Framework は、組織のプライバシー プログラムを測定および改善するための指針を示したものです。NIST 800-171 基準は、連邦政府外のシステムおよび組織に存在する、管理された非格付け情報の保護に関するものです。

Workday は、関連の SOC 2 統制を NIST CSF、NIST PF、NIST 800-171 基準にマッピング済みです。このマッピングは、Workday の SOC 2+ レポートの一環として監査を受けています。

TrustArc とプライバシー シールド

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング

Workday はプライバシー シールドに積極的に参加しています。Workday はプライバシー シールドに対する第三者検証機関として TRUSTe を利用しています。

当社のプライバシー シールド認証をご確認ください。

EU クラウド行動規範

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning

EU クラウド行動規範 (CCoC) は、クラウド サービス プロバイダ (CSP) が GDPR への準拠を示すための一連の要件です。

Workday の認証をご確認ください。

HIPAA

適用対象: Workday エンタープライズ製品

Workday は、Workday エンタープライズ製品について「医療保険の相互運用性と説明責任に関する法律 (HIPAA)」の第三者認証を受けています。この認証は、個々の医療情報および個人情報の保存、アクセス、共有に関して適切な対策を定めた HIPAA 準拠プログラムが、Workday で実施されていることを保証するものです。

Workday は、この評価の詳細をまとめたホワイトペーパーを発行しています。また、お客様のご要望に応じて業務提携契約 (BAA) を締結しています。この契約により、お客様は HIPAA および「経済的および臨床的健全性のための医療情報技術」(HITECH) の準拠要件を確実に満たすことができます。

FedRAMP Moderate

適用対象: Workday エンタープライズ製品

Federal Risk and Authorization Management Program (FedRAMP) は、連邦政府機関がクラウドベースのシステムを ＩＴ 環境に導入できるようにするための米国政府のプログラムです。FedRAMP は、クラウド テクノロジーおよび連邦政府機関のセキュリティとリスクを評価するアプローチを標準化することで、クラウド上で連邦政府のデータを最高水準で継続的に保護できるようにするものです。

Workday Government Cloud は、FedRAMP 認証によるセキュリティ深刻度の評価で Moderate レベルの評価を受けています。

G-Cloud

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday Peakon Employee Voice

G-Cloud フレームワークは、英国政府とクラウド サービス プロバイダ間の協定です。

クラウド サービス プロバイダは G-Cloud への登録を申請し、承認を得ることで、英国の公共機関にクラウド サービスを販売することが可能になります。G-Cloud フレームワークは、管轄組織である Crown Commercial Services (CCS) によって年 1 回更新されています。

英国の公共機関は現在、CCS デジタル マーケットプレースを通じて Workday のサービスを購入することができます。

Cyber Essentials

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice、Workday VNDLY

Cyber Essentials はサイバー セキュリティの脅威から企業を保護するために英国政府が支援するスキームで、技術的な統制事項の基準が規定されています。

当社の Cyber Essentials 認証をご確認ください。

オーストラリアの IRAP

適用対象: Workday エンタープライズ製品

オーストラリア政府は、クラウド サービスを含む ICT サービスの利用に関するセキュリティ文書を管理しています。この文書は Information Security Manual (ISM) および Protective Security Policy Framework (PSPF) を通じて公開されています。Australian Cyber Security Centre (ACSC) が管理する Infosec Registered Assessors Program (IRAP) では、ISM や PSPF の統制要件に対する組織の有効性を確認する個々の評価機関を承認しています。

Workday は第三者評価機関による IRAP 評価を受けています。ISM および PSPF の統制要件の適合性について、Workday の運用環境は PROTECTED レベルと評価されています。

CSA STAR 自己評価

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング、Workday Peakon Employee Voice、Workday VNDLY

クラウド セキュリティ アライアンス (CSA) の Security, Trust & Assurance Registry (STAR)、Consensus Assessments Initiative Questionnaire (CAIQ) 自己評価は、セキュリティのリスクと統制に関する最新の情報を 1 つの業界標準質問票 (CSA STAR CAIQ) に統合したものです。

Workday は、CSA STAR CAIQ を基に 2 年に 1 回の自己評価を行い、お客様に当社の統制環境に関する詳細を提供しています。本文書では、Workday の統制環境について詳しくご確認いただけます。

TISAX

適用対象: Workday エンタープライズ製品、Workday Adaptive Planning、Workday ストラテジック ソーシング

Trusted Information Security Assessment Exchange (TISAX) は、ENX Association がドイツ自動車工業会の委託を受けて管理しています。欧州自動車業界に情報セキュリティ システムに対する、一貫性のある標準化されたアプローチを提供しています。

ENX ポータルで審査結果をご確認ください。

CCCS CSP ITS Assessment

適用対象: Workday エンタープライズ製品

Canadian Centre for Cyber Security (CCCS) は、カナダ政府 (GC) の省庁および機関が行う CSP サービスの評価を支援する Cloud Service Provider (CSP) Information Technology Security (ITS) Assessment Program を制定しました。CCCS は CSP ITS の技術、運用、手続きに関するアドバイスやガイダンスを提供しています。この評価では、セキュリティ プロセスとセキュリティ管理が、カナダ財務省事務局が公開している Protected B、 Medium Integrity、Medium Availability (PB/M/M) で、情報およびサービスに関する GC パブリック クラウド セキュリティ要件を満たしているか判定します 。