海外拠点あり法人の Gmail／Workspace｜データ所在地と契約の確認ポイント

企業のグローバル化に伴い、日本国内だけでなく海外拠点も含めてGoogle Workspace（旧G Suite）を導入するケースが増えています。しかし、海外拠点が絡む場合、単なるアカウント発行以上の「法規制」「データ所在地」「契約主体」という3つの大きな壁に直面します。

特に、欧州のGDPR（一般データ保護規則）への対応や、特定の国でのサイバーセキュリティ法遵守を求められる際、「Gmailのデータは物理的にどこにあるのか？」という問いに答えられなければ、コンプライアンス違反のリスクが生じます。本記事では、IT実務担当者が海外拠点向けのWorkspace環境を構築・運用する際に必ず押さえておくべきポイントを、Googleの公式ドキュメントに基づき徹底解説します。

海外拠点におけるGoogle Workspace運用の基本方針

海外拠点を抱える企業がまず直面するのは、管理の「統合」か「分離」かという選択です。

1つのドメイン（テナント）で運用するか、別ドメインにするか

実務上、最も推奨されるのは「1つのテナント（ドメイン）で組織部門（OU）を分けて管理すること」です。これにより、グローバルでのディレクトリ統合、シームレスなカレンダー共有、ドキュメントの共同編集が可能になります。

一方で、買収した海外子会社の独立性が極めて高い場合や、法的な理由でデータを完全に切り離す必要がある場合は、別テナントでの運用も検討されます。しかし、その場合はライセンス費用の二重支払いや、管理工数の増大というデメリットが生じます。社内インフラの全体像を捉え直す際は、SaaSコストとオンプレ負債を断つためのアーキテクチャ設計を参考に、長期的な管理コストを見極める必要があります。

契約主体（日本本部 vs 現地法人）の比較

契約を日本で一括して行うか、現地で個別に行うかは、以下の表のように整理できます。

データの所在地（Data Residency）を制御する実務

グローバル企業にとって最も重要な設定が「データリージョン」です。これは、組織のデータ（Gmail、Googleドライブ、カレンダーなど）を特定の地理的な場所（米国または欧州）に保存するよう指定する機能です。

データ所在地指定機能が利用可能なエディション

全てのプランでデータ所在地の指定ができるわけではありません。以下のエディションが対象です（2024年現在の仕様）。

• Google Workspace Enterprise Standard
• Google Workspace Enterprise Plus
• Google Workspace for Education Standard / Plus

※Business Starter/Standard/Plusプランでは、データの保存場所を明示的に指定・固定することはできません。特定の地域にデータを留める必要がある場合は、Enterpriseへのアップグレードが必須となります。

【実務手順】データリージョンの設定ステップ

データリージョンの設定は、組織全体ではなく「組織部門（OU）」や「グループ」単位で適用できます。例えば、欧州拠点の社員のみを欧州リージョンに設定することが可能です。

1. Google 管理コンソールにログインします。
2. [アカウント] ＞ [データの設定] に移動します。
3. [データ リージョン] をクリックします。
4. 左側のパネルから、設定を適用したい組織部門（OU）を選択します。
5. [地理的な場所] で [米国] または [欧州] を選択し、[保存] をクリックします。

設定後、データの移動には最大で数週間かかる場合があります。移動の進捗状況は管理コンソールのダッシュボードで確認可能です。このプロセスを自動化したり、退職者のデータ保護を強化したりする場合は、Entra IDやOktaを活用したアカウント管理の自動化を組み合わせるのが実務的です。

データの対象範囲と制限事項

「データリージョン」でカバーされるのは、主に「静止データ（Data at Rest）」です。以下の主要サービスのデータが対象となります。

• Gmail: メールの本文、添付ファイル
• Google ドライブ: アップロードされたファイル、Google ドキュメント/スプレッドシート/スライドの本体
• Google カレンダー: 行事の説明、タイトル

ただし、公式ヘルプにも記載がある通り、インデックス作成用のデータや、システム運用のためのメタデータ、一時的なキャッシュなどは対象外となる場合があります。完全な隔離を求める場合は、Googleのコンプライアンスホワイトペーパーを詳細に確認する必要があります。

グローバル法規制とGoogle Workspaceの準拠状況

欧州（GDPR）とセキュリティ基準

欧州に拠点がある場合、GDPRへの準拠は避けて通れません。Google Workspaceは「データ処理補足条項（CDPA）」を提供しており、管理コンソールからこれに同意することが可能です。また、ISO/IEC 27001、27017、27018などの国際的な認証を取得しているため、これらを根拠として現地の監査に対応できます。

中国拠点における利用の現実

中国国内ではGoogleの各種サービスへのアクセスが制限されています（いわゆる「金盾」）。VPNを利用してアクセスする企業も多いですが、現地の法規制（中国サイバーセキュリティ法）により、データの国外移転が厳しく制限される場合があります。中国に大規模な拠点を置く場合は、Workspaceの利用を継続しつつ、現地限定のコミュニケーションツール（WeChat WorkやLarkなど）と併用し、重要なデータの保存場所を分けるなどのアーキテクチャ設計が求められます。

海外拠点を含めた管理体制の構築

グローバル管理において最も頻出するミスは、日本本社の管理者が全権を握りすぎ、現地の緊急対応が遅れることです。これを防ぐために「管理権限の委任」を適切に行います。

• 組織部門（OU）の階層化: 国ごと、または地域（APAC、EMEA、AMERなど）ごとにOUを作成し、それぞれのOUに対して「ユーザー管理」や「パスワードリセット」の権限のみを持つ現地管理者を割り当てます。
• 二段階認証の強制: 海外拠点ではアカウント乗っ取りのリスクが日本以上に高い地域もあります。セキュリティ キー（FIDO2）の利用を推奨、またはGoogle 認証システム等の利用を必須化すべきです。

また、こうした複雑な権限管理や、海外拠点とのデータ連携を効率化するには、ノーコードツールの活用も有効です。例えば、Google Workspace × AppSheetを活用した業務DXを導入することで、現地の入力フォームから本社のスプレッドシートへ、セキュリティを保ったままセキュアにデータを収集する仕組みが構築できます。

コスト最適化とライセンス管理

Google Workspaceの料金は、契約する国によって異なります。しかし、1つのテナントで運用する場合、基本的には「契約主体となる国（多くの場合は日本）」の価格体系が適用されます。円安の影響でライセンスコストが増大している現在、不要なアカウントの削除やエディションの見直しは急務です。

実務上のアドバイスとして、「全社員をEnterpriseにする必要はない」という点があります。データリージョン指定が必要な欧州拠点のメンバーだけをEnterpriseエディションにし、データ所在地に制約のない国内メンバーはBusiness Standardにする、といった「エディションの混在（Partial Domain Licensing）」が可能です（※Googleのリセラー経由で契約している場合に柔軟に対応できることが多いです）。

まとめ：グローバル展開で失敗しないためのチェックリスト

最後に、海外拠点のGoogle Workspace管理者が確認すべき項目をまとめます。

• ライセンス: データ所在地を指定する必要がある拠点（欧州等）に対し、Enterpriseエディションを割り当てているか？
• データリージョン: 管理コンソールで、対象OUのデータ保存先を「欧州」または「米国」に設定したか？
• 法務同意: データ処理補足条項（CDPA）など、必要な法的アドオンに同意しているか？
• 特権管理: 現地担当者に必要最小限の管理権限（デリゲート）を付与しているか？
• 接続性: 中国などの規制地域において、安定したアクセス手段と代替プランを確保しているか？

海外拠点の運用は、単なるITの問題ではなく、各国の法律や商習慣が複雑に絡み合います。公式ドキュメント（Google Workspace 管理者ヘルプ）を常に参照しつつ、自社の法務部門と連携した上で、最適なデータガバナンスを構築してください。