Google Cloudは2026年7月10日、英財務省(HM Treasury)がGoogle Cloud EMEAを英国金融セクターの重要第三者(CTP)に指定したと発表しました。指定命令は7月8日に制定され、法的指定と3当局による監督は7月13日に始まりました。
CTPに指定されたGoogle Cloud EMEAは、イングランド銀行・PRA・FCAの直接監督を受けます。CTP制度は英国の規制対象金融機関・金融市場インフラ等(firms)側に課された既存要件を置き換えるものではなく、補完するよう設計されています。
Google Cloud EMEAのCTP指定で押さえる8つのポイント
まず、今回の指定の要点を、次の8点に整理しました。
- 英財務省がGoogle Cloud EMEAをCTPに指定
- Google Cloud公式ページの掲載日は7月10日
- 法的指定と当局監督の開始は7月13日
- イングランド銀行・PRA・FCAが直接監督
- 運用リスク・レジリエンス8要件はシステミック第三者サービスに適用
- 基本規則1〜5も同じサービス範囲に適用
- 基本規則6はfirms向け全サービスに適用
- firms側の既存要件は置き換わらない
本記事は2026年7月13日時点の一般的情報であり、法的助言ではありません。指定状況、当局規則、監督声明、契約文書は改訂され得るため、各文書の最新版をご確認ください。
導入や利用の判断は各自の責任で公式情報の最新の内容をご確認ください。設定変更やアップデートを行う場合は、必ず事前にバックアップを取得し、検証環境で確認したうえで実施してください。
英財務省がGoogle Cloud EMEAをCTPに指定
英財務省によるGoogle Cloud EMEAのCTP指定とS.I. 2026/777
今回の変更は規制上の地位であり、Google Cloudは英財務省(HM Treasury)がCTP制度のもとでGoogle Cloud EMEAを英国金融セクターの重要第三者(CTP)に指定したと発表しました。発表文は、利用する英国の規制対象金融機関・金融市場インフラ等(firms)の数と種類、ユースケースの重要度(materiality)を指定で考慮した要素として挙げ、Google CloudはHMTのシステミック影響に関する判断を受け止めて英国金融システムの安定と信認を守る役割を果たすとコミットしています。
仕組みの面では、指定はThe Critical Third Parties (Designation) Regulations 2026 (S.I. 2026/777)によるものです。この命令はFinancial Services and Markets Act 2000(FSMA 2000)第312L条(1)に基づいて2026年7月8日に制定、7月13日に施行され、同条を含む第312L〜312W条はFinancial Services and Markets Act 2023(FSMA 2023)第18条により挿入されました。
HM Treasuryは指定に先立ち、イングランド銀行、PRA、FCAおよび指定対象者に相談しています。3当局のCTP規則は2025年1月1日に発効済みで、命令が施行される2026年7月13日から指定法人に適用され、同日に直接監督が始まります。
指定は、規制当局による認可や承認、推奨を意味するものではありません。指定の逐語は、Google Cloud公式発表のCTP指定に関する記述で確認できます。
S.I. 2026/777で同時指定された4社
この指定命令によってCTPに指定された4社は、次のとおりです。
- Amazon Web Services EMEA SARL
- Google Cloud EMEA Limited
- Microsoft Ireland Operations Limited
- Oracle Corporation UK Limited
Google Cloud発表日とS.I. 2026/777の施行日の違い
指定命令は4社を同じ法的指定日でCTPに指定し、Google Cloudの発表文はそのうちGoogle Cloud EMEAの指定だけを扱っています。Google Cloudページの掲載日と本文中の「On July 10」は7月10日ですが、命令の制定日は7月8日、施行・法的指定日と3当局の監督開始日は7月13日です。
このセクションの用語
- 重要第三者(CTP)
- HM TreasuryがFSMA 2000第312L条にもとづき指定する、サービスの障害や中断が英国金融システムの安定や信認を脅かしうる第三者事業者。指定は認可、承認、推奨を意味しない。
- 英国の規制対象金融機関・金融市場インフラ等(firms)
- PRA・FCAのauthorised personsに加え、relevant service providersとfinancial market infrastructure entitiesを指す。本記事ではfirmsと表記し、一般の英国企業とは区別する。
イングランド銀行・PRA・FCAによるGoogle Cloud EMEAの直接監督
CTPに指定されたことで、Google Cloud EMEAはイングランド銀行、健全性規制機構(PRA)、金融行為規制機構(FCA)の直接監督を受け、発表文は3当局を「英国金融規制当局」と総称しています。発表文は、CTP監督を通じてセクター全体のオペレーショナルレジリエンスを構築することが当局の狙いだと説明し、Google Cloudはこの目的を全面的に支持すると表明しました。
境界として、この支持表明は個々のサービスの可用性や障害発生率について何かを約束するものではありません。発表文が述べているのは、監督の目的への賛意と、当局との対話を続ける姿勢までです。
Google Cloudと英国金融規制当局の今後の対話
実務の面では、Google Cloudはより深い協働の段階に入るにあたり、英国金融規制当局との建設的な関与を続け、継続的な対話が英国金融セクターに具体的な利益をもたらすとの見通しを示しています。直接監督の逐語は、Google Cloud公式発表の監督当局に関する記述で確認できます。
このセクションの用語
- イングランド銀行
- 英国の中央銀行。金融市場インフラの監督も担い、CTP監督では健全性規制機構・金融行為規制機構と共同で規則と監督声明を出している。
- 健全性規制機構(PRA)
- イングランド銀行の一部として、銀行や保険会社などの健全性を規制する当局。オペレーショナルレジリエンスのSS1/21、外部委託のSS2/21といった監督声明を発行している。
- 金融行為規制機構(FCA)
- 金融機関の行為規制と市場の健全性を担う英国の規制当局。CTP監督では、自らのハンドブックにCritical third parties sourcebookを置いている。
CTP規則とSS6/24が示す義務・監督の枠組み
発表文が「CTP regime」のリンク先として示すのは、イングランド銀行・PRA・FCAが2024年11月12日に共同公表した監督声明SS6/24「Operational resilience: Critical third parties to the UK financial sector」です。CTP dutiesの直接の根拠はFinancial Services and Markets Act 2000(FSMA 2000、FSMA 2023により改正)と3当局の規則であり、SS6/24はそれらの解釈・遵守に関する当局の期待を示す共同監督声明に当たります。
SS6/24は、6本のCTP Fundamental Rulesを高位の基本規則として説明しています。各規則の要約と適用範囲を、次の表に整理しました。
| 規則 | 要約 | 適用範囲 |
|---|---|---|
| Rule 1 | 誠実性 | システミック第三者サービス |
| Rule 2 | 技能・注意・勤勉さ | システミック第三者サービス |
| Rule 3 | 慎重な行動 | システミック第三者サービス |
| Rule 4 | 実効的なリスク戦略・管理体制 | システミック第三者サービス |
| Rule 5 | 責任ある組織運営 | システミック第三者サービス |
| Rule 6 | 当局への開示・協力 | firms向け全サービス |
3当局の規則が定め、SS6/24が説明する8件のOperational Risk and Resilience Requirementsは、次のとおりです。
- ガバナンス(Governance)
- リスク管理(Risk management)
- 依存関係とサプライチェーンのリスク管理
- 技術とサイバーレジリエンス
- 変更管理(Change management)
- マッピング(Mapping)
- インシデント管理(Incident management)
- サービスの終了(Termination of services)
SS6/24が示す追加の手続きと情報共有は次のとおりで、インシデント報告は初期・中間・最終の3段階です。ただし、skilled person reviewは通常の一律手続きではなく、当局が権限に基づき命じることがあります。
- 自己評価(self-assessment)
- シナリオテスト
- インシデント管理プレイブック演習
- 当局への情報提供
- 初期・中間・最終のインシデント報告
- 当局が権限に基づき命じ得るskilled person review
- 保証・テスト情報のfirmsとの共有
SS6/24のシステミック第三者サービス適用範囲
当局の法定権限は、CTPがfirmsへ提供するサービス全体に及び得ます。一方、8件のOperational Risk and Resilience RequirementsとCTP Fundamental Rules 1〜5はシステミック第三者サービスに適用され、Rule 6だけはfirms向け全サービスに適用されます。
したがって、すべてのGoogle Cloud顧客が対象になるわけではありませんが、firms向けサービスでも規則ごとに適用範囲が異なります。6本の規則の逐語と8件の要件の詳細は、監督声明SS6/24(PDF)の第5章と第6章で確認可能です。
このセクションの用語
- CTP Fundamental Rules
- CTPが守るべき6本の高位な基本規則。Rule 1〜5とRule 6では適用されるサービス範囲が異なり、各規則の内容は本文の表に整理している。
- システミック第三者サービス
- SS6/24で、CTPが1社以上のfirmsへ提供するサービスのうち、その障害や中断が単独で、または複数サービスを合わせて見た場合に、英国金融システムの安定や信認を脅かしうるものをsystemic third party servicesと呼ぶ。サービスの提供場所は問わない。
- オペレーショナルレジリエンス
- SS6/24では、金融機関やそのグループ、CTP、金融セクター全体が、業務上の障害を防ぎ、適応し、対応し、復旧し、そこから学ぶ能力を指す。
SS6/24が示す英国拠点と連絡窓口の要件
SS6/24が示す英国拠点と連絡窓口の扱いは、次の3点です。
- 英国子会社・支店の新設は不要
- 当局との中央連絡窓口を任命
- 英国内の送達先住所を提供
SS1/21・SS2/21とCTP制度の補完関係
CTP制度は既存規制の置き換えではなく、発表文は、英国の規制対象金融機関・金融市場インフラ等(firms)に対するオペレーショナルレジリエンス要件や外部委託・第三者リスク管理要件を補完するよう設計されていると述べています。SS6/24も、firmsや取締役会、上級管理職の説明責任を排除・軽減・置換せず、firms側にこれらの追加要件を課すものでもないと明記しています。
SS6/24によれば、firmsは相手がCTPかどうかを問わず、外部委託や第三者との取り決めの重要度を判断して相応のデューデリジェンスを行う必要があり、CTP指定は利用側の作業を減らす措置ではありません。補完関係の逐語は、Google Cloud公式発表のCTP制度と既存要件の関係に関する記述で確認できます。
Google CloudのSS1/21・SS2/21資料と版管理
実務として、Google Cloudは既存要件への対応を支援する資料を2種類挙げています。対応する監督声明と資料の役割は、次のとおりです。
| 資料 | 資料日 | 前提文書 | 説明 |
|---|---|---|---|
| SS1/21ホワイトペーパー | 2022年4月 | SS1/21 | 義務対応へのGoogle Cloudの支援 |
| SS2/21マッピング | 2023年1月 | 2021年3月版SS2/21 | Google Cloud契約との対応 |
いずれもGoogle Cloudが作成した情報提供資料で、特にSS2/21マッピングは2023年1月時点の資料です。PRA公式ページが示すSS2/21の版と発効日の時系列は、次のとおりです。
- 2021年3月29日公表/2022年3月31日発効:初版
- 2023年1月:Googleが初版ベースのマッピングを作成
- 2024年11月15日公表/12月31日発効:現行版
- 2026年3月18日公表/2027年3月18日発効:将来版
GoogleのSS2/21マッピングが現在有効な改訂や将来版を反映しているとは限らないため、現行版・将来版・最新のGoogle Cloud契約との差分を確認する必要があります。この資料は、最新の規制本文や個別契約、利用構成を踏まえた法務・コンプライアンス評価を代替しません。
Google Cloudが示した今後の方針
発表文の結びで、Google CloudはCTP制度のもとで英国金融規制当局と協働することを歓迎しました。その際に持ち込むのは、現在顧客とその規制当局に提供しているのと同じ透明性と保証(assurance)へのコミットメントだとしています。
新たな開示施策や製品、監査の枠組みが発表されたわけではなく、同社は、デジタル変革のための最も安全でスケーラブルかつレジリエントなプラットフォームであり続けるという中核的な目標は変わらない、と結んでいます。結びの逐語は、Google Cloud公式発表のLooking aheadの記述で確認できます。
Google Cloud公式発表のメタデータ
Google Cloud公式発表の掲載日と執筆者を、次の表にまとめました。発表は、Jeanette Manfra氏(VP, Head of Risk and Compliance, Google Cloud)とTara Brady氏(President, Google Cloud EMEA)の連名です。
| 項目 | 詳細 |
|---|---|
| 発表元 | Google Cloud |
| Google Cloud掲載日 | 2026年7月10日 |
| 執筆者 | Jeanette Manfra、Tara Brady |
trends編集部の一言
クラウド事業者が金融規制当局の直接監督下に入るという話は日本の開発現場からは遠く見えますが、今回の指定命令は主要なクラウド事業者4社を対象にしています。変わったのは指定事業者側の規制上の地位と監督関係であり、英国の規制対象金融機関・金融市場インフラ等(firms)には従来のレジリエンス、外部委託、第三者リスク管理の責任が残ります。
適用判断では日付、規則ごとのサービス範囲、参照資料の版を分けて確認することが重要です。実務上の確認点を4つに整理します。
- 掲載日7月10日と法的指定日7月13日を区別
- 要件・Rules 1〜5とRule 6の範囲を区別
- SS2/21は現行の2024年11月版を確認
- 2023年1月マッピングと最新契約の差分を確認
References
- Google Cloud. 「Contributing to U.K. financial sector resilience as a critical third party」. https://cloud.google.com/blog/products/identity-security/contributing-to-uk-financial-sector-resilience-as-a-critical-third-party/, (参照 2026-07-13).
- legislation.gov.uk. 「The Critical Third Parties (Designation) Regulations 2026」. https://www.legislation.gov.uk/uksi/2026/777/made, (参照 2026-07-13).
- Bank of England, Prudential Regulation Authority, Financial Conduct Authority. 「Operational resilience: Critical third parties to the UK financial sector (SS6/24)」. https://www.bankofengland.co.uk/-/media/boe/files/prudential-regulation/supervisory-statement/2024/ss624-november-2024.pdf, (参照 2026-07-13).
- Google Cloud. 「Google Cloud & the Prudential Regulation Authority Supervisory Statement 1/21 (SS1/21)」. https://services.google.com/fh/files/misc/pra_ss1_whitepaper_googlecloud.pdf, (参照 2026-07-13).
- Google Cloud. 「PRA Supervisory Statement 2/21 (SS2/21) mapping」. https://services.google.com/fh/files/misc/pra_ss_2_21_gcp_compliancemapping.pdf, (参照 2026-07-13).
- HM Treasury. 「UK financial system strengthened with new safeguards for major technology providers」. https://www.gov.uk/government/news/uk-financial-system-strengthened-with-new-safeguards-for-major-technology-providers, (参照 2026-07-13).
- Financial Conduct Authority. 「UK financial regulators to begin overseeing Critical Third Parties announced by Treasury」. https://www.fca.org.uk/news/statements/uk-financial-regulators-overseeing-critical-third-parties-announced-treasury, (参照 2026-07-13).
- legislation.gov.uk. 「Financial Services and Markets Act 2023 Explanatory Notes」. https://www.legislation.gov.uk/ukpga/2023/29/notes/division/6/index.htm, (参照 2026-07-13).
- Prudential Regulation Authority. 「Outsourcing and third party risk management – SS2/21」. https://www.bankofengland.co.uk/prudential-regulation/publication/2021/march/outsourcing-and-third-party-risk-management-ss, (参照 2026-07-13).
- Prudential Regulation Authority. 「SS7/24 – Reports by skilled persons: Critical third parties」. https://www.bankofengland.co.uk/prudential-regulation/publication/2024/november/reports-by-skilled-persons-critical-third-parties-supervisory-statement, (参照 2026-07-13).
※本記事は公式発表を基に編集しています。内容はAIで確認していますが、誤りや最新情報との差異がある場合は、以下フォームよりご報告ください。
修正・削除・掲載などの依頼はこちらITやプログラミングに関するコラム
【CSS】notで複数の件を除外する方法
【Git】remote設定を変更する方法
【VBA】コメントアウトを設定する方法
x86とx64の違いを分かりやすく解説
マークダウンで改行する方法
CapsLockキーを解除する方法
GitLabとGitHubの違いを解説
Linuxで環境変数を確認する方法
UbuntuのIPアドレスを確認する方法
パソコンのメモリの目安を用途別に選ぶ方法
ITやプログラミングに関するニュース
VercelがAI GatewayにSeedream 5.0 Proを追加、AI SDKのモデル指定で画像生成と編集が可能に
AWSがAmazon LocationのPlaces APIを強化、住所表記の指定と移動手段別の検索が可能に
VercelがトレースにTree・Waterfallビューを追加、ログ画面で処理の階層と所要時間を確認可能に
Googleがエージェント評価の再考を提唱、難易度を情報量で測るDiscovery Benchを解説
Google CloudがCloud Runサンドボックスを公開プレビューで提供、サービスヘルスは一般提供に
Google Cloud EMEAが英国金融の重要第三者に指定、イングランド銀行・PRA・FCAの直接監督下に
AWS DMS Schema ConversionがSQL Serverのオフライン変換に対応、ソースDBへ接続せずスキーマを変換可能に
EC2 G7インスタンスが米国東部(バージニア北部)で利用可能に、G6比でAI推論性能が最大4.6倍
SageMaker HyperPodが継続プロビジョニングでのAMIベース構成に対応、S3のスクリプト管理なしでSlurmクラスターを作成可能に
AWSがEMR on EKSでSparkトラブルシューティングエージェントに対応、失敗ジョブの原因分析を自然言語で依頼可能に
