マイクロソフトは、お客様コア データへのアクセスの有無をお客様が検証する方法を提供します。
マイクロソフトは、クラウドにおいてデータ アクセスが最大の課題であることを承知しています。これは、お客様がお客様のデータに必要なときにアクセスできるようにすること、およびお客様以外がアクセスしたかどうかを検出できるようにすることを意味します。
アクセスに関して、マイクロソフトは以下の立場を堅持します。
| 追跡されるデータの種類 | 手順 | |
| Microsoft Online Services | お客様のポータル作成、パスワード リセット | Microsoft Online Services テクニカル サポートにお問い合わせください |
| Exchange Online | Exchange メールボックス アクセス3 | [Exchange コントロール パネル] (Microsoft Online Services ポータル [ログインが必要] の [管理の概要] ページにリンクがあります) にアクセスしてください。 |
| SharePoint Online | SharePoint サイト、記憶域アクセス | Microsoft Online Services テクニカル サポートにお問い合わせください |
| Microsoft Dynamics CRM Online | CRM コア カスタマー データ アクセス | Microsoft Online Services テクニカル サポートにお問い合わせください |
注意:
1コア データとは、お客様がさらなる機密性を期待する可能性があるデータで、サービスが通常の方法で使用される場合、暗号化されてインターネット上を転送されます。コア データとしては、特に、Exchange Online のメールの本文、添付ファイル、SharePoint Online のサイトのコンテンツ、ファイルの本体、インスタント メッセージングの会話、音声会話、およびお客様のエンド カスタマーのやり取りに関する CRM のビジネス データがあります。
2パートナー: チャネル パートナー (お客様にサービスを販売し、お客様に料金を請求するパートナー)、ACS VOIP パートナー、Research in Motion (ホストされる BlackBerry® サービスに関して) などの関連するサービスについてのレポートは、サービスを使用するうえでのデータ アクセスの性格上、利用できません。
3FOPE 管理センターを有効にしている企業のお客様については、管理センターのキューに登録されているメールの管理アクセスは、報告されません。
定義上、データベース管理者は、お客様データを含めてデータベース上のすべてのリソースにアクセスする権限を持つます。ただし、マイクロソフトは、データベースのパフォーマンス チューニングまたはお客様を別のデータベースに移行する作業などのビジネス ニーズ以外の目的でお客様データにアクセスすることを厳しく禁止しています。
以下の表は、データの種類に応じて必要なアクセス権限のレベルを示しています。
| 利用状況データ | アドレス帳データ | お客様データ (コア カスタマー データを除く*) | コア カスタマー データ | |
| 運用対応チーム (主要な担当者のみ) | はい | はい (必要に応じて) | はい (必要に応じて) | はい (例外的に) |
| サポート組織 | はい (サポートの問い合わせに対処するために必要な場合のみ) | はい (サポートの問い合わせに対処するために必要な場合のみ) | はい (サポートの問い合わせに対処するために必要な場合のみ) | いいえ |
| エンジニアリング | はい | 直接にアクセスすることはありません。トラブルシューティング時に転送されることがあります。 | 直接にアクセスすることはありません。トラブルシューティング時に転送されることがあります。 | いいえ |
| パートナー | お客様の許可が必要です。詳細については、「パートナー」を参照してください。 | お客様の許可が必要です。詳細については、「パートナー」を参照してください。 | お客様の許可が必要です。詳細については、「パートナー」を参照してください。 | お客様の許可が必要です。詳細については、「パートナー」を参照してください。 |
| マイクロソフトの他の従業員 | いいえ | いいえ (マーケティングの目的で Office 365 for small business の顧客に対しては「はい」) | いいえ | いいえ |
*コア カスタマー データには、Exchange Online のメールの本文および添付ファイル、SharePoint Online のチーム サイトのコンテンツおよびファイルの本体、インスタント メッセージングの会話、音声会話、およびお客様のエンド カスタマーのやり取りに関する CRM のビジネス データがあります。
お客様は、標準のプロトコルおよびサービスの説明で定義されているアクセス機構を通して、お客様のデータにアクセスし、管理を行うことができます。
お客様のサービスのサブスクリプションまたは使用の終了時には、お客様はお客様のデータをエクスポートします。詳細については、製品使用権 (このトピックに関して権限を持っているソース) で説明されていますが、便宜のために、Office 365 の現在のリリースでは、以下が提供されています。
オンライン サービス満了または終了。オンライン サービス サブスクリプションの満了時または終了時には、お客様はマイクロソフトに以下を連絡する必要があります。
お客様データの削除について一切責任を負いません。これらの条項で記述されている以外に、マイクロソフトはお客様データの継続した保持、エクスポート、および返却について、一切責任を負わないことに、お客様は同意しているものとします。これらの条項に従って、マイクロソフトはお客様データの削除に関して一切責任を負わないことに、お客様は同意しているものとします。
マイクロソフトはお客様データを削除する前に、繰り返し連絡を差し上げます。これにより、お客様は、規定された期間内に操作を行わなかった場合、削除が予定されていることが通知され、注意が喚起されます。
法令により要求されるプライバシー要求に対応するのにお客様が支援を必要としている限りにおいて、多くの契約の下で、お客様は、マイクロソフト カスタマー サポートに問い合わせて、お客様データに対するアクセス、変更、削除、またはブロックに関して支援を受けることができます。標準のツールまたは手順を介して対応できない要求に対しては、追加料金が発生することがあります。
すべての Microsoft Online Services 担当者は、お客様データを扱う責任があり、個々のユーザーを追跡できる方法で、Microsoft Online Services データへのアクセスが許可されています。言い換えると、一意のユーザー名、データ アクセス制御、および監査の使用などを含む一連のシステム制御を通して、責任が強制されます。"Guest" または "Administrator" などの汎用的な名前ではなく、一意のユーザー名を使用して操作を特定の人物に結び付けることにより (バインディングと呼ばれます)、責任を強制します。デジタル証明書や RSA トークンを使用するスマート カード ログインなど 2 要素認証も使用して、このバインディングを強化します。
データへのお客様のアクセスもユーザーの役割によって制限されます。たとえば、システム管理者には、データベース管理アクセス権限は割り当てられません。
マイクロソフトは、お客様データへのアクセス権限が割り当てられるユーザーの役割およびユーザーを厳密に管理します。ユーザーは、アクセス権限を必要とする職務上の正当な理由を添えて、申請書を提出する必要があります。この申請書がユーザーの上司により承認されない限り、ユーザーにアクセス権限が割り当てられることはありません。さらに、アクセス レベルが定期的に確認され、職務上の正当な理由を持つユーザーのみがシステムにアクセスできるようにします。
すべての Microsoft Online Services データ センターには、生体認証のアクセス管理が備わっています。Microsoft Online Services を提供するために使用されるほとんどのデータ センターでは、データ センターに物理的にアクセスする場合、掌紋認証を必要とします。Microsoft Online Services データ センターへのアクセスは、プロキシ カード アクセス リーダー (カード アクセス バッジが必須)、手形生体認証リーダーなどの 2 層認証によって管理されています。
Microsoft Online Services のお客様データへのアクセス管理の詳細については、Microsoft Online プライバシー ポリシー、マイクロソフトの「製品およびサービスを開発する際のプライバシー ガイドライン」、Office 365 セキュリティ サービス説明、Microsoft Online のプライバシー ホワイト ペーパーを参照してください。
四半期ごとに、マイクロソフトのセキュリティ担当者が、データ センターへのアクセスが承認されたことを示すレポートを認証された担当者に送付します。レポートには、現在データ センターへのアクセス権限を持つ人物の一覧が含まれます。認証された担当者は、一覧上で、掲載されているすべての人物がアクセス権限を必要とし、職務を遂行するうえで必要最小限のアクセス レベルしか割り当てられていないことを確認します。認証された担当者は、変更または変更が必要ないことの確認をマイクロソフトのセキュリティ担当者に送り返します。
米国マイクロソフトのすべての従業員は、採用プロセスの一環として完全な標準背景調査に合格する必要があります。背景調査には、学歴、職歴、および犯罪歴に関連する情報に確認が含まれます。
マイクロソフトのすべての新規採用者に課せられる標準背景調査に加えて、お客様データにアクセスする既存および新規の従業員、または主要な物理的および論理的なアクセス制御を管理する従業員は、輸出管理規制のテストを受ける必要があります。輸出管理規制には、米国財務省外国資産管理局 (OFAC) 規制、米国商務省産業安全保障局 (BIS) 規制、および米国国務省国防機器取引管理部 (DDTC) 入国禁止人物規制があります。
連邦政府に関係する環境にアクセスする従業員に対しては、市民権テスト、指紋テストなどその他の情報の確認および背景調査が行われることがあります。
従業員のプライバシーを保護するために、マイクロソフトは背景調査の結果をお客様に提供しません。