マイクロソフトは、お客様がお客様の法令要件を遵守するのを透明性を持って支援します。
マイクロソフトの世界中のお客様は、それぞれに異なる多くの法律や規制の対象になっています。1 つの国または業界の法的要件が、他の国または業界で適用される法的要件と矛盾することがあります。マイクロソフトはグローバル クラウド サービスのプロバイダーとして、多様なお客様と司法管轄区全体で共通の運用慣行と機能を使用してサービスを実行する必要があります。お客様がお客様の法的環境を遵守するのを支援するために、マイクロソフトは共通のプライバシーとセキュリティの要件を使用してサービスを構築することを心がけています。 ただし、マイクロソフトのサービスをお客様の法的要件に照らして評価するのは、最終的にはお客様の責任であり、お客様はマイクロソフトのサービスがお客様の法的要件を満たすかどうかを判断できます。マイクロソフトは、マイクロソフトのクラウド サービスについて詳細な情報をお客様に提供し、お客様がお客様の法的評価を実行できるように支援します。
法令遵守に役立つ認証の情報については、[セキュリティ、監査、および認証] セクションを参照してください。
お客様の法的義務を遵守するのは、お客様の義務です。マイクロソフトは、お客様が法的義務を遵守するのに役立つ情報を提供します。マイクロソフトは、IT サービス プロバイダーに一般的に適用されるデータ保護およびプライバシーの法律を遵守します。お客様が業界要件または司法管轄区要件の対象である場合、それらを遵守する能力を備えていることをお客様は自身で評価する必要があります。ただし、多くの業界や地域のお客様が、お客様の特定の状況に適した方法でサービスを利用するならば、適用される法令を遵守して Microsoft Online Services を使用できることを認めています。
たとえば、EU データ保護指令が適用される組織は、自身のポリシー、セキュリティ、およびトレーニングのプログラムを構築して、指令に違反しない方法で Microsoft Online Services を従業員に使用させる必要があります。Microsoft Online Services は、マイクロソフトが策定した約束に従うことにより、マイクロソフトの責任部分を遂行し、お客様が法令を遵守するのを支援します。
たとえば、欧州連合のお客様が連絡先情報を含むお客様リストを保管するとします。Microsoft Online Services では、マイクロソフト担当者がかかる情報に不適切にアクセスしたり、情報を開示したりしないようにするセキュリティ手順を実施しています。ただし、お客様の従業員の一人が、Microsoft Exchange Online のユーザーで、適切な同意なしに、かかるサービスを使用してかかるお客様リストをマーケティング企業に送信したとします。この結果発生する EU データ保護指令要件への違反は、お客様の指示に従って、サービスを提供する通常の方法で電子メールが送信され、Microsoft Online Services から発生したとしても、お客様の責任です。
EU データ保護指令およびマイクロソフトの契約上の同意の下で、Microsoft Online Services は、お客様データの管理人として、本質的には下請業者として機能します (法的には、データ処理者と呼ばれます)。お客様は、データの最終的な所有者であり、マイクロソフトを規則に従わせ、個人データをマイクロソフトに送付することがお客様にとって法的に正当であると判断するのは、法の下でのお客様の責任です (法的には、お客様はデータ管理者と呼ばれます)。お客様がマイクロソフトのサービスを使用してお客様の個人データを処理および保管する場合、お客様固有の状況でお客様のビジネスに対して、お客様は判断する必要があります。
EU データ保護指令の要件は、マイクロソフトのサービスの通常の使用に関して、設計および運用で考慮されています。マイクロソフトは、サービスの進化に関連する変更により問題が発生しないように、この領域を引き続き監視します。
マイクロソフトは、欧州連合および米国商務省との間で同意された米国 Safe Harbor プログラムのメンバーです。これは、マイクロソフトに対して EU データ保護指令の要件を義務付け、 Microsoft Online Services に提供されたデータを欧州連合外に転送することを可能にします。マイクロソフトは、米国商務省の EU Safe Harbor およびほぼ同一のスイス Safe Harbor の下で自己認証しています。マイクロソフトの Safe Harbor 証明書は、http://safeharbor.export.gov/ で参照できます。EU 外へのデータ転送の詳細については、セキュリティ センターの [地理的境界] セクションを参照してください。
一部の国では、法律に従って、重要な個人データのストレージに関するセキュリティ要件も遵守しています。
お客様の国での規則または格納するデータの種類に関して関心がある場合、または、Microsoft Online Services の慣行およびサポートされる機能について詳細を知りたい場合で、必要な情報がサービス文書に見つけられない場合は、サポートにお問い合わせください。役立つ情報を開示することでマイクロソフトのセキュリティが弱体化されない範囲で、お客様の要件に対して Microsoft Online Services の実装が受け入れ可能かどうかをお客様が判断するのに役立つようにこのようにしています。
お客様は上記のよく寄せられる質問を参照し、Microsoft Online Services によってお客様の組織がプライバシー法を遵守できることが、組織が法を遵守しているということを意味するものではないことを理解してください。法を遵守するには、正しい企業ポリシーを実践し、従業員をトレーニングして正しいプライバシー慣行を実行させるなど、その他の手順を実施する必要があります。また、国によっては、情報をデータ保護機関に提出するなど、地域の法令を遵守するためのその他の手順を実行することも必要になります。
詳細については、HIPAA/HITECH FAQ を参照してください。
Microsoft Online Services は、お客様がセキュリティを維持し、不正な使用を防止するのに役立つ技術的および組織的なセーフガードを提供することにより、お客様が GLBA のセキュリティ要件を遵守するのを支援します。マイクロソフトは、要求に応じて、独立した監査機関による第三者証明書の要約レポートを提供できます。
Microsoft Online Services は、クレジット カード番号など PCI により規制されているデータの処理、転送、および保管をサポートしていません。クレジット カードの処理およびデータ ストレージは Microsoft Online Services で提供されている機能ではないため、PCI 標準は Microsoft Online Services に適用できません。 Microsoft Online Services は、 ISO 27001 など業界のベスト プラクティスで定義されている適用可能なセキュリティ ポリシーと管理を適用しています。
ただし、Microsoft Online Services のクレジット カード データを処理する注文、請求、および支払いのシステムは、レベル 1 PCI に準拠しているため、お客様はクレジット カードを使用してこれらのサービスへの支払いをセキュリティで保護された方法で行うことができます。
いいえ。データ処理者としての Microsoft Online Services は、お客様に代わって処理したお客様データを EU 当局に登録しません。