Microsoft におけるプライバシー

A woman standing at a desk in an office, logging in to her laptop.

プライバシーは基本的人権の一つであると Microsoft は考えます。データがどのように収集され使用されるかをお客様が選択できるように、製品、情報、コントロールを提供していくことをお約束します。


お客様のデータを守ることは Microsoft の最優先事項

Microsoft の法人向けクラウド サービスを利用するとき、お客様は最も貴重な資産、つまりデータを Microsoft に預けることになります。データのプライバシーは保護され、お客様の期待に沿う形でのみ使用されますので、ご安心ください。

プライバシーに対する Microsoft の長年にわたる取り組みの根本にあるのは、お客様の顧客データの収集、使用、配布をお客様自身がコントロールできるようにすることの確約です。Microsoft の法人向けクラウド サービス内でのお客様のデータのプライバシー保護に役立つ具体的な方針、運用実務、テクノロジについて、Microsoft は透明性を維持しています。

 

クラウドでのプライバシーに関する考慮事項

GDPR への取り組み

プライバシーへの継続的な取り組みの一環として、Microsoft はデータの取り扱いに関して多数の投資と改善を行い、GDPR と個人のプライバシー権利をサポートしています。

詳細情報

プライバシーの組み込み

セキュリティ開発ライフサイクル (SDL) と "プライバシーに関する声明" で、お客様のデータのプライバシーを維持するための Microsoft の開発プロセスと透明性のあるアプローチをさらに詳しく規定しています。

 

Microsoft セキュリティ開発ライフサイクルMicrosoft セキュリティ開発ライフサイクル (Security Development Lifecycle: SDL): プライバシーの要件は SDL の中で定義され、統合されます。このソフトウェア開発プロセスは、開発者がより安全な製品とサービスを構築するのに役立ちます。SDL は、データ保護とプライバシーの要件 (たとえば、Microsoft の製品またはサービスがリリースされるたびにプライバシー レビューを効果的に行うこと) に対処するのに役立ちます。

 

Microsoft オンライン サービスのプライバシーに関する声明は、Microsoft の責任を文章で表すものであり、データ保護の方針と実務の詳細を明確な言葉でわかりやすく述べています。

Microsoft の契約上の責任が裏付けるプライバシーのベスト プラクティス

Microsoft では、オンライン サービス条件で、ビジネスに対する幅広い契約上の責任を規定しています。Microsoft が顧客データを使用するのは、合意済みのサービスを提供するため、およびそのサービスの提供と矛盾しない目的に限られます。顧客データを広告目的で使用したり、そこから情報を引き出したりすることはありません。

さらに、Microsoft の法人向けサービスでホストされている顧客データを政府機関に公開することは、法律で要求されている場合を除いてありません。法執行機関から顧客データを要求された場合は、そのデータをお客様に直接要求することをその機関に要請します。やむを得ず顧客データを法執行機関に公開することになった場合は、すみやかにお客様に通知するとともに、その要求のコピーをお渡しします (このことが法的に禁止されている場合を除きます)。

加えて、プライバシーに関連する具体的な契約上の責任を、次のように定めています。

ISO/IEC 27018:2014 EU モデル契約条項
|

マイナンバー法 (日本語英語) は 2013 年に制定され、2016 年 1 月に施行されました。この法律に基づいて、マイナンバーと呼ばれる一意の社会保障・税番号が日本国内のすべての居住者に、その国籍を問わず割り当てられます。法律で義務づけられているとおりに事業者がマイナンバー データを適正に扱い、適切に保護できるように、個人情報保護委員会がガイドラインQ&A (日本語) を用意しています。

個人データに対する責任と所有権はお客様にありますが (オンライン サービス条件で定めているとおり)、Microsoft は Azure、Dynamics 365、Intune、および Office 365 の各対象クラウド サービスにおいて、お客様による個人のプライバシー保護に役立つ技術的および組織的なセキュリティ安全策を実装済みであることを、契約上の責任として規定しています。このような安全策は、ISO や SOC (Service Organization Controls) などの確立された業界標準に基づいています。

さらに、Microsoft は、対象クラウド サービスに保管されているマイナンバー データに対して常時アクセス権を持つことはありません。したがって事業者は、Microsoft によるデータの取り扱いを監督する必要はありません (Q3-12 のとおり)。ただし、事業者自身は、クラウドに保管されているマイナンバー データを保護するための適切な安全策を講じる必要があります (Q3-13)。

アルゼンチン憲法に従い、アルゼンチンの個人データ保護法第 25,326 号は、データ ファイル、レジスタ、銀行などの場所に記録されている個人情報を保護することを目的として制定されました。これは、個人のプライバシーの保護に役立てるとともに、個人について記録された情報への適切なアクセス権が本人に付与されるようにするためです。Microsoft はデータ移転に関する合意の中で、アルゼンチンのデータ保護庁規則 11/2006 で規定されている技術的および組織的なセキュリティ対策が Azure、Dynamics 365、Intune、Office 365 の対象サービスにおいて実装済みであることを契約上確約しています。さらに、Microsoft は通知、自社施設の監査、および下請業者の使用に関して重要な確約をしています。

 

アルゼンチンの個人データ保護法の詳細情報 (スペイン語)

カナダのプライバシーに関する法律には、連邦プライバシー法、個人情報保護および電子文書法 (PIPEDA)、アルバータ州個人情報保護法 (PIPA)、ブリティッシュコロンビア州情報自由およびプライバシー保護法 (BC FIPPA) などがあります。これらの法律は、個人のプライバシーを保護することと、個人に関して収集された情報にアクセスする権利をその本人に与えることを目的としています。これらの法律では、組織が保管または制御する情報を安全に保護するために妥当な措置を講じることがその組織に義務付けられています。対象となるのは、政府機関や民間組織がデータ ファイルやレジスタなどの場所に保管し、処理する個人情報です。

個人データに対する責任と所有権はお客様にあります (オンライン サービス条件で定めているとおり)。ただし Microsoft は、Azure および Intune の各対象クラウド サービスにおいて、お客様による個人のプライバシー保護に役立つ技術的および組織的なセキュリティ安全策を実装済みであることを契約上の責任として規定しています。このような安全策は、ISO/IEC 27001 や SOC (Service Organization Controls) フレームワークなどの確立された業界標準に基づいています。Microsoft は、リスク、セキュリティ、およびインシデントの管理、アクセス制御、データ整合性保護、およびその他の領域における自身の実務について、カナダのプライバシー コミッショナー事務所の勧告を基準として評価を行い、対象サービスがその勧告に適合できると判断しました。

プライバシーに関する Microsoft の主要原則

Graphic icon of three slider switches to represent control

コントロール

お客様のプライバシーをお客様自身がコントロールできるように、使いやすいツールと明確な選択肢をご用意します。

Graphic icon of an eye that is wide open.

透明性

お客様が情報に基づいた意思決定を行えるように、データ収集と使用に関する透明性の確保を徹底して行います。

Graphic icon of a shield with an exclamation point in the middle

セキュリティ

お客様のデータを強力なセキュリティと暗号化で保護します。詳細については、Microsoft セキュリティのページをご覧ください。

Graphic icon representing a document box with a shield on the front

強力な法的保護

Microsoft は現地のプライバシー法を尊重し、お客様のプライバシーを権利として法的に保護するために取り組みます。

Graphic icon of a person centered between four corners to represent a target

コンテンツ ベースのターゲティングをしない

お客様のメール、チャット、ファイル、その他の個人的なコンテンツを使用してお客様への広告を配信することはありません。

Graphic icon of a line graph with an arrow representing an upward trend

お客様の利益になる

Microsoft がデータを収集するときは、お客様の利益になることと、お客様のエクスペリエンスを向上させることを目的として、そのデータを使用します。

Microsoft がどのようにデータを管理するか

お客様のデータの所有者はお客様自身

お客様のデータは、合意されたサービスを提供する場合にのみ使用され、脱退した場合には削除されます。

お客様のデータの場所

データを特定の場所、たとえば EU 域内に保持する必要がある場合は、Microsoft の世界各地のデータセンターがお役に立ちます。

誰がデータにアクセスできるか

お客様は所有するデータにいつでも、その理由を問わずアクセスできます。不正アクセスから守られているので安心していただけます。

政府機関からの要請

顧客データを法的に要求された回数を、年 2 回発行するレポートでご覧いただけます。

報告に対する Microsoft のアプローチ

Microsoft の製品とサービスについて情報に基づいた選択ができるように、および CSR についての取り組みを評価していただけるようにしています。

お客様のプライバシーを保護する

Microsoft はメールを捜索令状から守る訴訟に勝ちました。その詳細をお読みください。

Microsoft は、78 件の推奨事項を 15 のポリシー カテゴリにまとめたポリシー ロードマップを用意しています。信頼できる、責任ある、そしてインクルーシブなクラウドにつながる規制環境の基盤としてご利用いただけます。


プライバシーに関するその他のリソース

Graphic icon of a padlock with a white circle in the middle

Microsoft におけるプライバシー

Graphic icon with two rectangular shapes representing documents, the one in front with horizontal lines representing information

Microsoft オンライン サービスのプライバシーに関する声明

Graphic icon representing a person wearing a headset with a microphone

オンライン サービス条件

Graphic icon representing a device screen with information flowing from the screen to the cloud

クラウドにおけるデータとプライバシーの保護

Graphic icon with three rectangular shapes representing two computers and a monitor with a checkmark symbol

GDPR の概要

Graphic icon of three stacked rectangular boxes with checkmarks

コンプライアンスについてクラウド プロバイダーに質問する