お客様のデータに誰がどのような条件でアクセスできるか

お客様は、理由を問わずいつでも自身が所有する顧客データにアクセスできます。Microsoft の法人向けクラウド サービスでは、データを不正アクセスや不適切な使用から守るための強力な措置を講じています。

お客様のデータに誰がアクセスできるか

Microsoft の法人向けクラウド サービスでは、権限のない人物による不適切なアクセスや使用からお客様の顧客データを守るために役立つ強力な措置を講じています。これには、Microsoft 担当者および外注業者によるアクセスを制限すること、および政府機関による顧客データの要請に対応する要件を慎重に定義することが含まれています。ただし、お客様は、理由を問わずいつでも自身が所有する顧客データにアクセスできます。

お客様は自身の顧客データにいつでもアクセス可能

お客様は Microsoft サブスクリプションの有効期間中いつでも、自身のデータにアクセスできます。Azure、Dynamics 365、Intune、Office 365 のサブスクリプションをお持ちのお客様は、通知することなくデータを取得できます。サブスクリプションの有効期間が終了しても、お客様は自身のデータを保持することができます。


顧客データへのアクセスを制限

Microsoft では、外部か内部かを問わず、権限のない人物による不適切なアクセスや使用からお客様の顧客データを守るために役立つ強力な措置を講じています。これにより、お客様が他のお客様のデータにアクセスすることもできません。


Microsoft はお客様のデータをクラウドの中でどう扱うか

Microsoft クラウド サービスの中で保管され共有される顧客データを処理するときに、そのセキュリティを確実にすることは、私たちが一番に念頭に置いていることです。このドキュメントは、Microsoft クラウド サービスを使ってお客様が共有し保管するデータを Microsoft がどのように取り扱うかについて (これにはサードパーティの使用も含まれます)、セキュリティ、プライバシー、コンプライアンスの面でよく寄せられる質問をまとめたものです。

|

運用プロセスは、Microsoft の法人向けクラウド サービス内での顧客データへのアクセスを制御し、強力な制御機能と認証機能により保護されます。これらは、物理的な保護と論理的な保護の 2 種類に分けられます。

物理的なデータセンター施設へのアクセスは、外側と内側の境界で防御され、各レベルでセキュリティが強化されています。たとえば、周囲のフェンス、警備員、サーバー ラックの施錠、多要素認証によるアクセス制御、統合された警報システム、オペレーション センターによる 24 時間体制のビデオ監視などがあります。

顧客データへの仮想アクセスは業務上の必要性に基づいて制限されます。そのための手段として、ロール ベースのアクセス制御、多要素認証、実稼働データへの継続的なアクセスを最小限に抑えることなどがあります。さらに、顧客データへのアクセスは厳重に記録され、Microsoft と第三者の両方が定期的な監査 (およびサンプル監査) を実施して、アクセスが適切であることを立証します。

加えて、Microsoft は、暗号化を使用して顧客データを保護し、お客様がデータの制御を維持するのを支援します。データがネットワークを介して (ユーザーのデバイスと Microsoft のデータセンターの間、またはデータセンターの内部で) 移動する場合、Microsoft の製品とサービスでは業界標準のセキュア トランスポート プロトコルが使用されます。保存データの保護に関しては、Microsoft は、さまざまな組み込みの暗号化機能を提供しています。

 

Microsoft の法人向けクラウド サービスのほとんどはマルチテナント サービスです。つまり、お客様のデータ、デプロイ、仮想マシンは他のお客様と同じ物理ハードウェアに格納される場合があります。Microsoft は、お客様の顧客データが他のお客様のデータと混在するのを防ぐ目的で考案された専用のテクノロジにより、論理的分離を利用して、各お客様のストレージや処理を分離します。

 

ISO 27001 など、監査対象となる認定を受けたビジネス クラウド サービスは、Microsoft と認定された監査法人によって定期的に検証されます。この検証では、サンプル監査を実施して、アクセスが正当な業務目的でのみ行われていることを証明します。

Microsoft では、適切な担当者が 24 時間 365 日対応できるように、運用およびサポートの担当者を世界各地に配置しています。サービス運用の大半は自動化されているため、人間の介入を必要とする作業はごくわずかです。

 

Microsoft のエンジニアに、クラウドの顧客データに対する既定のアクセス権が与えられることはありません。代わりに、必要なときにのみ、管理者の監視下でアクセス権が付与されます。

 

Microsoft の担当者は、契約で定められたサービスを提供する上で、これに適う目的でのみ顧客データを使用します。たとえば、トラブルシューティングや、機能 (たとえば、マルウェアからの保護) の向上などがあります。

Microsoft の法人向けクラウド サービスでは、顧客データや個人データなど、さまざまなカテゴリのデータが処理されます。このようなデータへのアクセスを必要とする可能性のある作業を Microsoft が外部の企業に委託する場合、その会社は副処理者と見なされます。Microsoft は、この副処理者のリストを下記で開示しています。

 

副処理者は、Microsoft から委託されたオンライン サービスのサポートを提供する目的でのみデータにアクセスでき、その他のどんな目的でもデータを使用することは禁じられています。副処理者には、このデータの機密を保持することが要求されるだけでなく、オンライン サービス使用条件で定められた、Microsoft がお客様に果たす契約責任と同等以上の厳格なプライバシー要件を満たすことが契約上義務付けられます。さらに、副処理者には EU 一般データ保護規則 (GDPR) の要件を順守することも要求されます。たとえば、個人データを保護するための適切な技術的および組織的な施策の実装に関連する要件などがあります。

 

Microsoft は副処理者に対して、Microsoft Supplier Security and Privacy Assurance Program への参加を義務付けています。このプログラムは、データ処理の慣行を標準化し、強化すること、およびサプライヤーのビジネス プロセスとシステムが Microsoft のものと一致させることを目的に設計されています。

 

顧客データおよび個人データを取り扱う副処理者には、厳重な要件が課せられます。顧客データの副処理者は、Microsoft がお客様に EU モデル条項を提供するサービスについて EU モデル条項に同意する必要があります。

 

副処理者は、次に示す範囲内で作業を行うことができます。

  • 特定の Microsoft Online Services を強化するテクノロジを提供する副処理者: 特定のサービスについて指名された副処理者は、そのサービスの提供を支援する過程で、処理、保管、またはその他の目的で顧客データまたは個人データにアクセスすることがあります。

  • Microsoft Online Services をサポートするための補助的なサービスを提供する副処理者: 副処理者は、自社の補助的なサービスを提供する過程で、処理、保管、またはその他の目的で限られた顧客データまたは個人データにアクセスすることがあります。

  • 契約スタッフを派遣する副処理者: 契約スタッフは、Microsoft Online Services のサポート、運用、保守を支援するために Microsoft の従業員と密接に連携して作業にあたり、その過程で、スタッフに顧客データまたは個人データが公開される可能性があります。このような場合も、顧客データは Microsoft の施設内の Microsoft のシステム上にのみ存在し、Microsoft のポリシーと監督の対象となります。オンライン サービスに関連するこのような副処理者による活動は、第三者監査の範囲に含まれます。

お客様に対する Microsoft の契約責任では、顧客データは、Microsoft のビジネス クラウド サービスの使用を通してお客様から Microsoft に提供されるすべてのデータであると定義されています (「Microsoft によるデータの分類方法」をご覧ください)。顧客データの中には、GDPR で個人データと定義されるものもあります。Microsoft は、顧客データに含まれず、オンライン サービスの運用を通じて生成または収集される一部の個人データも処理します。Microsoft Online Services 副処理者リストは、顧客データと個人データの両方を対象とします。

 

つまり、Microsoft Online Services 副処理者リストは、Microsoft Online Services 内の顧客データまたは個人データを処理する権限を与えられた副処理者を特定します。このリストは、オンライン サービス使用条件が適用され、Microsoft がデータ処理者であるすべての Microsoft Online Services に適用されます。

 

Microsoft は、オンライン サービスの副処理者を新規追加する場合、顧客データまたは個人データへのアクセスを伴う可能性のあるサービスの実施が許可される 6 か月前までにその企業の名称を公開します。2

 

この副処理者リストの更新について通知を受け取るには、「マイ ライブラリ」機能の説明にある手順に従ってください。

顧客データに対する政府機関からの要求

Microsoft は、「バック ドア」がないことを保証します。また、政府機関がお客様のデータに直接または自由にアクセスできるようにすることはありません。顧客データに対する政府機関や法執行機関からの要求については特別な要件を課しています。

データ アクセスに関するその他のリソース

Microsoft オンライン サービスのプライバシーに関する声明

Microsoft が取り扱う個人データの種類、およびその取り扱い方法と目的について説明します。

Microsoft のライセンス条項とドキュメント

Microsoft ボリューム ライセンス プログラムを通じてライセンス付与される製品とサービスの使用に関するライセンス条項、使用条件、補足情報にアクセスします。

データ収集に関する情報

Microsoft が収集するデータの種類について説明します。

1 このページの情報は、Microsoft Defender for Endpoint には適用されますが、他の Windows サービスおよび Bing Search Services には適用されません。
2 注: Microsoft が法人向けサポートまたはその他のプロフェッショナル サービス (オンライン サービスのサポートも含まれます) を提供するときに副処理者がどのように使用されるかについては、トラスト センターの Microsoft Professional Services とサプライヤーのセクションをご覧ください。