サプライヤー管理の概要
Microsoft は、サプライヤーに関連するリスクをどのように管理しますか?
Microsoft は、お客様のニーズを満たすのに役立つサード パーティ企業と提携しています。 これらのサードパーティ企業は、サプライヤーと呼ばれます。 Microsoft のサプライヤーのセキュリティとプライバシーは、Microsoft と提携するすべてのサプライヤーが microsoft のオンライン サービスを提供するための企業全体にわたる要件のセットである、Microsoft のサプライヤー セキュリティとプライバシー アシュアランス (SSPA) プログラムによって管理されます。 SSPAプログラムは、サプライヤーベースの包括的なガバナンスと管理を提供しますが、個々の事業単位はサプライヤーに対する追加の要件を維持する可能性があります。
Microsoft のサプライヤー セキュリティとプライバシー アシュアランス (SSPA) プログラムは、お客様のデータをどのように保護しますか?
SSPA は、Microsoft 調達、企業の社外および法務、および企業セキュリティの間のパートナーシップであり、サプライヤーが Microsoft のプライバシーとセキュリティの原則を確実に遵守することを保証します。 SSPA の範囲は、個人データまたは Microsoft 機密データを処理するすべてのサプライヤーを対象とします。 SSPA プログラムの登録には、Microsoft のデータ保護要件 (DPR) への準拠が含まれます。 DPR は、Microsoft との契約作業を開始する前にサプライヤーが実装する必要があるセキュリティとプライバシー制御で構成されています。 登録されているすべてのサプライヤーは、毎年 DPR への準拠を自己証明します。
DPR 要件の範囲は、サプライヤーが SSPA への登録の一環として承認できる 6 つの異なるデータ処理カテゴリに基づいています。 これらのカテゴリは、サプライヤーが Microsoft に提供するサービスに関連するリスクを特定するために使用されます。 サプライヤーのデータ処理プロファイルは、適切なデータ保護を提供するためにスコープ内と見なされる DPR コントロールを決定します。 リスクが高いと見なされるデータを処理するサプライヤーは、すべての DPR 要件に準拠する必要があり、コンプライアンスの独立した検証を提供する必要もあります。 Microsoft の購入ツールは、そのサプライヤーの調達を許可する前に、DPR の該当する部分への準拠を含め、すべてのサプライヤーの SSPA 状態を検証します。
Microsoft にサービスを提供するサブプロセッサの種類は何ですか?
"サブプロセッサ" は、Microsoft が処理者である Microsoft 個人データの処理を含む、Microsoft が業務を行う第三者です。 Microsoft のサブプロセッサは、3 つのカテゴリに分類されます。 各ユーザーは、Microsoft の代わりに顧客データを処理する前に、SSPA への準拠を示す必要があります。
- Microsoft オンライン サービスとシームレスに統合され、部分的に Microsoft クラウド機能を強化するテクノロジを強化するテクノロジ サブプロセッサ。 顧客がこれらのサービスのいずれかをデプロイした場合、そのサービスに対して特定されたサブプロセッサーは、そのサービスの提供を支援しながら、顧客データまたは個人データを処理、保存、またはその他の方法でアクセスできます。
- オンライン サービスのサポート、運用、保守に役立つサービスを提供する補助的なサブプロセッサー。 そのような場合、特定されたサブプロセッサーは、付随的サービスを提供しながら、顧客データと個人データ (仮名化された個人識別子で構成される) を処理、保存、またはその他の方法でアクセスすることができます。
- 契約スタッフ組織は 、Microsoft Online Services の運用、提供、保守を行う Microsoft フルタイムの従業員と並行して作業する契約スタッフを提供します。 いずれの場合も、顧客データまたは個人データは Microsoft システムにのみ存在し、Microsoft のポリシーと監督の対象となります。
さらに、 Microsoft データ センター インフラストラクチャ エンティティは、Microsoft Online Services が実行されるデータセンター インフラストラクチャを提供します。 データセンター内のデータは暗号化され、データセンター内の担当者はアクセスできません。
Microsoft のデータ保護要件 (DPR) に準拠してアクセス制御を実装するには、テクノロジと補助的なサード パーティが必要です。 これらの要件は、 Microsoft が製品使用条件で顧客に対して行う契約上のコミットメントを満たすか、超えています。 契約スタッフの作業を実行するサプライヤーは、Microsoft のフルタイム従業員に対して同じアクセス制御の対象となります。
Microsoft はサプライヤーのオンボード方法を説明します。
サード パーティのサプライヤーは、オンボード プロセスの一環として Microsoft Master Agreement に署名する必要があります。 本契約は、Microsoft とそのサプライヤー間の関係を管理し、サプライヤー関係の一貫した管理を保証します。 オンボードの一環として、サプライヤーは SSPA に登録し、該当するすべての要件を完了してから、データ処理カテゴリを承認する必要があります。 Microsoft ビジネス ユニットは、エンゲージメントのデータ処理アクティビティが、サプライヤーが承認されたデータ処理カテゴリと一致する場合にのみ、サプライヤーとの契約を作成できます。
Microsoft は、データを処理するサプライヤーに変更を通知する方法を説明します。
Microsoft 製品およびサービス データ保護補遺 (DPA) に従って、Microsoft は、サブプロセッサーの追加に関する通知期間に関する追加のコミットメントを行います。 期間は、サブプロセッサが Microsoft に代わって処理するデータの種類によって異なります。 DPA に記載されているように、Microsoft は、顧客データを処理する新しいサブプロセッサーの少なくとも 6 か月前にお客様に通知を提供することを約束します。 その他の個人データについては、Microsoft は少なくとも 30 日間の通知を行います。 Microsoft Online Services サブプロセッサ リストの更新によって通知が提供されます。
関連する外部規制 & 認定
Microsoft のオンライン サービスは、外部の規制と認定に準拠するために定期的に監査されます。 サプライヤー管理に関連するコントロールの検証については、次の表を参照してください。
Azure と Dynamics 365
外部監査 | Section | 最新のレポート日 |
---|---|---|
ISO 27001 適用性に関する声明 証明書 |
A.15.1: サプライヤー関係における情報セキュリティ | 2024 年 4 月 8 日 |
ISO 27017 適用性に関する声明 証明書 |
A.15.1: サプライヤー関係における情報セキュリティ | 2024 年 4 月 8 日 |
ISO 27018 適用性に関する声明 証明書 |
A.8.1: 外注 PII 処理の開示 | 2024 年 4 月 8 日 |
SOC 2 SOC 3 |
SOC2-25: サプライヤーのリスク管理 C5-2: サプライヤーリスクプロファイルレビュー |
2024 年 5 月 20 日 |
Microsoft 365
外部監査 | Section | 最新のレポート日 |
---|---|---|
FedRAMP | CA-3: システム相互接続 IA-4: 識別子の管理 PS-6: アクセス契約 PS-7: サード パーティの担当者のセキュリティ SA-4: 取得プロセス SA-9: 外部情報システム サービス SA-12: サプライ チェーン保護 |
2024 年 8 月 21 日 |
ISO 27001/27017 適用性に関する声明 認定 (27001) 認定 (27017) |
A.15.1: サプライヤー関係における情報セキュリティ | 2024 年 3 月 |
ISO 27018 適用性に関する声明 証明書 |
A.8.1: 外注 PII 処理の開示 | 2024 年 3 月 |
SOC 2 | CA-53: サード パーティの監視 | 2024 年 1 月 23 日 |