Share via

Supplier Security and Privacy Assurance (SSPA) プログラム

  • [アーティクル]

重要

この記事に記載されている情報は、Supplier Security and Privacy Assurance (SSPA) チームに代わって提供されます。 最新の情報については、 こちらを参照してください。 この記事に記載されている情報と SSPA ページの間に競合がある場合、SSPA ページはこの記事の情報に置き換わることになります。

Microsoft は、プライバシーが基本的な権利であると考えています。 Microsoft は、地球上のすべての個人と組織がより多くのことを達成できるように支援するというミッションにおいて、お客様の信頼を獲得し、維持するよう努めています。

強力なプライバシーとセキュリティの実践は、このミッションに不可欠であり、信頼に不可欠であり、法律で必要とされるいくつかの法域で行います。 Microsoft のプライバシーおよびセキュリティ ポリシーに取り込まれた標準は、会社としての価値を反映し、個人および機密データを処理するサプライヤーに対して適用されます。

サプライヤーのセキュリティとプライバシーアシュアランス (SSPA) プログラムは、Microsoft サプライヤー データ保護要件 (DPR) の形式で、Microsoft のベースライン データ処理手順をサプライヤーに提供します。

注:

サプライヤーは、サプライヤーとの契約を担当する Microsoft グループによって SSPA の外部で決定され、伝達される追加の組織レベルの要件を満たす必要がある場合があります。

SSPA プログラムの概要

SSPA は、Microsoft Procurement、企業の外部および法務、および企業セキュリティの間のパートナーシップであり、プライバシーとセキュリティの原則に従ってサプライヤーが続くよう努めています。 SSPA の範囲は、個人データまたは Microsoft 機密データを処理するすべてのサプライヤーをグローバルに対象としています。

SSPA を使用すると、サプライヤーは、サプライヤーが実行するために契約されている商品やサービスと一致するデータ処理プロファイルの選択を行うことができます。 これらの選択により、対応する要件がトリガーされ、コンプライアンスの保証が提供されます。

登録されているすべてのサプライヤーは、DPR コンプライアンスの年次自己構成証明を完了する必要があります。 サプライヤーのデータ処理プロファイルは、完全な DPR が発行されるかどうか、または要件のサブセットが適用されるかどうかを決定します。 Microsoft がリスクが高いと考えるデータを処理するサプライヤーは、コンプライアンスの独立した検証を提供するなど、追加の要件を満たす必要がある場合もあります。 公開された Microsoft サブプロセッサリストに掲載されているサプライヤーには、コンプライアンスの独立した検証も求められます。

重要

コンプライアンス アクティビティは、SSPA の状態が緑 (準拠) または赤 (非準拠) を決定します。 Microsoft の購入ツールは、契約を進める前に、SSPA の状態が (SSPA のスコープ内の各サプライヤーに対して) 緑色であることを検証します。

SSPA スコープ

サプライヤーが個人データまたは Microsoft 機密データを処理するかどうかを判断するには、次の表の例の一覧を参照してください。 これらは例であり、完全なリストではありません。

データ型別の個人データ

例には、次のものがありますが、これらに限定されません。

データ型
機密性の高いデータ
  • 子に関連するデータ
  • 遺伝子データ、生体認証データ、または正常性データ
  • 人種または民族の起源
  • ポリティカル、宗教、哲学的な信念、意見、所属
  • ユニオンメンバーシップ
  • 自然人の性生活または性的指向
  • 出国者の状態 (ビザ、仕事の承認など)
  • 政府識別子 (パスポート、運転免許証、visa、社会保障番号、国民 ID 番号)
  • 正確なユーザー位置データ (300 メートル以内)
  • 個人の銀行口座番号
  • クレジット カード番号と有効期限
顧客コンテンツ データ
  • ドキュメント、写真、ビデオ、音楽など。
  • 閲覧履歴、興味、お気に入りのリンク、入力、音声発話 (音声/音声、チャット/ボット)
キャプチャされたデータと生成されたデータ
  • 場所データを不正確にする
  • IP アドレス
  • Web サイトのデバイス設定とパーソナル化サービスの使用状況、Web ページのクリック追跡
  • 名前、住所、電話番号、電子メール アドレス、生年月日、依存連絡先、緊急連絡先などの連絡先データ
  • 不正とリスクの評価、バックグラウンド チェック
  • メタデータとテレメトリ
アカウント データ
  • 支払い方法データ
  • クレジット カード番号と有効期限
  • 銀行のルーティング情報
  • 銀行口座番号
  • クレジット要求またはクレジット行
  • 税のドキュメントと識別子
  • 投資または経費のデータ
エンド ユーザーの仮名情報 (EUPI)

Microsoft 製品とサービスのユーザーを識別するために Microsoft によって作成された識別子
  • グローバル一意識別子 (GUID)
  • 一意識別子 (PUID)
  • ハッシュされたEnd-User識別可能な情報 (EUII)
  • セッション ID
  • デバイス ID
  • 診断データ ログ データ
オンライン顧客データ
  • Microsoft Online エンタープライズ のお客様 (Azure テナント、M365 テナント)
  • Microsoft エンタープライズのお客様 (オンプレミスのお客様)
  • アカウント データ (課金データ、e コマース)
  • アンケート/イベント登録/トレーニング

データ クラス別の Microsoft 機密データ

例には、次のものがありますが、これらに限定されません。

データ クラス
非常に機密性の高い社外秘
  • Microsoft 製品または Microsoft 製品のコンポーネントの開発、テスト、または製造に関する情報または関連する情報。 任意のチャネルで商用として販売されている Microsoft ソフトウェア、オンライン サービス、またはハードウェアは、"Microsoft 製品" と見なされます
  • Microsoft デバイスのプレリリース マーケティング情報
  • SEC 規則の対象となる、未発表の Microsoft 企業財務データ
社外秘
  • Microsoft に代わって Microsoft 製品ライセンス キーを任意の方法で配布する
  • Microsoft 社内基幹業務 (LOB) アプリケーションの開発またはテストに関する情報または関連する情報
  • Microsoft は、Office、SQL、Azure などの Microsoft ソフトウェアとサービスのマーケティング資料をプレリリースしています。
  • デバイス (プロセスまたは手順ガイド、構成データなど) など、Microsoft サービスまたは製品のドキュメントの作成、設計、電子化、または印刷

データ処理プロファイル

Microsoft サプライヤーは、SSPA データ処理プロファイルを制御し、サプライヤーが実行する資格のある契約を決定できるようにします。

Microsoft ビジネス グループは、データ処理アクティビティがサプライヤーが取得した承認と一致するサプライヤーとの契約のみを作成できます。

サプライヤーは、開いているタスクがない場合、年中いつでもデータ処理プロファイルを更新できます。 変更が行われると、対応するアクティビティが発行され、承認がセキュリティで保護される前に完了する必要があります。 既存の完了した承認は、新しく発行された要件が完了するまで適用されます。

許可された 90 日間の期間内に新しく実行されたタスクが完了しない場合、SSPA の状態は Red (非準拠) に更新され、アカウントは Microsoft Accounts Payable システムから非アクティブ化されます。

データ処理スコープに関する考慮事項

  • 機密: サプライヤーが Microsoft 機密データのみを処理する場合、プロファイルには機密フラグが表示されます。 サプライヤーは個人データを処理できません。

  • 個人機密: サプライヤーが個人データを処理する場合、プロファイルは個人用の機密フラグを示します。

  • Microsoft または顧客の処理場所: サプライヤーが Microsoft の資格情報を使用して Microsoft システム内のデータのみを処理し、Microsoft のセキュリティおよびプライバシー ポリシーの対象となる場合、このオプションはサプライヤーのプロファイルで選択されます。

  • サプライヤー: 条件 "At Microsoft or Customer" (前述のように) が適用されない場合、これはサプライヤーのプロファイルに反映されるオプションです。

データ処理ロールに関する考慮事項

  • コントローラー: (独立したコントローラーとジョイント コントローラーをカバー) サプライヤーがコントローラーとプロセッサの両方である場合 (異なる契約の場合)、サプライヤーは [プロセッサ] を選択します。

  • プロセッサ サプライヤーが Microsoft に代わってデータを処理する場合。

  • サブプロセッサ: サブプロセッサは、Microsoft が行う第三者であり、そのパフォーマンスには、Microsoft がプロセッサである Microsoft 個人データの処理が含まれます。 内部プライバシー チームによる事前承認が必要であるため、サプライヤーは Microsoft のサブプロセッサとして自己識別できません。 サプライヤーは、Microsoft がデータ プロセッサであり、サプライヤーが Enterprise Personal Datatypes に該当するプロセスを処理する場合にのみ、サブプロセッサにできます。 サブプロセッサには、Data Protection Addendum や独立した評価、追加の認定要件など、追加の契約要件とコンプライアンス要件があります。

  • 支払いカード処理: サプライヤーによって処理されるデータの一部に、Microsoft に代わってクレジット カードまたはその他の支払いカード処理をサポートするデータが含まれている場合。 この承認により、サプライヤーは支払いカード処理契約に参加できます。

  • ソフトウェア: Microsoft Procurement は、すべてのソフトウェア購入の取り込みプロセスを通じて購入者に指示します。これには、ソフトウェアを提供するサプライヤーが SSPA 管理の対象であるかどうかを判断するための SSPA トリアージを含むさまざまなチェックが含まれます。 SSPA が必要な場合、サプライヤーは、"サービスとしてのソフトウェア" (SaaS) プロファイルの選択が適用されることを識別する必要もあります。 SSPA 登録済みサプライヤーの場合は、Microsoft Supplier Compliance Portal でデータ処理プロファイルを完了するときに行うことができます。 SSPA コンプライアンスの目的では、SaaS を広く表示して、サービスとしてのプラットフォーム (PaaS)、サービスとしてのインフラストラクチャ (IaaS) も含めます。

  • サービスとしてのソフトウェア (SaaS): SaaS を使用すると、ユーザーはインターネット経由でクラウドベースのアプリケーションに接続して使用できます。 Microsoft では、1 対多モデルで使用される一般的なコードに基づいて、または使用メトリックに基づいてサブスクリプションとして SaaS をソフトウェアとして定義しています。 クラウド サービス プロバイダーは、クラウドベースのソフトウェアを開発および保守し、ソフトウェアの自動更新を提供し、1 対多の従量課金制でソフトウェアをインターネット経由で顧客が利用できるようにします。 このソフトウェア配信とライセンスの方法により、ソフトウェアは、個々のコンピューターに購入してインストールするのではなく、サブスクリプション経由でオンラインでアクセスできます。

注:

ほとんどの SaaS サプライヤーは、個人データまたは Microsoft Confidential データがサード パーティプラットフォームでホストされている場合、Microsoft Supplier Compliance Portal で下請け業者の承認を追加する必要があります。

  • 下請け業者の使用: このフラグは、サプライヤーが下請け業者を使用して契約作業の一部を実行する場合に必要です。 これにはフリーランサーも含まれます。

アシュアランスの要件

サプライヤーのデータ処理プロファイルで選択された承認は、SSPA がサプライヤーのエンゲージメント全体のリスク レベルを評価するのに役立ちます。 SSPA コンプライアンス要件は、データ処理プロファイルと関連する承認によって異なります。

また、コンプライアンス要件を昇格または削減する可能性のある組み合わせもあります。 これらの組み合わせは、[プロファイルの承認に基づく要件] セクションにキャプチャされます。

サプライヤーのプロファイルにサービスとしてのソフトウェア (SaaS)、下請け業者、Web サイトホスティング、または支払いカードが含まれている場合は、追加の保証が必要です。

DPR への自己構成証明

SSPA に登録されているすべてのサプライヤーは、要求を受け取ってから 90 日以内に DPR へのコンプライアンスの自己証明を完了する必要があります。 この要求は年単位で提供する必要がありますが、データ処理プロファイルが年中に更新された場合は、より頻繁に行われる可能性があります。 サプライヤー アカウントは、90 日間を超えた場合、SSPA 状態の Red (非準拠) に変更されます。 SSPA の状態が緑色 (準拠) になるまで、新しいスコープ内購買発注は処理できません。

新しく登録されたサプライヤーは、契約を開始する前に、SSPA ステータスのグリーン (準拠) を確保するために、発行された要件を完了する必要があります。

適用対象

サプライヤーは、データ処理プロファイルに従って発行されるすべての適用可能な DPR 要件に対応することが期待されます。 発行された要件内では、サプライヤーが Microsoft に提供する商品やサービスに適用されない場合があります。 これらは、SSPA 校閲者が検証するための詳細なコメントを含む "適用されません" としてマークできます。

DPR の提出は、SSPA チームによって、発行された要件に対する"適用しない"、"ローカル法的な競合"、または "契約上の競合" の選択について確認されます。

独立した評価要件

この要件をトリガーするデータ処理の承認については、「承認による要件」セクションを参照してください。

サプライヤーには、データ処理プロファイルを更新して承認を変更するオプションがあります。 ただし、サプライヤーに "Subprocessor" というデータ処理ロールがある場合、サプライヤーはこの承認を変更できず、毎年独立した評価を実施する必要があります。

[プロファイルの承認に基づく要件] セクションには、独立した評価者を使用して DPR への準拠を検証しないことを選択した場合 (SaaS サプライヤー、Web サイトホスティング サプライヤー、下請け業者とのサプライヤーなど) が含まれます。 ISO 27701 (プライバシー) と ISO 27001 (セキュリティ) は、DPR に近いマッピングを提供するものとして依存しています。

サプライヤーが米国または対象エンティティの医療プロバイダーである場合、Microsoft はプライバシーとセキュリティの範囲に関する HITRUST レポートを受け入れます。

SSPA は、標準トリガーを超える状況で追加の正当な注意が必要な場合に、独立した評価を手動で実行できます。 たとえば、部門のプライバシーまたはセキュリティからの要求が含まれます。データ インシデント修復の検証;または自動データ主体権限の実行に関する要件。

PCI DSS 認定要件

Payment Card Industry Data Security Standard (PCI DSS) は、セキュリティ インシデントの防止、検出、適切な対応を含む堅牢な支払いカード データ セキュリティを開発するためのフレームワークです。 このフレームワークは、自主規制業界組織である PCI セキュリティ標準会議によって開発されました。 PCI DSS 要件の目的は、処理されるカード所有者データのセキュリティにリスクをもたらすテクノロジとプロセスの脆弱性を特定することです。

Microsoft はこれらの標準に準拠する必要があります。 サプライヤーが Microsoft に代わって支払いカード情報を処理する場合、Microsoft はこれらの標準に準拠している証拠を必要とします。

処理されるトランザクションの量に応じて、サプライヤーは、資格のあるセキュリティ評価者がコンプライアンスを認定するか、自己評価アンケートフォームに記入する必要があります。

支払いカード ブランドは、通常、評価の種類のしきい値を設定します。

  • レベル 1: サード パーティの評価者 PCI AOC 証明書を提供する

  • レベル 2 または 3: サプライヤーの担当者が署名した PCI DSS Self-Assessmentアンケート (SAQ) を提供します。

サービスとしてのソフトウェアの要件

データ処理プロファイルに含まれる SaaS 定義を満たしたサプライヤーは、有効な ISO 27001 認定を提供するために必要な場合があります。

請負業者の使用

Microsoft は、下請け業者の使用をリスクの高い要因と考えています。 個人データまたは Microsoft 機密データを処理する下請け業者を使用するサプライヤーは、それらの下請け業者を開示する必要があります。 さらに、サプライヤーは、その個人データが各下請け業者によって処理される国も開示する必要があります。

プロファイルの承認に基づく要件

# プロファイル アシュアランスの要件 独立したアシュアランス オプション
1 スコープ: 個人用、社外秘
処理場所: Microsoft または顧客の処理時
役割: プロセッサまたはコントローラー
データ クラス: 機密または機密性の高い
支払いカード: 適用されません
Saas: 適用されません
下請け業者の使用: 適用されません
Web サイトホスティング: 適用されません		 DPR へのコンプライアンスの自己構成証明
2 スコープ: 機密
処理場所: サプライヤーの場合
役割: N/a
データ クラス: 機密
支払いカード: 適用されません
Saas: 適用されません
下請け業者の使用: 適用されません
Web サイトホスティング: 適用されません		 DPR へのコンプライアンスの自己構成証明
3 スコープ: 機密処理
処理場所: サプライヤーの場合
役割: プロセッサ
データ クラス: 非常に機密性の高い
支払いカード: 適用されません
Saas: 適用されません
下請け業者の使用: 適用されません
Web サイトホスティング: 適用されません		 DPR に対するコンプライアンスの自己証明 コンプライアンスの独立した保証 独立したアシュアランス オプション:

1. DPR に対する独立した評価を完了する

2. ISO 27001 を提出する
4 スコープ: 個人用、社外秘
処理場所: サプライヤーの処理時
役割: プロセッサ
データ クラス: 非常に機密性の高い
支払いカード: 適用されません
Saas: 適用されません
下請け業者の使用: 適用されません
Web サイトホスティング: 適用されません		 DPR に対するコンプライアンスの自己証明 コンプライアンスの独立した保証 独立したアシュアランス オプション:

1. DPR に対する独立した評価を完了する

2. DPR および ISO 27001 のセクション A-I に対する独立した評価

3. ISO 27701 と ISO 27001 を提出する
5 スコープ: 個人用、社外秘
処理場所: サプライヤーの場合
役割: プロセッサ
データ クラス: 機密
支払いカード: 適用されません
Saas: 適用されません
下請け業者の使用: 適用されません
Web サイトホスティング: 適用されません		 DPR へのコンプライアンスの自己構成証明
6 スコープ: 個人用、社外秘
処理場所: サプライヤーの場合
役割: コント ローラー
データ クラス: 機密または機密性の高い
支払いカード: 適用されません
Saas: 適用されません
下請け業者の使用: 適用されません
Web サイトホスティング: 適用されません		 DPR へのコンプライアンスの自己構成証明
7 スコープ: 個人用、社外秘
処理場所: 任意
役割: サブプロセッサ (このロールは Microsoft によって決定されます。プロファイルには"サブプロセッサ承認: はい" と読み取られます)
データ クラス: 機密または機密性の高い
支払いカード: 適用されません
Saas: 適用されません
下請け業者の使用: 適用されません
Web サイトホスティング: 適用されません		 DPR に対するコンプライアンスの自己証明 コンプライアンスの独立した保証 独立したアシュアランス オプション:

1. DPR に対する独立した評価を完了する

2. DPR および ISO 27001 のセクション A-I に対する独立した評価

3. ISO 27701 と ISO 27001 を提出する