Supplier Security and Privacy Assurance (SSPA) プログラム
重要
この記事に記載されている情報は、Supplier Security and Privacy Assurance (SSPA) チームに代わって提供されます。 最新の情報については、 こちらを参照してください。 この記事に記載されている情報と SSPA ページの間に競合がある場合、SSPA ページはこの記事の情報に置き換わることになります。
Microsoft は、プライバシーが基本的な権利であると考えています。 Microsoft は、地球上のすべての個人と組織がより多くのことを達成できるように支援するというミッションにおいて、お客様の信頼を獲得し、維持するよう努めています。
強力なプライバシーとセキュリティの実践は、このミッションに不可欠であり、信頼に不可欠であり、法律で必要とされるいくつかの法域で行います。 Microsoft のプライバシーおよびセキュリティ ポリシーに取り込まれた標準は、会社としての価値を反映し、個人および機密データを処理するサプライヤーに対して適用されます。
サプライヤーのセキュリティとプライバシーアシュアランス (SSPA) プログラムは、Microsoft サプライヤー データ保護要件 (DPR) の形式で、Microsoft のベースライン データ処理手順をサプライヤーに提供します。
注:
サプライヤーは、サプライヤーとの契約を担当する Microsoft グループによって SSPA の外部で決定され、伝達される追加の組織レベルの要件を満たす必要がある場合があります。
SSPA プログラムの概要
SSPA は、Microsoft Procurement、企業の外部および法務、および企業セキュリティの間のパートナーシップであり、プライバシーとセキュリティの原則に従ってサプライヤーが続くよう努めています。 SSPA の範囲は、個人データまたは Microsoft 機密データを処理するすべてのサプライヤーをグローバルに対象としています。
SSPA を使用すると、サプライヤーは、サプライヤーが実行するために契約されている商品やサービスと一致するデータ処理プロファイルの選択を行うことができます。 これらの選択により、対応する要件がトリガーされ、コンプライアンスの保証が提供されます。
登録されているすべてのサプライヤーは、DPR コンプライアンスの年次自己構成証明を完了する必要があります。 サプライヤーのデータ処理プロファイルは、完全な DPR が発行されるかどうか、または要件のサブセットが適用されるかどうかを決定します。 Microsoft がリスクが高いと考えるデータを処理するサプライヤーは、コンプライアンスの独立した検証を提供するなど、追加の要件を満たす必要がある場合もあります。 公開された Microsoft サブプロセッサリストに掲載されているサプライヤーには、コンプライアンスの独立した検証も求められます。
重要
コンプライアンス アクティビティは、SSPA の状態が緑 (準拠) または赤 (非準拠) を決定します。 Microsoft の購入ツールは、契約を進める前に、SSPA の状態が (SSPA のスコープ内の各サプライヤーに対して) 緑色であることを検証します。
SSPA スコープ
サプライヤーが個人データまたは Microsoft 機密データを処理するかどうかを判断するには、次の表の例の一覧を参照してください。 これらは例であり、完全なリストではありません。
データ型別の個人データ
例には、次のものがありますが、これらに限定されません。
データ型 | 例 |
---|---|
機密性の高いデータ |
|
顧客コンテンツ データ |
|
キャプチャされたデータと生成されたデータ |
|
アカウント データ |
|
エンド ユーザーの仮名情報 (EUPI) Microsoft 製品とサービスのユーザーを識別するために Microsoft によって作成された識別子 |
|
オンライン顧客データ |
|
データ クラス別の Microsoft 機密データ
例には、次のものがありますが、これらに限定されません。
データ クラス | 例 |
---|---|
非常に機密性の高い社外秘 |
|
社外秘 |
|
データ処理プロファイル
Microsoft サプライヤーは、SSPA データ処理プロファイルを制御し、サプライヤーが実行する資格のある契約を決定できるようにします。
Microsoft ビジネス グループは、データ処理アクティビティがサプライヤーが取得した承認と一致するサプライヤーとの契約のみを作成できます。
サプライヤーは、開いているタスクがない場合、年中いつでもデータ処理プロファイルを更新できます。 変更が行われると、対応するアクティビティが発行され、承認がセキュリティで保護される前に完了する必要があります。 既存の完了した承認は、新しく発行された要件が完了するまで適用されます。
許可された 90 日間の期間内に新しく実行されたタスクが完了しない場合、SSPA の状態は Red (非準拠) に更新され、アカウントは Microsoft Accounts Payable システムから非アクティブ化されます。
データ処理スコープに関する考慮事項
機密: サプライヤーが Microsoft 機密データのみを処理する場合、プロファイルには機密フラグが表示されます。 サプライヤーは個人データを処理できません。
個人、 機密: サプライヤーが個人データを処理する場合、プロファイルは個人用の機密フラグを示します。
Microsoft または顧客の処理場所: サプライヤーが Microsoft の資格情報を使用して Microsoft システム内のデータのみを処理し、Microsoft のセキュリティおよびプライバシー ポリシーの対象となる場合、このオプションはサプライヤーのプロファイルで選択されます。
サプライヤー: 条件 "At Microsoft or Customer" (前述のように) が適用されない場合、これはサプライヤーのプロファイルに反映されるオプションです。
データ処理ロールに関する考慮事項
コントローラー: (独立したコントローラーとジョイント コントローラーをカバー) サプライヤーがコントローラーとプロセッサの両方である場合 (異なる契約の場合)、サプライヤーは [プロセッサ] を選択します。
プロセッサ サプライヤーが Microsoft に代わってデータを処理する場合。
サブプロセッサ: サブプロセッサは、Microsoft が行う第三者であり、そのパフォーマンスには、Microsoft がプロセッサである Microsoft 個人データの処理が含まれます。 内部プライバシー チームによる事前承認が必要であるため、サプライヤーは Microsoft のサブプロセッサとして自己識別できません。 サプライヤーは、Microsoft がデータ プロセッサであり、サプライヤーが Enterprise Personal Datatypes に該当するプロセスを処理する場合にのみ、サブプロセッサにできます。 サブプロセッサには、Data Protection Addendum や独立した評価、追加の認定要件など、追加の契約要件とコンプライアンス要件があります。
支払いカード処理: サプライヤーによって処理されるデータの一部に、Microsoft に代わってクレジット カードまたはその他の支払いカード処理をサポートするデータが含まれている場合。 この承認により、サプライヤーは支払いカード処理契約に参加できます。
ソフトウェア: Microsoft Procurement は、すべてのソフトウェア購入の取り込みプロセスを通じて購入者に指示します。これには、ソフトウェアを提供するサプライヤーが SSPA 管理の対象であるかどうかを判断するための SSPA トリアージを含むさまざまなチェックが含まれます。 SSPA が必要な場合、サプライヤーは、"サービスとしてのソフトウェア" (SaaS) プロファイルの選択が適用されることを識別する必要もあります。 SSPA 登録済みサプライヤーの場合は、Microsoft Supplier Compliance Portal でデータ処理プロファイルを完了するときに行うことができます。 SSPA コンプライアンスの目的では、SaaS を広く表示して、サービスとしてのプラットフォーム (PaaS)、サービスとしてのインフラストラクチャ (IaaS) も含めます。
サービスとしてのソフトウェア (SaaS): SaaS を使用すると、ユーザーはインターネット経由でクラウドベースのアプリケーションに接続して使用できます。 Microsoft では、1 対多モデルで使用される一般的なコードに基づいて、または使用メトリックに基づいてサブスクリプションとして SaaS をソフトウェアとして定義しています。 クラウド サービス プロバイダーは、クラウドベースのソフトウェアを開発および保守し、ソフトウェアの自動更新を提供し、1 対多の従量課金制でソフトウェアをインターネット経由で顧客が利用できるようにします。 このソフトウェア配信とライセンスの方法により、ソフトウェアは、個々のコンピューターに購入してインストールするのではなく、サブスクリプション経由でオンラインでアクセスできます。
注:
ほとんどの SaaS サプライヤーは、個人データまたは Microsoft Confidential データがサード パーティプラットフォームでホストされている場合、Microsoft Supplier Compliance Portal で下請け業者の承認を追加する必要があります。
- 下請け業者の使用: このフラグは、サプライヤーが下請け業者を使用して契約作業の一部を実行する場合に必要です。 これにはフリーランサーも含まれます。
アシュアランスの要件
サプライヤーのデータ処理プロファイルで選択された承認は、SSPA がサプライヤーのエンゲージメント全体のリスク レベルを評価するのに役立ちます。 SSPA コンプライアンス要件は、データ処理プロファイルと関連する承認によって異なります。
また、コンプライアンス要件を昇格または削減する可能性のある組み合わせもあります。 これらの組み合わせは、[プロファイルの承認に基づく要件] セクションにキャプチャされます。
サプライヤーのプロファイルにサービスとしてのソフトウェア (SaaS)、下請け業者、Web サイトホスティング、または支払いカードが含まれている場合は、追加の保証が必要です。
DPR への自己構成証明
SSPA に登録されているすべてのサプライヤーは、要求を受け取ってから 90 日以内に DPR へのコンプライアンスの自己証明を完了する必要があります。 この要求は年単位で提供する必要がありますが、データ処理プロファイルが年中に更新された場合は、より頻繁に行われる可能性があります。 サプライヤー アカウントは、90 日間を超えた場合、SSPA 状態の Red (非準拠) に変更されます。 SSPA の状態が緑色 (準拠) になるまで、新しいスコープ内購買発注は処理できません。
新しく登録されたサプライヤーは、契約を開始する前に、SSPA ステータスのグリーン (準拠) を確保するために、発行された要件を完了する必要があります。
適用対象
サプライヤーは、データ処理プロファイルに従って発行されるすべての適用可能な DPR 要件に対応することが期待されます。 発行された要件内では、サプライヤーが Microsoft に提供する商品やサービスに適用されない場合があります。 これらは、SSPA 校閲者が検証するための詳細なコメントを含む "適用されません" としてマークできます。
DPR の提出は、SSPA チームによって、発行された要件に対する"適用しない"、"ローカル法的な競合"、または "契約上の競合" の選択について確認されます。
独立した評価要件
この要件をトリガーするデータ処理の承認については、「承認による要件」セクションを参照してください。
サプライヤーには、データ処理プロファイルを更新して承認を変更するオプションがあります。 ただし、サプライヤーに "Subprocessor" というデータ処理ロールがある場合、サプライヤーはこの承認を変更できず、毎年独立した評価を実施する必要があります。
[プロファイルの承認に基づく要件] セクションには、独立した評価者を使用して DPR への準拠を検証しないことを選択した場合 (SaaS サプライヤー、Web サイトホスティング サプライヤー、下請け業者とのサプライヤーなど) が含まれます。 ISO 27701 (プライバシー) と ISO 27001 (セキュリティ) は、DPR に近いマッピングを提供するものとして依存しています。
サプライヤーが米国または対象エンティティの医療プロバイダーである場合、Microsoft はプライバシーとセキュリティの範囲に関する HITRUST レポートを受け入れます。
SSPA は、標準トリガーを超える状況で追加の正当な注意が必要な場合に、独立した評価を手動で実行できます。 たとえば、部門のプライバシーまたはセキュリティからの要求が含まれます。データ インシデント修復の検証;または自動データ主体権限の実行に関する要件。
PCI DSS 認定要件
Payment Card Industry Data Security Standard (PCI DSS) は、セキュリティ インシデントの防止、検出、適切な対応を含む堅牢な支払いカード データ セキュリティを開発するためのフレームワークです。 このフレームワークは、自主規制業界組織である PCI セキュリティ標準会議によって開発されました。 PCI DSS 要件の目的は、処理されるカード所有者データのセキュリティにリスクをもたらすテクノロジとプロセスの脆弱性を特定することです。
Microsoft はこれらの標準に準拠する必要があります。 サプライヤーが Microsoft に代わって支払いカード情報を処理する場合、Microsoft はこれらの標準に準拠している証拠を必要とします。
処理されるトランザクションの量に応じて、サプライヤーは、資格のあるセキュリティ評価者がコンプライアンスを認定するか、自己評価アンケートフォームに記入する必要があります。
支払いカード ブランドは、通常、評価の種類のしきい値を設定します。
レベル 1: サード パーティの評価者 PCI AOC 証明書を提供する
レベル 2 または 3: サプライヤーの担当者が署名した PCI DSS Self-Assessmentアンケート (SAQ) を提供します。
サービスとしてのソフトウェアの要件
データ処理プロファイルに含まれる SaaS 定義を満たしたサプライヤーは、有効な ISO 27001 認定を提供するために必要な場合があります。
請負業者の使用
Microsoft は、下請け業者の使用をリスクの高い要因と考えています。 個人データまたは Microsoft 機密データを処理する下請け業者を使用するサプライヤーは、それらの下請け業者を開示する必要があります。 さらに、サプライヤーは、その個人データが各下請け業者によって処理される国も開示する必要があります。
プロファイルの承認に基づく要件
# | プロファイル | アシュアランスの要件 | 独立したアシュアランス オプション |
---|---|---|---|
1 | スコープ: 個人用、社外秘 処理場所: Microsoft または顧客の処理時 役割: プロセッサまたはコントローラー データ クラス: 機密または機密性の高い 支払いカード: 適用されません Saas: 適用されません 下請け業者の使用: 適用されません Web サイトホスティング: 適用されません |
DPR へのコンプライアンスの自己構成証明 | |
2 | スコープ: 機密 処理場所: サプライヤーの場合 役割: N/a データ クラス: 機密 支払いカード: 適用されません Saas: 適用されません 下請け業者の使用: 適用されません Web サイトホスティング: 適用されません |
DPR へのコンプライアンスの自己構成証明 | |
3 | スコープ: 機密処理 処理場所: サプライヤーの場合 役割: プロセッサ データ クラス: 非常に機密性の高い 支払いカード: 適用されません Saas: 適用されません 下請け業者の使用: 適用されません Web サイトホスティング: 適用されません |
DPR に対するコンプライアンスの自己証明 と コンプライアンスの独立した保証 | 独立したアシュアランス オプション: 1. DPR に対する独立した評価を完了する 2. ISO 27001 を提出する |
4 | スコープ: 個人用、社外秘 処理場所: サプライヤーの処理時 役割: プロセッサ データ クラス: 非常に機密性の高い 支払いカード: 適用されません Saas: 適用されません 下請け業者の使用: 適用されません Web サイトホスティング: 適用されません |
DPR に対するコンプライアンスの自己証明 と コンプライアンスの独立した保証 | 独立したアシュアランス オプション: 1. DPR に対する独立した評価を完了する 2. DPR および ISO 27001 のセクション A-I に対する独立した評価 3. ISO 27701 と ISO 27001 を提出する |
5 | スコープ: 個人用、社外秘 処理場所: サプライヤーの場合 役割: プロセッサ データ クラス: 機密 支払いカード: 適用されません Saas: 適用されません 下請け業者の使用: 適用されません Web サイトホスティング: 適用されません |
DPR へのコンプライアンスの自己構成証明 | |
6 | スコープ: 個人用、社外秘 処理場所: サプライヤーの場合 役割: コント ローラー データ クラス: 機密または機密性の高い 支払いカード: 適用されません Saas: 適用されません 下請け業者の使用: 適用されません Web サイトホスティング: 適用されません |
DPR へのコンプライアンスの自己構成証明 | |
7 | スコープ: 個人用、社外秘 処理場所: 任意 役割: サブプロセッサ (このロールは Microsoft によって決定されます。プロファイルには"サブプロセッサ承認: はい" と読み取られます) データ クラス: 機密または機密性の高い 支払いカード: 適用されません Saas: 適用されません 下請け業者の使用: 適用されません Web サイトホスティング: 適用されません |
DPR に対するコンプライアンスの自己証明 と コンプライアンスの独立した保証 | 独立したアシュアランス オプション: 1. DPR に対する独立した評価を完了する 2. DPR および ISO 27001 のセクション A-I に対する独立した評価 3. ISO 27701 と ISO 27001 を提出する |
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示