マイ ナンバー法 (日本)
マイ ナンバー法について
制定されたマイナンバー法 (日本語、英語) は、2016 年 1 月に施行されました。 マイ ナンバーと呼ばれる任意の 12 桁の番号、または社会保障と税番号または個人番号を、国籍を問わず、日本国内のすべての居住者に割り当てました。 各個人に (米国の社会保障番号のように) あらゆる目的のために 1 つの番号を付与することは、国民年金、医療保険、失業などの社会的便益を簡素化し、より効率的に課税することを目的としています。
集中データ保護機関として機能する個人情報保護委員会 (PPC) は、個人情報の保護に関する法律 (日本語と英語) によって設立されました。 マイ ナンバー法の順守を監督および監視する PPC の役割では、法律で義務付けられているように、マイ ナンバー データを含む個人データを組織が適切に処理し、適切に保護するために、マイ ナンバー ガイドライン (日本語) を発行しました。
Microsoft とマイ ナンバー法
日本の顧客が個人データのプライバシーを保護できるように、Microsoft は、Microsoft オンライン サービス条件を通じて、当社の範囲内のビジネス クラウド サービスが、顧客がマイ ナンバー法を順守するのに役立つ技術的および組織的なセキュリティ セーフガードを実装していることを契約で確約します。これは、日本のお客様が日本の法的要件を満たせるという自信を持って Microsoft のビジネス クラウド サービスを展開できることを意味します。
個人Information Protection委員会(PPC)が発行するQ&A(日本語)は、個人情報の適切な取り扱いおよび保護に関するガイドラインを定めます。 第三者が(a)同意を得ず、(b)適切なアクセス制御システムを確立する契約を締結した場合、第三者が個人データの取り扱いとして解釈されないものとします。 マイナンバー法は、データが第三者に移転される場合の義務を規定していますが、PPC Q&A のセクション Q3-12 (日本語) では、第三者が個人データに対する永続的なアクセス権を持っている場合、これらの要件は適用されないと説明しています。
Microsoft ビジネス クラウド サービスは、Microsoft オンライン サービス条件でこれらの要件に対処します。これは、マイ ナンバー データを含む顧客データの所有権と責任は、Microsoft ではなく顧客にあることを規定しています。 したがって、顧客は、顧客データに含まれるマイ ナンバー データを保護するために適切な管理を行う必要があります。
Microsoft はクラウド サービスに格納されている My Number データに永続的にアクセスできないため、マイナンバー データを処理するための "アウトソーシング" 契約は必要ありません。 顧客が Microsoft にマイ ナンバー データを含む顧客データへのアクセスを希望する場合、そのような要求を行う前に、顧客はすべてのケースについて Microsoft とその他のアウトソーシング契約を作成する必要があります。
また、マイクロソフトは、広告や同様の商用目的ではなく、お客様にサービスを提供するためにのみ顧客データを使用することを約束し、Microsoft は堅牢なアクセス制御システムを備えています。
そのため、Microsoft のビジネス クラウド サービスはマイ ナンバー法の要件をサポートしており、個人データの個々の所有者からの同意など、顧客に対する行為に基づくその他の義務を作成しません。
対象となる Microsoft のクラウド プラットフォームとサービス
- Azure
- Dynamics 365
- Intune
- Office 365
Office 365 とマイ ナンバー法
Office 365環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。
Office 365 の適用性と範囲内のサービス
以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。
| 適用性 | 範囲内のサービス |
|---|---|
| 商用 | Microsoft Entra ID、Azure Information Protection、Bookings、コンプライアンス マネージャー、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Defender for Office 365、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 Cloud App Security、Office 365 グループ、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Viva Engage |
実装方法
- プライバシー & データ管理の概要: Microsoft が強力なプライバシー保護をOffice 365に構築する方法。
- Office 365 の管理者アクセス: Microsoft が顧客データへの管理アクセスを管理する方法。
- Office 365 の監査とレポート: テナント内のユーザーおよび管理アクティビティを追跡するために顧客が使用できる機能の探索。
- Office 365 のデータ保持: 削除された後、顧客データが保持される期間のデータ処理ポリシーの理解。
よく寄せられる質問
マイ ナンバー法に基づいて個人データを保護する最終的な責任は誰にありますか?
PPC Q&のセクション Q3-13 (日本語) A は、個人データの所有権は Microsoft のお客様にあるため、個人情報とマイナンバーのデータを保護するために、管理者パスワードの制御などの適切なセキュリティ対策を講じるようにする必要があると述べています。