欧州連合モデル条項

[アーティクル]
01/31/2024

欧州連合モデル条項の概要

欧州連合 (EU) のデータ保護法では、EU の顧客の個人データを欧州経済領域) EEA (すべての EU 加盟国、アイスランド、リヒテンシュタイン、およびノルウェーが含まれる) の外部の国へ転送することは規制されています。実用的なレベルでは、EU データ保護法の遵守は、移転がモデル条項に準拠する契約に基づいている場合、ほとんどのEU加盟国は追加の承認を必要としないため、顧客がEU外で個人データを転送するために個々の当局からの承認を少なくする必要があることを意味します。

Microsoft と欧州連合モデル条項

欧州連合 (EU) の一般データ保護規則 (GDPR) では、顧客の個人データを、すべての EU 加盟国、アイスランド、リヒテンシュタイン、およびノルウェーが含まれる欧州経済領域 (EEA) 以外の国へ転送することは規制されています。マイクロソフトは、対象となるサービスの個人データの転送に関する特定の保証を提供する EU 標準契約条項 (SCC) (EU モデル条項とも呼ばれる) をお客様に提供しています。 EU モデル条項は、サービスプロバイダー (マイクロソフトなど) とその顧客との間の契約で使用され、EEA を離れる個人データが GDPR に準拠して確実に転送されることを保証します。

2020 年 7 月、欧州連合裁判所 (CJEU) は、EU から米国への個人データの転送について、EU と米国間のプライバシーシールドフレームワークを無効にしました。ただし、EU モデル条項は、EU および EEA、およびスイスおよび英国から個人データを転送するための有効なメカニズムを引き続き提供しています。マイクロソフトは、Microsoft オンラインサービス条件 (OST) データ保護補遺 (DPA) に記載されているように、EU モデル条項をお客様が利用できるようにします。

対象となる Microsoft のクラウドプラットフォームとサービス

Azure および Azure Government
Azure DevOps Services
Dynamics 365
Intune: Intune アドオン製品のクラウドサービス、Mobile Device Management for Office 365
Microsoft Defender for Cloud Apps
Microsoft Defender for Endpoint は、次のクラウドサービス部分を対象としています。エンドポイント検出 & 応答、自動調査 & 修復、セキュリティで保護されたスコア。
Microsoft Professional Services: Azure、Dynamics 365、Intune と、Microsoft 365 for business の Medium Business および Enterprise のお客様への Premier およびオンプレミスサポート
Office 365
Power Automate (旧称 Microsoft Flow) スタンドアロンサービス、または Office 365 や Dynamics 365 ブランドプランあるいはスイートに搭載されているサービスとしてのクラウドサービス
Power Apps クラウドサービス (スタンドアロンサービス、または Office 365 および Dynamics 365 ブランドプランあるいはスイートに搭載されているサービス)
Power BI クラウドサービス (スタンドアロンサービス、または Office 365 ブランドプランあるいはスイートに搭載されているサービス)

Office 365 と欧州連合モデル条項

Office 365環境

Microsoft Office 365 は、マルチテナントハイパースケールクラウドプラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

クライアントソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアントソフトウェア。
Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウドサービス。
Office 365 Government Community Cloud (GCC): Office 365 GCC クラウドサービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウドサービスは、国防総省 (DoD) セキュリティ要件ガイドラインレベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
Office 365 DoD (DoD): Office 365 DoD クラウドサービスは、DoD セキュリティ要件ガイドラインレベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性	範囲内のサービス
商用	Advanced Threat Protection、Microsoft Entra ID、Azure Information Protection、Bookings、コンプライアンスマネージャー、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 Cloud App Security、Office 365 グループ、Office 365セキュリティ & コンプライアンスセンター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Viva Engage

適用性

範囲内のサービス

商用

Advanced Threat Protection、Microsoft Entra ID、Azure Information Protection、Bookings、コンプライアンスマネージャー、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 Cloud App Security、Office 365 グループ、Office 365セキュリティ & コンプライアンスセンター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Viva Engage

監査、レポート、証明書

Microsoft は EU 規格を継続的に調べ、必要に応じてサービスを更新しています。

よく寄せられる質問

モデル条項への準拠が重要なのはなぜですか?

モデル条項への契約責任を表明したサービスプロバイダーは、個人データが EU データ保護法に準拠して転送および処理されることを顧客に確約します。モデル条項を使用していれば、個人データを EU 外に転送するための承認を顧客が個々のデータ保護機関から取得する必要はほとんどありません。

Microsoft サービスのコンプライアンス情報はどこで確認できますか?

コンプライアンスは契約上の責任です。マイクロソフトの標準契約条項は、すべてのクラウドのお客様に対して公開されているオンラインサービス条件をご覧ください。その他のサービスについては、マイクロソフトとの既存の契約を確認してください。

「二次処理者」とは何ですか?

「二次処理者」とは、データ管理者の指導や EU Model Clauses およびその下請契約上の条件に従い、個人のデータを処理する当事者のことです。 Microsoft のお客様 (独立系ソフトウェアベンダー (ISV) は、特に、それ自体がデータプロセッサである場合があります。これらのインスタンスでは、Microsoft が二次処理者です。

自分の組織でのコンプライアンス順守の取り組みは、何から始めればいいですか?

オンラインサービス条件などの契約を結ぶか、または既存の契約を改定して標準契約条項を組み込みます。

欧州連合モデル条項