アルゼンチン個人データ保護法 (PDPA)

  • [アーティクル]

PDPA について

アルゼンチン憲法に従い、個人データ保護法第 25.326 号 (PDPA) (Ley de Protección de los Datos Personales) が 2,000 年に執行されたことで、個人データのプライバシーが保護され、公共データベース、私的データベース、レジストリに保管されているすべての情報に個人がアクセスできるようになりました。 内閣官房長官下の、アルゼンチンの公開情報へのアクセス機関 (Agencia de Acceso a la Información Pública、AAIP) がこの法の執行を管轄します。

PDPA は、データ プライバシーを保護するために欧州の立法モデルに準拠しており、アルゼンチンは中南米で初めて欧州からのデータ転送に関する適性な資格を満たした国です。

2016 年に、AAIP は新たな規則 条項 60-E/2016 (スペイン語) を発表し、国境を越える個人データの転送を管理しています。 このルールでは、データ管理者とデータ処理者へのデータの転送にひな型 (一部は欧州のデータ転送モデルに基づいています) を認可しています。

Microsoft と PDPA

Microsoft は、Microsoft オンライン サービス条件 の契約により、お客様がアルゼンチンの個人データ保護法(PDPA) 第 25.326 号に準拠できるよう、対象となる法人向けクラウド サービスが技術的および組織的な安全予防手段を実施する責任を持ちます。 また、Microsoft では、条項 60-E/2016 のコンプライアンスをサポートするためにデータ移転契約を提供し、国境を越える個人データを規制します。 これにより、Microsoft のお客様はアルゼンチンの PDPA に準拠して、Microsoft Azure、Microsoft Dynamics 365、および Microsoft 365 を利用することができます。

ビジネス クラウド サービスに実装される技術的および組織的なセキュリティ対策は、PDPA の他の規則 (データ主体の個人データの二次使用の禁止、適切な保護レベルを提供しない国/地域への個人データの転送の禁止など) もサポートします。

Microsoft のデータ移転契約は、オンライン サービス条件のデータ処理条件への修正 (改正 ID M314) です。 この修正は次のような重要な確約を追加します。Microsoft が個人データを開示する場合には、お客様に法的拘束力のある要求について通知する。お客様の要求に応じて、お客様かもしくは独立した第三者機関によって、お客様の要請で監査をデータ処理機関に提出する。下請け業者を利用する場合には、文書による事前承諾を得る。

対象となる Microsoft のクラウド プラットフォームとサービス

Office 365 と PDPA

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
商用 Azure Information Protection、Bookings、Exchange Online、Exchange Online Protection、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 Cloud App Security、Office 365 グループ、Office Delve、OneDrive for Business、Planner、Power Apps、Power BI for Office 365、PowerApps、Power Automate、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Viva Engage

実装方法

よく寄せられる質問

GDPR が個人データ保護法を変更した方法

2018年後半、アルゼンチンはまだGDPR関連の規制を制定していませんが、データ保護法をGDPRと整合させるために、新しいデータ保護法案(執行権限によって議会に提出され、下院によって改訂中)が起草されました。 これにより、データ主体の定義の違いや、国境を越える個人情報の転送に関する懸念に対処することができます。

Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する

Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース