役割と責任についての説明
Microsoft online サービスは、共有された責任モデルを基盤にしています。セキュリティとプライバシーの責任の一部はクラウド サービス プロバイダーに属し、一部は顧客に属します。 Microsoft と顧客との責務の分担は、使用しているサービス モデル (インフラストラクチャ、プラットフォーム、またはサービスとしてのソフトウェア)、サービスがどのように構成され、どのように顧客に活用されるか、さらには適用されるプライバシー法令および規制に依拠します。
たとえば、GDPR の条項では、次のように役割および責任が示されています。
データ管理者 –データ管理者が個人情報を制御し、使用方法を決定します。 管理者の責任は含まれますが、個人情報の収集、保守、行動の指示、保護、変更、削除に限定されることはありません。 管理者は、システムにユーザーを追加してアクセス権を付与し、データ主体からデータを収集します。または、これらのタスクを会社の代わりに従業員が実行します。 GDPR 要求のプロセスを理解し、それを実行することの負担は、データ管理者にかかっています。
この役割は、Microsoft の顧客が対象です。
データ処理者 –データ処理者は、データ管理者にサービスを提供し、データ管理者に変わってデータを処理します。 データ処理者は、データ管理者に代わってアクションを実行します。 データ処理者のサポートにより、データ管理者が GDPR を遵守することを可能にしますが、データの所有権はなく、データ主体の要求に直接回答したりデータ保護の影響を評価したりすることはできません。
この役割は、Microsoft がカバーします。 Microsoft は、データ処理者として、弊社サービスを保護するためのセキュリティおよびプライバシーを実装し、データ管理者がコンプライアンス義務を果たすことができるように支援します。 たとえば、Microsoft では、管理者がテナントにおけるプライバシーを制御する機能を切り替える権限を提供しています。 また、顧客のテナント管理者と直接連携して、エンド ユーザーからのサービスに関する質問や個人情報のデータ主体要求を受け付けるようにしています。
確認する上で重要なのは、コンプライアンスをいかに遵守するかということです。 弊社のお客様は、多くの場合、「どのような意味で、これらの法律や規制に準拠していますか?」と質問します。ほとんどの業界または地理的に固有の規制では、法律または規制に準拠した方法で Microsoft オンライン サービスを使用できます。 ただし、Microsoft はお客様の個人情報の内容を分析することはできないため、Microsoft オンライン サービスはエンドツーエンドのコンプライアンスを保証することはできません。
たとえば、HIPAA やその他の規制の対象となる組織には、Microsoft サービスを使用して規制に違反しないように、現場およびセキュリティに関する独自の研修プログラムが用意されている必要があります。 Microsoft が約束できるのは、弊社が自らの役割を果たし、それによって顧客が法的に準拠したプログラムを実行できるようにすることです。
一例として、米国の医師は、HIPAA によって規制された患者の保護された健康情報を当社のサービスに保存することができます。 Microsoft は、担当者がこの患者情報に不適切にアクセスしたり、漏洩したりできないようにするために、現場におけるセキュリティとプライバシー管理を行います。 ただし、サービスのユーザーである医師は、患者の機密情報をマーケターに送信することができます。 Microsoft は、知らないうちにそのメッセージを配信し、顧客が HIPAA に違反する原因となる場合があります。 Microsoft は、顧客の代表者の指示に従っているとみなすでしょう。
Microsoft は、最先端の技術、セキュリティ、およびプライバシーに関する基準に準拠したサービスの実行および運用を約束します。サービスの顧客とユーザーには、特定のニーズと義務をどのように遵守するかを決定する責任があります。