データライフサイクル--サードパーティ共有についての理解
第三者共有とは、第三者へのデータの共有または将来の開示のことを指します。 ここでは、Microsoft がデータを共有する方法について説明します。 すべての場合において、Microsoft は、お客様によって承認された場合、または適用される法律によって要求された場合にのみ、データを共有します。
副処理
Microsoft は、お客様にクラウド サービスを提供する一環としてデータを処理します。 処理するデータを分類して、適切なセキュリティおよびプライバシー保護で処理されるようにします。 Microsoft が処理するデータのカテゴリは、Microsoft Online Services Data Protection Addendum (DPA) で定義されています。
Microsoft がサプライヤーを雇用して、サプライヤーにそのようなデータの使用または処理を要求する可能性がある当社のオンライン サービスの何らかの側面を提供する場合、サプライヤーは "サブプロセッサー" として識別されます。すべてのサブプロセッサーは、Microsoft の代わりにデータを処理する前に、Microsoft サプライヤー セキュリティおよびプライバシー (SSPA) アシュアランス プログラムに従う必要があります。
Microsoft SSPA プログラムは、データ処理手法の標準化と強化を目的とした企業向けプログラムで、Microsoft サプライヤーのプライバシーとセキュリティの要件を設定しています。 SSPA プログラムでは、サプライヤーに対して、Microsoft の厳格なプライバシーおよびセキュリティ ポリシー、法的義務、および顧客の期待への準拠を示すことが要求されています。 顧客データと個人データを保護するために、Microsoft はすべての副処理者に SSPA プログラムに準拠することを要求します。
第三者サービス
お客様は、Office や SharePoint アプリストアなどのプラットフォームを介して利用できる第三者サービスを追加のオプション サービスとして使用できます。 IT 管理者は、エンド ユーザーがこれらの追加サービスを使用できるかどうかを判断します。 これらのサービスには、Microsoft Corporation が運用しているものと、第三者アプリ発行元が運用しているものがあります。 第三者アプリには、アプリ発行元の利用規約とプライバシーに関する声明が適用されます。 お客様は、ビジネスの優先順位に照らして、第三者製品を使用するリスクを評価する必要があります。
法執行機関による要求
Microsoft は、政府 (法執行機関またはその他の政府機関を含む) に対して、顧客データへの直接的または自由なアクセスを提供しません。 第三者が顧客データを必要とする場合は、該当する法的手続きに従う必要があります。つまり、コンテンツ、サブスクライバー情報、またはその他の非コンテンツ データに対する有効な法的要求を Microsoft に送達する必要があります。 政府以外の機関からの要求については、コンテンツをリリースするためにアカウント所有者の特定の合法的な同意が必要であり、また、すべての要求について、法律でそうすることが禁止されていない限り、アカウント所有者に通知します。 Microsoft は、政府にプラットフォーム暗号化キーを提供したり、政府にお客様が有効にした暗号化を解除する機能を提供したりしません。
政府が顧客データを必要とする場合は該当する法的手続きに従う必要があり、これらの手続きには次が含まれます。
- 顧客データに対するすべての法的要求は、特定のアカウントと識別子を対象にする必要があります。
- Microsoft の法令遵守チームは、すべての法的要求を検討してそれらが有効であることを確認し、無効なものを拒否し、対応する特定のデータのみを提供します。
- Microsoft が顧客データの開示を法律により強制された場合、Microsoft が法的にそうすることを禁じられていない限り、お客様に直ちに通知し、法的要求のコピーを提供します。