サブプロセッサーのアクセス制御要件を確認する
サブプロセッサが個人データまたは Microsoft 機密データに "アクセスする可能性がある" 場合、そのデータをいつでも必要に応じて処理できるということですか? Microsoft は、サブプロセッサーがデータを処理することを許可します。Microsoft が提供するサービスを提供することのみを許可し、他の目的でデータを使用することは禁止されています。 サブプロセッサーによって処理される個人データは、多くの場合、仮名化または識別解除され、サブプロセッサーは識別可能な属性にアクセスすることなく、職務責任を果たすことができます。 Microsoft では、各種類のサブプロセッサが、適切なアクセス制御を使用して、処理するデータを保護する必要があります。
サブプロセッサーの種類
Microsoft では、次の 3 つのカテゴリのサブプロセッサを指定しています。
- 技術: Microsoft Online Services とシームレスに統合され、一部で Microsoft クラウド機能を強化するテクノロジを強化するサード パーティのサブプロセッサ。 これらのサービスのいずれかをデプロイする場合、そのサービスで特定されたサブプロセッサーは、そのサービスの提供を支援しながら、顧客データまたは個人データを処理、保存、またはその他の方法でアクセスできます。
- 補助: オンライン サービスのサポート、運用、保守に役立つ付随サービスを提供するサード パーティのサブプロセッサー。 このような場合、指定されたサブプロセッサーは、その補助サービスを提供している間に、限定的に顧客データまたは個人データの処理、保存、またはその他の方法によるそれらのデータへのアクセスを行う場合があります。
- 契約スタッフ: Microsoft Online Services をサポート、運用、保守するために Microsoft フルタイムの従業員と協力する契約スタッフを提供する組織。 いずれの場合も、顧客データまたは個人データは Microsoft の施設、Microsoft システムにのみ存在し、Microsoft のポリシーと監督の対象となります。
さらに、 Microsoft データ センター エンティティは、Microsoft Online Services が実行されるデータセンター インフラストラクチャを提供します。 データセンター内のデータは暗号化され、データセンター内の担当者はアクセスできません。
サブプロセッサーのアクセス制御
Microsoft のそれぞれの種類のサブプロセッサーは、顧客データや個人データを保護するための適切なアクセス制御を強制しています。 すべてのサブプロセッサーは、顧客データや個人データの安全性や機密性を維持する必要があり、契約上、厳格なプライバシーやセキュリティの要件を満たす義務を負っています。 これらの要件は、Microsoft が Microsoft 製品およびサービスデータ保護補遺で顧客に対して行う契約上のコミットメントと同等か、それより強力です。
契約スタッフには、多要素認証 (MFA)、ゼロ スタンディング アクセス (ZSA)、Just-Enough-Access (JEA) を使用した Just-In-Time (JIT) など、Microsoft のフルタイム従業員に対して同じアクセス制御が適用されます。 さらに Microsoft が管理する施設で作業したり、Microsoft が管理する機器を使用したりする下請業者に対しては、契約上 Microsoft のプライバシー基準に従い、定期的なプライバシー トレーニングを受けることが義務づけられています。
テクノロジおよび補助的なサブプロセッサは、Microsoft Data Protection Requirements (DPR) に準拠したアクセス制御の実装を担当します。 これらの要件は、Microsoft が製品条項でお客様に対して行う契約上のコミットメントを満たすか、超えています。 これらのサブプロセッサーは、Microsoft Online Services をサポートする機能を提供するために、お客様や個人データなどの特定の制限付きデータにアクセスする可能性があります。 サブプロセッサー契約は、他の目的での個人データの使用を特に禁止します。 さらに、DPR からの適用される制御は、未承認のアクセスまたは使用から顧客と個人データを保護するのに役立ちます。 多くの場合、サブプロセッサが実行するタスクは、仮名化または匿名化されたデータで実行できます。
また、サブプロセッサーに対しては、個人データの保護を目的とする適切な技術的対策や組織的対策の実施に関連するものを含むプライバシー要件やセキュリティ要件を満たすことが求められます。