Microsoft のビジネス ユニットの追加のサブプロセッサ要件について理解する
Microsoft SSPA プログラムは、サプライヤー ベースのガバナンスと管理のための包括的なプログラムを提供しますが、個々の事業単位は、サプライヤーに対する追加の要件を維持する場合があります。 たとえば、Microsoft 365 は、新しいサブプロセッサーが承認されたときに顧客に通知を提供することを約束し、新しいサプライヤーと契約するときに追加のチェックを適用します。 追加のビジネス ユニット要件は、SSPA 要件を補完し、規制要件と契約上の義務に合わせて設計されています。
通知の要件
Microsoft は、製品およびサービスデータ保護補遺 (DPA) に従って、サブプロセッサーの追加に関する通知期間に関する追加のコミットメントを行います。 通知期間は、サブプロセッサが Microsoft の代理で処理するデータの種類によって異なります。
DPA に記載されている内容を要約するために、Microsoft は、顧客データを処理する新しいサブプロセッサーの少なくとも 6 か月前にお客様に通知を提供することを約束します。 その他の個人データについては、Microsoft は少なくとも 30 日間の通知を行います。
新しいサプライヤーの追加調達チェック
お客様と個人データへのアクセス権を持つサブプロセッサーの数を制限し、SSPA 要件を超えて顧客に通知するというコミットメントにより、Enterprise Personal Data へのアクセスを必要とするサプライヤーを購入する際に、追加のサプライヤー チェックが導入されました。 サブプロセッサーが承認されるまで、サプライヤーは顧客または個人データへのアクセスを許可されません。 これには、次のような要件が含まれます。
- その他の契約要件
- 追加の監査要件
- お客様への適切な通知