Microsoft サブプロセッサの要件について理解する
Microsoft は、お客様にクラウド サービスを提供する一環としてさまざまなデータを処理します。 処理するデータを分類して、適切なセキュリティおよびプライバシー保護で処理されるようにします。 Microsoft によって処理されるデータのカテゴリは、Microsoft 製品およびサービス データ保護補遺 (DPA) で定義されています。
Microsoft がサプライヤーを利用して、サプライヤーにそのようなデータの処理を要求する可能性があるオンライン サービスの側面を提供する場合、サプライヤーは (GDPR 用語に従って) "サブプロセッサ" として識別されます。 "個人データ" と "Microsoft Confidential Data" を処理するすべてのサブプロセッサーは、Microsoft の代わりにデータを処理することを許可される前に、Microsoft サプライヤー セキュリティおよびプライバシー 保証 (SSPA) プログラムに従う必要があります。
Microsoft と共有されるデータの種類
個人データは、特定または識別可能な自然人 (データ主体とも呼ばれます) に関連する情報として定義されます。 個人データは、次の 4 つの個別のデータ カテゴリに分類される場合があります。
- 顧客データ は、Microsoft Professional Services データを除き、オンライン サービスの使用を通じて Microsoft に提供されるすべてのテキスト、サウンド、ビデオ、または画像ファイル、ソフトウェアを含むすべてのデータです。
- サービスが生成したデータには、オンライン サービスの運用を通じて Microsoft によって "生成" または "派生" されるすべてのデータが含まれます。 Microsoft は、オンライン サービスからこのデータを集計し、それを使用して、カスタマー エクスペリエンスに影響を与えるパフォーマンス、セキュリティ、スケーリング、およびその他のサービスが、お客様が必要とするレベルで動作していることを確認します。
- 診断データ には、Microsoft エンタープライズ オンライン サービスに関連して使用するためにローカルにインストールされたアプリから「収集」または「取得」されたすべてのデータが含まれます。 これは、クライアント ソフトウェアのセキュリティを確保し、正常に動作するために Microsoft によって使用されます。
- プロフェッショナル サービス データ とは、Microsoft に提供されるすべてのテキスト、サウンド、ビデオ、画像ファイル、ソフトウェアを含むすべてのデータを意味します。これは、お客様に代わって提供されるデータ (または、お客様が Microsoft が製品から取得することを承認する)、または Microsoft がプロフェッショナル サービスを取得するために Microsoft との契約を通じて Microsoft に代わって取得または処理することを意味します。 プロフェッショナル サービス データには、オンライン サービスのテクニカル サポート中に Microsoft に提供されるサポート データが含まれます。
- Microsoft Confidential Data とは、機密性または整合性の手段によって侵害された場合、Microsoft の評判や財務上の損失につながる可能性がある情報を指します。 これには、Microsoft 製品の開発、テスト、または製造に関する情報、ライセンス キー、プレリリース のマーケティング資料が含まれます。
| データの種類 | 定義 |
|---|---|
| 顧客データ | お客様が提供 |
| 診断ログ | お客様がインストールしたソフトウェアから収集または取得 |
| サービスによって生成されたデータ | Microsoft によって生成または派生された |
| プロフェッショナル サービス データ サポート データ |
プロフェッショナル サービスに関連して顧客が提供する テクニカル サポートに関連して顧客が提供するプロフェッショナル サービス データのサブセット |
| 個人データ | 識別または識別可能な自然人に関連する上記の定義されたデータ型のいずれか |
Microsoft Supplier のセキュリティとプライバシーの保証 (SSPA) プログラム
Microsoft Supplier のセキュリティとプライバシーの保証 (SSPA) プログラムは、Microsoft サプライヤーのプライバシーとセキュリティの要件を設定し、データ処理手法を標準化および強化するように設計された企業向けプログラムです。 SSPA プログラムでは、サプライヤーに Microsoft の厳格なプライバシーおよびセキュリティ ポリシー、法的義務、および顧客の期待への準拠を実証するように要求します。 Microsoft は、サプライヤーに委託されたデータを保護するために、個人データまたは Microsoft 機密データを処理するすべてのサブプロセッサーが SSPA プログラムに準拠することを要求します。
SSPA プログラムには、Microsoft に代わってデータを処理する前に、副処理者が実装する必要がある一連のセキュリティおよびプライバシー制御が含まれます。 これらのコントロールは、データ保護要件 (DPR) で定義します。 作業を開始する前に、SSPA プログラムに登録されているすべての副処理者は、該当する DPR コントロールに準拠していることを確認および証明する必要があります。 また、副処理者はDPR への準拠の自己証明を毎年完了する必要があります。 処理されるデータとサブプロセッサによって提供されるサービスに関連するリスク レベルによっては、追加の要件が必要になる場合があります。 これらの追加要件については、このモジュールの後半で説明します。
副処理者が SSPA プログラムの要件に準拠しているかどうかは、Microsoft 購入ツールによって追跡されます。 すべての要件を完了しない限り、購入ツールで副処理者との契約を進めることはできません。 SSPA の要件への準拠を維持できない場合、副処理者は Microsoft の代理としてのデータへのアクセスまたはデータの処理をできなくなります。