条件に基づいてデータにアクセスする
不正アクセスや不適切な使用に対する強力なセキュリティ対策が含まれる Microsoft ビジネス クラウド サービスを利用すれば、いつでもデータにアクセスできます。
お客様のデータに誰がアクセスできるか
Microsoft の法人向けクラウド サービスでは、権限のない人物による不適切なアクセスや使用からお客様のデータを守るために役立つ強力な措置を講じています。これには、Microsoft 担当者および外注業者によるアクセスを制限すること、および政府機関による顧客データの要請に対応する要件を慎重に定義することが含まれています。ただし、お客様は、理由を問わずいつでもデータにアクセスできます。
お客様は自身のデータにいつでもアクセス可能
Azure、Dynamics 365、Intune、または Microsoft 365 サブスクライバーの場合は、通知なしでデータを取得し、サブスクリプションを終了する場合はデータを保持します。
顧客データへのアクセスを制限
Microsoft は、外部または内部を問わず、権限のない人物による不適切なアクセスや使用から顧客データを保護し、顧客が相互にデータにアクセスできないように支援します。
Microsoft はお客様のデータをクラウドの中でどう扱うか
Microsoft クラウド サービスを使用して共有および保存されているデータ (サードパーティによる使用を含む) を Microsoft がどのように処理するかに関する、セキュリティ、プライバシー、コンプライアンスの一般的な質問について説明します。
-
運用プロセスは、Microsoft の法人向けクラウド サービス内での顧客データへのアクセスを制御し、強力な制御機能と認証機能により保護されます。これらは、物理的な保護と論理的な保護の 2 種類に分けられます。
物理的なデータセンター施設へのアクセスは、外側と内側の境界で防御され、各レベルでセキュリティが強化されています。たとえば、周囲のフェンス、警備員、サーバー ラックの施錠、多要素認証によるアクセス制御、統合された警報システム、オペレーション センターによる 24 時間体制のビデオ監視などがあります。
顧客データへの仮想アクセスは業務上の必要性に基づいて制限されます。そのための手段として、ロール ベースのアクセス制御、多要素認証、実稼働データへの継続的なアクセスを最小限に抑えることなどがあります。さらに、顧客データへのアクセスは厳重に記録され、Microsoft と第三者の両方が定期的な監査 (およびサンプル監査) を実施して、アクセスが適切であることを立証します。 -
データがネットワークを介して (ユーザーのデバイスと Microsoft のデータセンターの間、またはデータセンターの内部で) 移動する場合、Microsoft の製品とサービスでは業界標準のセキュア トランスポート プロトコルが使用されます。保存データの保護に関しては、Microsoft は、さまざまな組み込みの暗号化機能を提供しています。
Microsoft の法人向けクラウド サービスのほとんどはマルチテナント サービスです。つまり、お客様のデータ、デプロイ、仮想マシンは他のお客様と同じ物理ハードウェアに格納される場合があります。Microsoft は、お客様のデータが他のお客様のデータと混在するのを防ぐ目的で考案された専用のテクノロジーにより、論理的分離を利用して、各お客様のストレージや処理を分離します。
ISO 27001 など、監査対象となる認定を受けたビジネス クラウド サービスは、Microsoft と認定された監査法人によって定期的に検証されます。この検証では、サンプル監査を実施して、アクセスが正当な業務目的でのみ行われていることを証明します。 -
Microsoft の運用およびサポート担当者は、世界中で 24 時間、365 日対応しています。サービス運用の大半は自動化されているため、人間の介入を必要とする作業はごくわずかです。
Microsoft のエンジニアに、クラウドの顧客データに対する既定のアクセス権が与えられることはありません。代わりに、必要なときにのみ、管理者の監視下でアクセス権が付与されます。
Microsoft の担当者は、契約で定められたサービスを提供する上で、これに適う目的でのみ顧客データを使用します。たとえば、トラブルシューティングや、機能 (たとえば、マルウェアからの 保護) の向上などがあります。 - Microsoft ビジネス クラウド サービスは、顧客データや個人データなど、さまざまなカテゴリのデータを処理します。副処理者は、そのようなデータへのアクセスが必要となる可能性のある作業を実行するために Microsoft によって雇用された下請け業者です。副処理者は、Microsoft から委託されたオンライン サービスのサポートを提供する目的でのみデータにアクセスでき、その他のどのような目的でもデータを使用することは禁じられています。彼らはこのデータの機密性を維持する必要があり、厳格なプライバシー要件を満たすことが契約上義務付けられています。さらに、副処理者には EU 一般データ保護規則 (GDPR) の要件を順守することも要求されます。たとえば、個人データを保護するための適切な技術的および組織的な施策の実装に関連する要件などがあります。Microsoft は副処理者に対して、Microsoft Supplier Security and Privacy Assurance Program への参加を義務付けています。このプログラムは、データ処理の慣行を標準化し、強化すること、およびサプライヤーのビジネス プロセスとシステムが Microsoft のものと一致させることを目的に設計されています。顧客データおよび個人データを取り扱う副処理者には、厳重な要件が課せられます。
第三者副処理者は、次に示す範囲内で作業を行うことができます。
- Microsoft Online Services および Microsoft Cloud 機能と統合されたクラウド テクノロジーを強化:副処理者は、このサービスの提供を支援しながら、顧客および個人データ (仮名化された個人識別子で構成される) を処理、保存、またはアクセスすることがあります。
- 補助サービスの提供:副処理者は、Microsoft Online Services のサポート、運用、および保守を支援します。このような場合、副処理者は、付随サービスを提供しながら、顧客データおよび個人データ (仮名化された個人識別子で構成される) を処理、保存、またはアクセスすることがあります。
- 契約スタッフの提供:契約スタッフは、Microsoft 従業員と緊密に連携して、Microsoft Online Services の運用、提供、保守を行います。その際、契約スタッフが Microsoft に代わって顧客データまたは個人データ (仮名化された個人識別子で構成される) を処理する場合があります。このような場合、データは Microsoft システム上にのみ存在し、Microsoft のポリシーと監督の対象となります。Microsoft Online Services 内でのこれらの契約スタッフの処理活動は、Microsoft が毎年実施する独立した監査の対象となります。
- Microsoft Online Services および Microsoft Cloud 機能と統合されたクラウド テクノロジーを強化:副処理者は、このサービスの提供を支援しながら、顧客および個人データ (仮名化された個人識別子で構成される) を処理、保存、またはアクセスすることがあります。
-
Microsoft は、顧客データを、ビジネス クラウド サービスの使用を通じて顧客が Microsoft に提供するすべてのデータと定義します (「Microsoft によるデータの分類方法」を参照)。顧客データの中には、GDPR で個人データと定義されるものもあります。Microsoft は、顧客データに含まれず、オンライン サービスの運用を通じて生成または収集される一部の個人データも処理します。
Microsoft Online Services 副処理者リスト には、Microsoft Online Services 内の顧客データまたは個人データを処理する権限を与えられた副処理者が記載されています。このリストは、Microsoft データ保護補遺が適用されるすべての Microsoft Online Services に適用されます。
Microsoft は、オンライン サービスの副処理者を新規追加する場合、顧客データまたは個人データへのアクセスを伴う可能性のあるサービスの実施が許可される 6 か月前までにその企業の名称を公開します。1
この副処理者リストの更新について通知を受け取るには、「マイ ライブラリ」機能の説明にある手順に従ってください。
顧客データに対する政府機関からの要求
Microsoft は、「バック ドア」がないことを保証します。また、政府機関がお客様のデータに直接または自由にアクセスできるようにすることはありません。顧客データに対する政府機関や法執行機関からの要求については特別な要件を課しています。
Microsoft をフォローする