EU モデル契約条項 - よく寄せられる質問

 
すべて表示

EU モデル契約条項を締結すると、お客様は、国境を超えて個人データを移送する際に、EU のデータ保護条例に準拠できるようになります。

EU のデータ保護法は、欧州経済地域からの個人データの輸出を制限します。欧州経済地域外への個人データの移送を合法化する場合は、欧州委員会が承認した標準契約条項であるモデル契約条項が推奨されます。

企業レベルのサービス、可用性、パフォーマンスの他に、24 時間年中無休のカスタマー サポートや技術サポートなどの付帯的なサービスを提供するグローバルなクラウド サービス プロバイダーは、クラウド サービスを提供する過程で、EU のお客様の個人データを EU 外に柔軟に移動する必要があります。

Microsoft と Microsoft のお客様は、EU からの個人データの移送を合法化するために、"Safe Harbor” フレームワークを利用することがありますが、欧州の一部のデータ保護規制機関は、Safe Harbor フレームワークは、法人向けクラウド サービス環境で十分に機能しない可能性があると述べています。

Microsoft は、お客様の規模や、お客様の Office 365 または Microsoft Dynamics CRM Online サービス契約の価格にかかわらず、Office 365 および Microsoft Dynamics CRM Online のすべてのお客様と、EU 標準契約条項を含むデータ処理契約を進んで締結しています。

EU モデル契約条項を提供するには、EU モデル契約条項の厳格な要件を満たすために必要な業務管理や処理に投資して、それらを構築する必要があります。EU モデル契約条項に準拠するために、Microsoft は、ISO 27001 認証の取得に必要なもの以外にも、業務管理や処理の開発にも投資しており、年次監査で、このような管理に対する監査を受けています。また、Microsoft は、データ主体に適用される下請業者、つまり第三者の受益者の状態や、技術的および組織的なセキュリティ手段をすべて開示します。EU モデル契約条項を提供していない競合他社は、このような業務管理や処理を導入していないか、これらの条項への準拠を阻む従来のビジネス慣行を採用している可能性があります。

クラウド サービス プロバイダーに EU モデル契約条項に同意する意思がない場合、「個人データの "十分な保護" が行われない区域に EU から個人データを移送する際に、そのクラウド サービス プロバイダーは EU データ保護条例の要件に準拠している」と、お客様が信じることが難しくなります。実際に、第 29 条作業部会は、データ管理者とデータ処理者 (すなわち、お客様とクラウド サービス プロバイダー) の関係に契約上の保護条項を確立することの重要性と EU モデル契約条項の重要性を強調しています。

いいえ。EU データ保護機関は、一般的に、暗号化を、国境を越えて個人データを移送する適切な手段に代わるものとは考えていません。

お客様は、EU モデル契約条項に加えて、データ プライバシーとセキュリティに対する、サービス プロバイダーの全体的な取り組みを検討する必要があります。国家データ保護機関や第 29 条作業部会と積極的に連携しているサービス プロバイダーは、そのような取り組みを行っており、サービス プロバイダーから提供されるサービスは、必ずお客様と規制機関双方の期待に沿うことができます。

Microsoft は、欧州のデータ保護機関から、Office 365 および Microsoft Dynamics CRM Online の強力なプライバシー準拠機能を支持する多くの好意的な評価をいただいています。このことは、Microsoft が、プライバシー機能を組み込んだクラウド サービスを計画的に設計していることを明確に示すものです。

これまで Microsoft は、フランス、ドイツ (バイエルン)、デンマーク、アイルランド、ルクセンブルク、マルタ、スペインのデータ保護機関から、EU モデル契約条項への取り組みに関する妥当性確認について、書面で報告を受け取っています。この妥当性確認は、お客様が、個人データの "十分な保護" が行われない区域に EU から個人データを移送するための規制要件を満たす際に、Microsoft がお役に立てることを示しています。

EU のお客様は、Office 365 または Microsoft Dynamics CRM Online に移行して、EU のデータ保護要件に準拠することができます。

Office 365 は、マルチテナント サービスです。Microsoft は、すべてのお客様に (EU モデル契約条項を締結していないお客様であっても)、同じプライバシー機能、管理、処理を備えたサービスを実行します。