EU モデル契約条項 - よく寄せられる質問

 
すべて表示

域外へのデータ移動については、EU のデータ保護指令 (Data Protection Directive) で要件が定められており、2018 年 5 月 25 日以降は EU 一般データ保護規則 (General Data Protection Regulation、GDPR) の要件に従う必要がありますが、EU モデル契約条項を使用すると、お客様がその要件に準拠することができます。

モデル契約条項は欧州委員会 (EC) が発行するもので、EU の個人データが域外に移動されるときの十分な保護を目的として条項が規定されており、域外への移動を法的に正当化するしくみとなります。

グローバルなクラウド サービス プロバイダーがエンタープライズ レベルのサービス、可用性、パフォーマンスを提供するとともに、補助的なサービスとしてたとえば 24 時間年中無休のカスタマー サポートや技術サポートを提供する場合は、そのクラウド サービスを提供する過程で、EU の顧客の個人データを世界各地の拠点間で移動する柔軟性が必要になります。

Microsoft はプライバシー シールド規則に準拠していることが米国商務省によって認定済みであり、このフレームワークに従うことで EU 個人データの域外移動が合法化されています。

EU モデル契約条項は、Microsoft の「オンライン サービス条件」に含まれており、この条件はすべてのお客様が参照可能です。

ここで注意が必要な点は、Microsoft が提供する EU モデル契約条項は EU 域内の管理者 (controller) から EEA 域外のデータ処理者 (processor) へのデータ移動の安全保護が目的であることです。オンライン サービスに関して、Microsoft はデータ処理者 (または二次処理者) として、お客様の代理で顧客データ、サポート データ、および個人データを処理します。

データ処理者として EU モデル契約条項を締結することにより、Microsoft は、お客様のデータの制御をお客様が維持できることと、お客様のデータが厳格なデータ保護要件に従って処理されることを保証します。

EU モデル契約条項で規定されるデータ保護の要件に準拠するには、クラウド プロバイダーは顧客データを処理するにあたって厳格な技術的および組織的統制に従う必要があります。EU モデル契約条項に準拠するために、Microsoft はこれまでに(そしてこれからも) エンジニアリングと業務運営に関して多大な投資を行い、EU モデル契約条項で規定されているプライバシーとセキュリティの要件を満たしています。この投資にはエンジニアリングの統制とプロセスも含まれていますが、これらは ISO 27001 認証を達成するために要求される水準を上回っています。Microsoft はこの認証を取得済みであり、認証維持の監査を毎年受けています。これに加えて、Microsoft は自身のデータ処理活動を透明化しています。たとえば、委託先の二次処理者を開示し、顧客データ保護のための技術的および組織的なセキュリティ手段を公開しています。EU モデル契約条項を提供していないクラウド サービス プロバイダーは、前述のような統制とプロセスを実施していないことや、既存の業務慣行が理由で EU モデル契約条項に準拠できないこともありえます。

EU モデル契約条項が提供されていれば、顧客は自分のデータの安全が適切に保護されていると確信できます。クラウド サービス プロバイダーが EU モデル契約条項に同意する意思がない場合は、顧客がそのクラウド サービス プロバイダーによるデータ保護を信頼するのは難しくなる可能性があります。EU モデル契約条項は、クラウドの顧客が EU 域外データ移動の要件を満たすのにも役立ちます。実際に、第 29 条作業部会はデータ管理者とデータ処理者 (すなわち、顧客とクラウド サービス プロバイダー) の関係において契約による安全保護を確立することの重要性と、EU モデル契約条項の重要性を強調しています。

いいえ。EU 各国のデータ保護機関は一般的に、暗号化を、域外への個人データ移動の適切な手段に代わるものとは見なしていません。

クラウド サービス プロバイダーがデータ管理者とデータ処理者のどちらとして EU モデル契約条項を締結しているかを理解する必要があります。Microsoft はデータ処理者として EU モデル契約条項を締結しており、お客様のデータはお客様の指示に従ってのみ処理されることを保証しています。

2 つのクラウド サービス プロバイダーがどちらもデータ処理者として EU モデル契約条項に同意している場合は、EU モデル契約条項に加えて、データ プライバシーとセキュリティに対するそのサービス プロバイダーの全体的なコミットメントを考慮する必要があります。各国のデータ保護機関や第 29 条作業部会との積極的な連携は、そのようなコミットメントの証明であり、そのサービス プロバイダーが提供するサービスが顧客と規制機関双方の期待に適合していることの保証に役立ちます。

Microsoft は、Office 365 と Microsoft Dynamics CRM Online の強力なプライバシー コンプライアンス機能に関して欧州各国のデータ保護機関から多くの好意的な評価を受けています。これも、Microsoft のクラウド サービスがコンプライアンスを念頭に置いて設計されていることの現れといえます。

これまでに、EU モデル契約条項に対する Microsoft のデータ処理アプローチについて、フランス、ドイツ (バイエルン)、デンマーク、アイルランド、ルクセンブルク、マルタ、スペインのデータ保護機関から書面での妥当性確認を受けています。この妥当性確認は、お客様が EU 域外の、個人データの "十分な保護" が行われない法域に個人データを移動するときの規制要件を満たすうえで Microsoft が役立つことの裏付けといえます。

EU のお客様は、Office 365 または Microsoft Dynamics CRM Online に移行して EU のデータ保護要件に準拠することができます。

Microsoft の EU モデル契約条項の利点と安全保護は、すべてのお客様が対象です。Office 365 はマルチテナント サービスであり、Microsoft はこのサービスを運営するにあたり、同じプライバシー機能、統制、処理をすべてのお客様に適用しています。これは、お客様が EU モデル契約条項を締結しないことを選んだ場合も同じです。