データ保護とプライバシー
Microsoft のクラウド サービスをご利用いただくときは、お客様の最も貴重な資産、つまりデータを預けられていることを私たちは理解しています。
お客様のデータはお客様がコントロール
データ プライバシーに対する、時の試練を経た Microsoft のアプローチの根底にあるのは、お客様がクラウドに置くデータをお客様がコントロールできるようにすることの確約です。言い換えれば、お客様のデータはお客様がコントロールします。Microsoft はこのことを、お客様への契約上の確約で保証します。
お客様のデータはお客様に帰属
お客様のデータはお客様のビジネスそのものであり、お客様はいつでもアクセス、変更、削除できます。Microsoft はお客様の同意を得ずにお客様のデータを使用することはなく、同意が得られたときは、お客様が選択したサービスを提供することのみを目的としてお客様のデータを使用します。
プライバシーに関する法律による保護を維持する
お客様のデータに対するお客様のコントロールは、GDPR やプライバシー標準など、広範に適用されるプライバシー法に準拠する Microsoft によって強化されます。これには、クラウド プライバシーに関する世界初の国際実務基準である ISO/IEC 27018 が含まれます。
データの処理には同意が必要
Microsoft によるお客様のデータの処理は、お客様との合意に基づいてのみ行われるとともに、契約で合意した厳格なポリシーと手順に従って行われます。Microsoft の広告主によってサポートされるサービスとの間でお客様のデータを共有することはなく、マーケティング リサーチや広告などの目的でマイニングすることもありません。
下請業者のデータ制約
お客様のデータへのアクセスを必要とする作業を実行するために Microsoft によって展開された下請業者または副処理者は、提供するために採用された機能のみを実行できます。これらの業者は Microsoft がお客様に対して行うものと同一の契約上のプライバシーの確約に拘束されます。Microsoft Online Services Subprocessor List に記載されている承認済みの副処理者は、一連の厳格なセキュリティとプライバシーの要件に対する監査を事前に受けています。
自分のデータがどこに存在し、どのように使われるかを知る
Microsoft の商用クラウド サービスをお使いいただくときに、お客様のビジネスに最適なサービスとデータの場所の選択をお手伝いします。
データセンターの選択
Microsoft のオンライン サービス (Microsoft Azure、Microsoft Dynamics 365 と Power Platform、Microsoft 365 など) では、お客様のデータをどこに保管するかを決定するのに利用できるツールとオプションをご用意しています。
データをどこに保管するかの選択
Microsoft はデータ所在地を世界各地に用意しています。このことは、レジリエンシーとコンプライアンスの要件を特定の地理的境界の中で満たすのに役立ちます。これらの機能を支えるのは、お客様のデータの保管と処理に関する契約上の確約と透明性です。
お客様のデータは保存中も転送中もセキュリティで保護されます
高度な暗号化で、Microsoft はお客様のデータを保存中も転送中も守ります。Microsoft の暗号化プロトコルは、データへの不正アクセスを阻止しますが、その一環として 2 層以上の暗号化が行われます。各層は互いに独立しているため、暗号化層の 1 つが破られたとしても保護を維持します。
保存データ
Microsoft Cloud では幅広い暗号化機能が採用され、最高レベルでは AES-256 も使用できるので、お客様はビジネスに最適なソリューションを柔軟に選ぶことができます。
転送中のデータ
Microsoft は業界標準の暗号化トランスポート プロトコルを使用し、その使用を有効化しています。具体的には TLS (Transport Layer Security) や IPsec (Internet Protocol Security) があります。
暗号化キー
Microsoft が管理する暗号化キーはすべて、適切にセキュリティで保護されています。また、パスワード、暗号化キー、その他のシークレットへのアクセスをお客様が制御するのに役立つように、Azure Key Vault などのテクノロジを提供しています。
お客様のデータを護ります
明確に定義されて十分に確立した応答ポリシーとプロセス、強い契約上の確約、そして必要であれば法廷を通して、Microsoft はお客様のデータを護ります。お客様のデータに対する政府からの要求はすべて、お客様に対して直接行われるべきと私たちは考えます。私たちはいかなる政府に対しても、お客様のデータへの直接あるいは無制限のアクセスを許可することはありません。
データ要求への対応方法
私たちが政府または法執行機関にデータを開示することはありません (お客様からの指示があった場合または法律で要求される場合を除きます)。Microsoft は政府からの要求をすべて精査し、法的に正当で適切であることを確認します。
法執行機関からの要求の処理方法
お客様のデータに対する要求を Microsoft が受け取った場合は、すみやかにお客様に通知するとともに、その要求の写しをお渡しします (このことが法的に禁止されている場合を除きます)。さらに要求元に、そのデータをお客様に直接要求するよう指示します。
Microsoft の契約上の確約
エンタープライズとパブリック セクターのお客様に対する私たちの契約上の確約には、お客様のデータを護ることが含まれていますが、これは私たちの既存の保護の上に構築されるものです。私たちは、営利企業またはパブリック セクターのお客様のデータに対する政府からの要求について、異議を申し立てる正当な根拠があれば必ず申し立てます。私たちはこれまでに、法の支配と矛盾する政府からの要求に法廷で異議を申し立て、それが認められたという実績があります。また、私たちが受け取った米国国家安全保障指令の数について透明性を維持しています。
GDPR コンプライアンス
私たちは、Microsoft の GDPR コンプライアンスとその他のデータ保護安全策の強さを背後で支えています。営利企業およびパブリック セクターのお客様に対する責任への備えを厚くするために、Microsoft は EU の GDPR に違反して政府からの要求に応じてお客様のデータを開示することになった場合に金銭的補償を行います。
お客様への約束
すべての Microsoft のビジネス向けクラウド サービス内でのお客様のデータのプライバシー保護に役立つ具体的な方針、運用実務、テクノロジについて、Microsoft は透明性を維持しています。
これらのお約束は、口先だけではありません。営利企業とパブリック セクターのお客様に対しては、保証を標準契約書で行います。
Microsoft をフォローする