トップ 10 リスト

お客様が必要としているのは、安全性と信頼性を備えた、すぐに使える生産性向上ソリューションです。クラウド生産性向上サービスのセキュリティと信頼性を確認し、セキュリティに対する期待にかなうクラウド サービス プロバイダーを選ぶうえで役立つように、情報に基づいて意思決定を行うためのプライバシーとセキュリティに関する主な考慮事項を定めました。

時間を節約し、より多くの情報に基づいて意思決定を行うために、以下の 3 つのリストをお役立てください。

 
すべて表示

1. このサービスで保存するデータの所有者はだれですか。保存したデータを製品の広告に使用することはありますか。

Office 365 を利用するお客様のデータはお客様のものであり、お客様が管理します。Microsoft では、お客様のデータを、お客様が加入されたサービスを提供する以外の目的に使用することはありません。サービス プロバイダーである Microsoft は、お客様のメールやドキュメントを広告目的でスキャンすることもありません。詳細については、Office 365 セキュリティ センターの「お客様データの使用方法」を参照してください。

2. このサービスでは、プライバシー コントロールが提供されていますか。

プライバシー コントロールは、既定により、サービスをご利用のすべてのお客様について有効に設定されており、お客様は、お客様のニーズに合わせて、プライバシーに影響する機能のオフ/オンを設定できます。Microsoft は、契約のデータ処理条件に規定された堅牢なプライバシーおよびセキュリティ対策に取り組むことをお約束します。

3. サービス上でデータが保存される場所を確認できますか。

お客様のデータの保存場所について、Microsoft は透明性を重視しています。詳細については、Office 365 セキュリティ センターの「お客様のデータの保存場所」を参照してください。

4. セキュリティについては、どのような取り組みを行っていますか。また、外部の攻撃からサービスを保護するセキュリティ機能には、どのようなものがありますか。

セキュリティは、Office 365 の最も重要な設計方針および機能の 1 つです。セキュリティを重視した取り組みは、ハードウェアやソフトウェアだけにとどまらず、データセンターの物理的なセキュリティ、ポリシーとコントロール、独立監査人による検証にまで及びます。

セキュリティ機能には、大きく分けて、1) 組み込みセキュリティ 2) お客様独自のコントロールの 2 つのカテゴリがあります。組み込みセキュリティは、お客様の情報を保護し、可用性の高いサービスを実行するために、Office 365 のすべてのお客様に代わって Microsoft が講じるすべての対策を意味します。お客様独自のコントロールは、お客様の組織固有のニーズに合わせて Office 365 をカスタマイズできるようにする機能です。両方のタイプのセキュリティ機能の詳細については、Office 365 セキュリティ センターの「セキュリティ」セクションを参照してください。

5. データをサービスから取得できますか。

お客様のデータの所有者は、お客様自身であり、Office 365 で格納されるデータの権利、権原、利益はすべてお客様に帰属します。お客様は、加入期間中および期間終了後 90 日間いつでも、理由の如何を問わず、Microsoft から一切の支援を受けることなく、すべてのデータのコピーをダウンロードできます。詳細については、Office 365 セキュリティ センターの「お客様データの帰属先」を参照してください。

6. サービス内容に変更があった場合や、データのセキュリティが脅かされた場合は、通知されますか。

セキュリティ、プライバシー、コンプライアンスに関して、サービスに重要な変更があった場合は、お客様にお知らせします。また、お客様のデータに不正なアクセスがあった場合も、速やかにお知らせします。

7. データの使用方法やアクセス方法に関する透明性は確保されていますか。

Microsoft では、お客様のデータを保管している地理的な場所、アクセスできる Microsoft の担当者、Microsoft 社内での取り扱い方法など、データの保存に関する重要な情報を共有します。詳細については、Office 365 セキュリティ センターの「お客様のデータにアクセスできる人員」セクションを参照してください。

お客様のデータへのアクセスに関する Microsoft の見解は、次のとおりです。
お客様はお客様自身のデータにいつでもアクセスできます。データへのアクセスは厳重に管理されており、ログに記録されます。また、アクセスがビジネス上の適切な目的に限って行われていることを証明するために、Microsoft と第三者によるサンプル監査が行われます。Microsoft は、お客様のコンテンツがきわめて重要であることを認識しています。もし Microsoft の担当者、パートナー、お客様の管理者など、お客様以外の人間がサービス上のお客様のコンテンツにアクセスした場合は、Microsoft はお客様の要求に応じて、そのアクセスに関するレポートを提供します。

8. セキュリティおよびプライバシーに関して、どのような取り組みを行っていますか。

Office 365 について、Microsoft はそれぞれのお客様と、データ処理条件、HIPAA Business Associate Agreement (BAA)、EU モデル契約条項を積極的に締結しています。また、ISO 27001、ISO 27018、FISMA、FedRAMP などの基準にも準拠しています。詳細については、Office 365 セキュリティ センターの「第三者による検証」セクションを参照してください。

9. どのような方法でサービスの信頼性を確保していますか。

Microsoft では、冗長性、回復性、分散サービス、監視など、さまざまなベスト プラクティスを設計や運用に応用しています。最近では、サービスの稼働率を四半期ごとにまとめて発表する取り組みを始めました。詳細については、Office 365 セキュリティ センターの「透明性のある運用」セクションを参照してください。

10. サービスの維持に関しては、どのような取り組みを行っていますか。

Microsoft では、返金制度のあるサービス レベル アグリーメントによって、99.9% の稼働率を保証しています。月間の稼動率が 99.9% を下回った場合は、サービス クレジットの適用を受けることができます。

上記の質問について、Microsoft Office 365 がお客様に保証する方法の詳細と実証する具体例については、「Office 365 セキュリティ センター」を参照してください。

1. データセンターへの物理的なアクセスは、許可されている担当者に制限しています。また、バイオメトリック リーダー、モーション センサー、24 時間セキュリティで保護されたアクセス、ビデオ カメラによる監視、セキュリティ侵害アラームなど、多層の物理的なセキュリティを実装しています。

2. データセンターとユーザーの間でデータを送信する際には、保存時とネットワーク経由の転送時の両方でデータを暗号化できます。

3. 広告を目的としてお客様のデータをマイニングしたり、データにアクセスしたりすることはありません。

4. お客様のデータは、サービスを提供する目的にのみ使用します。それ以外の場合、許可なくお客様のメールボックスを閲覧することはありません。

5. お客様のデータを定期的にバックアップします。

6. サービス期間が終了しても、Microsoft が提供するデータの移行猶予期間中は、アカウント内のデータはすべて削除されません。

7. お客様のデータは、地域内でホストします。

8. "強力な" パスワードを適用して、お客様のデータのセキュリティを強化します。

9. お客様のニーズに合わせて、プライバシーに影響する機能のオン/オフの切り替えをお客様自身で行うことが可能です。

10. Microsoft は、ボリューム ライセンス契約で合意したデータ処理条件の履行をお約束します。詳細については、Office 365 セキュリティ センターの「第三者による検証」セクションを参照してください。

1. 医療保険の携行性と責任に関する法律 (HIPAA):

HIPAA は、この法律で定められた “対象機関" であると見なされるお客様に対して、電子的に保護された医療情報の処理に関するセキュリティ、プライバシー、報告の要件を課すものです。Microsoft は、物理的、管理上、技術的な保護を提供できるように Office 365 を設計しており、お客様が HIPAA を遵守できるようになっています。Microsoft は、すべてのお客様と HIPAA Business Associate Agreement (BAA) を締結します。HIPAA BAA の詳細については、「HIPAA/HITECH についてよく寄せられる質問 (英語)」を参照してください。

2. データ処理条件:

Microsoft は、顧客データの取り扱いと保護に関するデータ処理条件により、お客様を保証します。Microsoft はこれらの条件に同意することにより、世界中のセキュリティに関する規制から収集した 40 を超えるコミットメントを遵守します。お客様は、データ処理条件に定められた確固たるコミットメントを既定で利用することができます。

3. 連邦情報セキュリティ マネジメント法 (FISMA)

は、米国連邦機関に対して、その情報と情報システムをセキュリティで保護するための規制の策定、文書化、実施を求めるものです。Federal Risk and Authorization Program (FedRAMP) は、クラウド製品およびサービスのセキュリティを評価および監視するための標準化されたアプローチを策定した米国政府のリスク管理プログラムです。「FedRAMP/FISMA についてよく寄せられる質問 (英語)」では、Office 365 サービスが FedRAMP/FISMA に関連するセキュリティとプライバシーのプロセスに準拠する方法について説明しています。

4. ISO 27001:

ISO 27001 は、世界で最も多く利用されているセキュリティ ベンチマークです。Office 365 の多くの製品は、ISO 27001:2013 で定められた、物理的、論理的なプロセス、管理に関する一連の厳格な規制に準拠していることが認証されています。また、直近の監査では、これに ISO 27018 で定められたプライバシー コントロールも含まれています。これらの新しい ISO 27018 規制が ISO の評価対象に含まれることにより、顧客データのプライバシー保護のために Office 365 が提供する保護の水準を、お客様に対してさらに証明できることになります。

5. 欧州連合 (EU) モデル契約条項:

EU におけるプライバシーと人権に関する法律を定めた主要な文書である EU データ保護指令は、EU 内のお客様に対して、EU 域外への個人データの移転を合法化することを求めています。EU モデル契約条項は、クラウド コンピューティング環境で、EU 域外への個人データの転送を合法化するための推奨方法として認められています。EU モデル契約条項を提供するには、EU モデル契約条項の厳格な要件を満たすために必要な業務管理やプロセスに投資し、それらを策定する必要があります。クラウド サービス プロバイダーが EU モデル契約条項に積極的に同意しなければ、個人データを EU から “十分な保護" を確保していない管轄域に移転する場合の要件を定めた EU データ保護条令にプロバイダーが準拠できるかどうかが不確実になる可能性があります。「EU モデル契約条項についてよく寄せられる質問」では、規制機関によって承認された Microsoft による EU モデル契約条項に対するアプローチについて説明しています。

6. ISO 27018:

Microsoft は、ISO 27018 に準拠していることが独立機関によって確認された初めての大手クラウド サービス プロバイダーです。ISO 27018 は、クラウドに保存される個人情報のプライバシー保護に関して、統一された国際的アプローチを定めたものです。Microsoft の ISO 27018 への準拠は、Microsoft が、個人情報をお客様の指示に従ってのみ処理すること、顧客データの取り扱いについて透明性を確保すること、クラウド内の個人情報に対する強力なセキュリティ保護を提供すること、顧客データを広告に使用しないこと、お客様のデータに対するアクセスの統制についてお客様に通知することを意味します。

7. 家庭教育の権利とプライバシーに関する法 (FERPA):

FERPA は、米国の教育機関に対して、学生の教育記録 (メールや添付ファイルを含む) の使用または開示に関する要件を課すものです。Microsoft は、広告を目的としてメールやドキュメントをスキャンしないことへの同意を含め、学生の教育記録の使用を制限する、FERPA による使用と開示の制約に同意します。

8. 保証業務基準書第 16 号 (SSAE 16):

Office 365 は、独立した第三者による監査を受けており、サービスにおける統制の実施方法について、SSAE16 SOC 1 Type I と Type II および SOC 2 Type II の報告書を提供することができます。

9. 米国グラム リーチ ブライリー法 (GLBA):

米国グラム リーチ ブライリー法は、金融機関に対して、顧客の非公開の個人情報を保護するプロセスの整備を求めています。GLBA は、セキュリティとデータの整合性への予測可能な脅威から情報を保護するための政策を施行します。GLBA の対象となるお客様は、Office 365 を使用することで GLBA 要件に準拠できます。

10. Health Information Trust Alliance (HITRUST):

Office 365 チームは、独立評価機関と共同で、HITRUST の遵守を評価するためのアセスメントを実施しました。HITRUST は米国の医療組織によって重要な基準と見なされており、一般セキュリティ フレームワーク (CSF) が規定されています。CSF は、個人の医療情報や財務情報の作成、アクセス、保存、交換を行うすべての組織が使用できる証明可能なフレームワークです。

Office 365 のコンプライアンスの詳細については、業界標準および業界規制に関するコンプライアンス フレームワークのドキュメント (英語)を参照してください。