クラウド プロバイダーに問い合わせるべきプライバシーに関する主な質問

Microsoft Office 365 では、Office 365 をご利用のすべてのお客様に必要不可欠なプライバシー機能が提供されます。ここでは、これらのプライバシー機能について説明し、EU の機関が定めた高いプライバシー基準をこれらの機能がどのようにして満たしているかについて説明します。2012 年 7 月 1 日に、EU の第 29 条作業部会 (WP29) (EU の国家データ保護機関で構成される団体) は、クラウド コンピューティングに関する意見書 05/2012 を採択しました。クラウド コンピューティングに関する意見書では、効率の向上やセキュリティの強化など、クラウド コンピューティングの利点が強調されています。この意見書で、WP29 は、データ保護対策に関する透明性が確保され、お客様のデータのプライバシーを尊重している、クラウド サービス プロバイダーを選ぶことの重要性を強調しています。

WP29 の意見書は、現在のクラウド ユーザーとこれからクラウドを利用するユーザーにとって重要な指針となります。また、この意見書では、クラウド ユーザーがクラウド プロバイダーを選ぶ際に、データ管理者の立場から考慮する必要があるいくつかの質問が挙げられています。ここでは、プライバシーに関する主な質問と、Office 365 の場合に得られるその回答を示します。

 
 
すべて表示

WP29 の意見書の出典: 第 4.1 項 (「データ保護の原則への準拠」という見出しの下の最初の箇条書き) で、WP29 は、「クラウド プロバイダーは、クラウド クライアントに、サービスのすべての (データ保護) 関連情報について知らせるものとする…特に、それぞれのクラウド サービスの提供に携わるすべての下請業者と、クラウド プロバイダーまたはその下請業者、あるいはその双方がデータの格納または処理を行う可能性があるすべての場所について知らせるものとする」と述べています。さらに、第 3.4.1.1 項 (透明性) では、クラウド プロバイダーとクラウド ユーザーの関係における透明性の重要性を強調しています。

Office 365: Microsoft は、プライバシーとセキュリティの対策に関する情報を、Office 365 セキュリティ センターで公開しています。Office 365 セキュリティ センターでは、データの格納場所、そのデータにアクセス可能な担当者、データにアクセスする状況、データの処理に携わる下請業者に関する情報をご覧いただけます。

WP29 の意見書の出典: 第 3.4.1.2 項 (目的の指定と制限)。WP29 は、「個人データは、指定された明示的かつ正当な目的のために収集する必要があり、かかる目的に適合しない方法で処理されてはならない」ということと、クラウド ユーザーは「個人データがクラウド プロバイダーによって他の目的で (不法に) 処理されないようにする」責任を負うということを明確にしています。

Office 365: Microsoft の法人向けクラウド サービスでは、サービスを提供するためだけにお客様のデータを使いますこれには、サービスの運用に影響する問題の防止、検出、解決を目的としたトラブルシューティングや、ユーザーに対する進化し続ける新しい脅威 (マルウェアやスパムなど) の検出と防止に関連する機能の向上などが含まれます。Office 365 は、お客様のデータに基づいて広告用品を作成することはありません。Microsoft は、分析、データ マイニング、広告、またはサービス向上の目的でお客様のメールやドキュメントをスキャンすることはありません。

Microsoft は、お客様から要請された場合または法律により要請された場合を除き、お客様のデータを下請業者以外の第三者 (法執行機関、その他の政府機関、民間の訴訟当事者を含む) に開示しません。

WP29 の意見書の出典: 第 3.4.1.2 項 (目的の指定と制限) と第 3.3.1 項 (クラウド クライアントとクラウド プロバイダー)。

Office 365: Microsoft の法人向けクラウド サーバーは、一般消費者向けオンライン サービス用のサーバーから物理的、論理的に分離されています。企業の顧客データ、Microsoft の一般消費者向けオンライン サービスのデータ、Microsoft によるスキャン、インデックス作成、またはデータ マイニングの処理によって生成されたデータは、お客様から事前に承認を受けていない限り、一緒にされることはありません。

WP29 の意見書の出典: 第 3.4.1.2 項 (目的の指定と制限) と第 3.3.1 項 (クラウド クライアントとクラウド プロバイダー)。

Office 365: Microsoft が広告を表示する目的でメールやドキュメントをスキャンすることはありません。Microsoft のエンタープライズ サービスでは、お客様のデータを維持し、スキャンし、インデックスを作成していますが、これはお客様がご自身のデータにアクセスして整理するための豊富な機能を提供するためです。たとえば、エンド ユーザーは、Office 365 で自分のドキュメントやその他のコンテンツを簡単に検索できます。

WP29 の意見書の出典: 第 3.4.3 項 (データ保護とデータ セキュリティの技術的対策と組織的対策)。

Office 365: Office 365 の商業サービスは、一般消費者向けオンライン サービスから論理的に分離されています。企業の顧客データと Microsoft の一般消費者向けオンライン サービスのデータは、お客様から事前に承認を受けていない限り、一緒にされることはありません。

WP29 は、欧州経済地域からデータを転送するための従来のメカニズムは、クラウドに適用される際に "制約" を受けると結論付けています。WP29 は Safe Harbor ガイドラインを挙げて、米国に拠点を置くプロバイダーにデータを転送するには「データ輸入者は Safe Harbor ガイドラインに準拠するだけでは十分と見なされない可能性がある」とクラウド ユーザーに忠告しています。また、WP29 は、適用される可能性がある国内の法律上の義務にも準拠する必要があるとクラウド ユーザーに念を押しています。

Office 365 は、米国 EU 間の Safe Harbor フレームワークに基づく自己認定に加えて、包括的なデータ保護契約 (DPA) と EU モデル契約条項を提供しています。EU モデル契約条項が EU に拠点を置くお客様専用に策定されたものである一方、DPA はさまざまな国のプライバシーに関するベスト プラクティスを集めたもので、地域または企業規模に関係なくすべてのお客様に提供されます。EU モデル契約条項に準拠するために Office 365 で構築されたプロセスは、EU に拠点を置くお客様だけでなくすべてのお客様にご利用いただけます。