Trace Id is missing
メイン コンテンツへスキップ
Microsoft 365
サインイン

セキュリティ センター: Office 365 Microsoft Dynamics CRM Online のセキュリティ、プライバシー、および法令遵守の情報

法令遵守

マイクロソフトは、顧客が法令要件を遵守できるように透明性の確保に取り組んでいますか。

はい。Office 365 および Microsoft Dynamics CRM Online を使用する世界各国のお客様は、多くの異なる法律や規制の対象となっています。ある国または業界の法的要件が、他の国または業界で適用される法的要件と矛盾することもあります。マイクロソフトはグローバル クラウド サービスのプロバイダーとして、多様なお客様や司法管轄区に対して共通の運用慣行と機能を使用してサービスを運営していく必要があります。お客様が法令要件を遵守できるように、マイクロソフトでは共通のプライバシーとセキュリティの要件を考慮してサービスを構築し、さまざまな規制やプライバシーの要件に対応できるようにする組み込み機能を提供しています。

ただし、マイクロソフトのサービスをお客様の法的要件に照らして評価するのは、結局のところお客様の責任です。マイクロソフトのサービスがお客様の法的要件を満たすかどうかをお客様自身でご判断ください。マイクロソフトは、マイクロソフトのクラウド サービスについて詳細な情報をお客様に提供し、お客様が自身の法的評価を実行できるように支援します。

法令遵守に役立つ認証の情報については、「 セキュリティ、監査、認証 」のセクションを参照してください。

Office 365 と Microsoft Dynamics CRM Online は当社の法的義務を遵守しているでしょうか。

お客様の法的義務を遵守するのは、お客様の責任となります。マイクロソフトは、そのための情報を提供いたします。

マイクロソフトは、IT サービス プロバイダーに一般的に適用されるデータ保護およびプライバシーの法律を遵守するよう取り組んでいます。お客様が業界または司法管轄区の要件の対象となる場合、遵守可能であることをお客様自らが評価する必要があります。ただし、多くの業界や地域のお客様から、特定の状況に適した方法でサービスを利用する限りは、適用される法令を遵守する形で Office 365 および Microsoft Dynamics CRM Online を利用可能であると評価していただいています。

たとえば、EU データ保護指令が適用される組織は、自身のポリシー、セキュリティ、およびトレーニングのプログラムを構築して、指令に違反しない方法で Office 365 または Microsoft Dynamics CRM Online のサービスを従業員に使用させる必要があります。Office 365 および Microsoft Dynamics CRM Online において、マイクロソフトは契約上の約束に従うことでその責任を遂行し、お客様が法令を遵守できるように支援します。

一例として、欧州連合 (EU) のお客様が連絡先情報を含む顧客リストを保管するとします。Office 365 および Microsoft Dynamics CRM Online では、マイクロソフト担当者がこの情報に不適切にアクセスしたり情報を開示することのないように、セキュリティ手順を実施しています。しかし、お客様の従業員である Microsoft Exchange Online ユーザーが、適切な同意なしにサービスを使用して、このような顧客リストをマーケティング企業に送信することがあるかもしれません。この結果、Office 365 および Microsoft Dynamics CRM Online から EU データ保護指令要件違反が発生しますが、これはお客様の指示、つまり通常のサービス提供の一環でメールを送信したことが原因なので、お客様の責任となります。

欧州のユーザーが Office 365 および Microsoft Dynamics CRM Online を使用するのは合法ですか。

EU データ保護指令とマイクロソフトの契約上の義務に従い、Office 365 および Microsoft Dynamics CRM Online はお客様データの管理者として、本質的に下請業者の役割をします (法的に「データ処理業者」と呼ばれます)。

お客様はデータの所有権を持ち、法的な責任として、マイクロソフトが規則に従っており、個人データをマイクロソフトに送ることがお客様にとって合法であることを自身で確認することが求められます (法的にお客様は「データ管理者」と呼ばれます)。お客様がマイクロソフトのサービスを使用して個人データを処理および保管する場合、お客様固有の状況における自身の業務について判断する必要があります。

EU データ保護指令の要件は、マイクロソフトのサービスの通常の使用に関して、設計および運用で考慮されています。マイクロソフトは、サービスの進化に関連する変更により問題が発生しないように、この領域を引き続き監視します。

マイクロソフトは、米国商務省と EU との間で同意された米国-EU Safe Harbor プログラム、およびほぼ同じ内容でスイスとの間で同意された米国-スイス Safe Harbor プログラムのもと、自己認証を行っています。このため、EU データ保護指令の要件に従う義務があり、Office 365 と Microsoft Dynamics CRM Online サービスの提供のため、合法的にデータを EU 外に送信することができます。マイクロソフトの Safe Harbor 証明書は、 http://safeharbor.export.gov/ でご覧いただけます。お客様によっては Safe Harbor の自己証明よりも強固な保証を必要とされる場合があるため、マイクロソフトではすべてのお客様と EU モデル条項 (「標準契約条項」) の契約を締結したいと考えています。EU 外へのデータの移動については、セキュリティ センターの「データ マップ」のセクションをご覧ください。

一部の国については、法律に従って、重要な個人データのストレージに対するセキュリティ要件も遵守いたします。お客様の国での規則または格納するデータの種類について関心がある場合や、Office 365 または Microsoft Dynamics CRM Online の慣行およびサポートされる機能の詳細を確認したい場合に、お求めの情報をサービス文書で見つけられないときはサポートにお問い合わせください。お客様の要件に対して Office 365 または Microsoft Dynamics CRM Online の実装が許容されるかどうかをお客様自身が判断できるように、マイクロソフトのセキュリティを損ねることのない範囲で役立つ情報をお知らせいたします。

お客様においては、法令遵守に関する一般的な質問をお読みの上、Office 365 および Microsoft Dynamics CRM Online がお客様組織におけるプライバシーの法律の遵守をサポートしていても、これが法の遵守を意味するものではないことをご理解ください。このほかにも、会社に適切なポリシーを整備たり、プライバシー保護のための従業員トレーニングを実施したりなど、導入すべき措置があります。また、国によっては、データ保護機関への情報登録など、現地の法に従った措置が必要になることもあります。

Office 365 や Microsoft Dynamics CRM Online で扱われる顧客データは EU 当局に登録されますか。

いいえ。Office 365 と Microsoft Dynamics CRM Online はデータ処理の役割上、お客様に代わって処理したデータを EU 当局に登録することはありません。

Office 365 と Microsoft Dynamics CRM Online は、HIPAA (医療保険の相互運用性と説明責任に関する法律) の要件を遵守していますか。マイクロソフトは HIPAA Business Associate Agreement (BAA) に署名する予定はありますか。

マイクロソフトは、お客様による HIPAA の遵守を支援し、すべてのお客様との HIPAA BAA の契約を行いたいと考えています。詳細については、 HIPAA/HITECH に関する FAQ を参照してください。

Office 365 または Microsoft Dynamics CRM Online は Gramm Leach Bliley Act (GLBA) を遵守していますか。

Office 365 および Microsoft Dynamics CRM Online は、お客様がセキュリティを維持し、不正な使用を防止するのに役立つ技術的および組織的なセーフガードを提供することにより、お客様が GLBA のセキュリティ要件を遵守できるよう支援します。

マイクロソフトは、お客様の要求に応じて、独立した監査機関による第三者証明書の要約レポートを提供いたします。

Office 365 または Microsoft Dynamics CRM Online は PCI DSS (クレジット産業向けのデータセキュリティ基準) を遵守していますか。クレジット カード データをマイクロソフトのサービスにホストできますか。

Office 365 と Microsoft Dynamics CRM Online は、クレジット カード番号など、PCI で規制されるデータの処理、転送、および保管をサポートしていません。

クレジット カードの処理およびデータ ストレージは Office 365 と Microsoft Dynamics CRM Online で提供されている機能ではないため、PCI 標準は Office 365 または Microsoft Dynamics CRM Online に適用されません。Office 365 と Microsoft Dynamics CRM Online には、ISO 27001 など業界のベスト プラクティスで定められ適用されるセキュリティ ポリシーと管理が適用されます。

ただし、Office 365 と Microsoft Dynamics CRM Online の注文、請求、および支払いのシステムにおけるクレジット カード データの処理はレベル 1 PCI に準拠しているので、お客様はこれらのサービスのお支払いにクレジット カードを安心してご利用いただけます。

Office 365 は FERPA を遵守していますか。

教育機関には FERPA に基づき多くのさまざまな義務がありますが、マイクロソフトでは Office 365 に保存される教育記録の使用と開示に関して主な契約条項を設けることで、教育機関がより幅広い FERPA 遵守の方策として Office 365 を利用できるようにしています。

FERPA では、米国教育省から資金を受けるいずれの教育機関も、同意なしに「教育の記録」を使用または開示することのないように保護することで学生のプライバシーの権利を保護することが求められます。教育省の指針では、メールの通信が FERPA の対象の教育記録とみなされ、クラウド メール プロバイダーは、メールや文書の情報の使用と開示が同様に制約されます。

FERPA により、クラウド プロバイダーは教職員および学生のメール、その他電子形式の文書に含まれる「教育の記録」の使用をクラウド サービスの用途に限定され、これらの情報が広告などの商業活動の支援や維持のために読み取りまたは使用されることのないように同意する必要があります。マイクロソフトは、教育機関のデータに「正当な教育上の利害」があることから「学校職員」が FERPA の対象となることに同意し、教育機関のメールや文書を広告目的で読み取れないようにするなど、FERPA により学校職員に課せられる制約や条件に従うよう同意することで、FERPA に準拠するための手段を提供します。