欧州連合モデル条項

欧州連合モデル条項の概要

欧州連合 (EU) のデータ保護法では、EU の顧客の個人データを欧州経済領域) EEA (すべての EU 加盟国、アイスランド、リヒテンシュタイン、およびノルウェーが含まれる) の外部の国へ転送することは規制されています。 実用的なレベルでは、EU データ保護法の遵守は、移転がモデル条項に準拠する契約に基づいている場合、ほとんどのEU加盟国は追加の承認を必要としないため、顧客がEU外で個人データを転送するために個々の当局からの承認を少なくする必要があることを意味します。

Microsoft と欧州連合モデル条項

欧州連合 (EU) の一般データ保護規則 (GDPR) では、顧客の個人データを、すべての EU 加盟国、アイスランド、リヒテンシュタイン、およびノルウェーが含まれる欧州経済領域 (EEA) 以外の国へ転送することは規制されています。 マイクロソフトは、対象となるサービスの個人データの転送に関する特定の保証を提供する EU 標準契約条項 (SCC) (EU モデル条項とも呼ばれる) をお客様に提供しています。 EU モデル条項は、サービス プロバイダー (マイクロソフトなど) とその顧客との間の契約で使用され、EEA を離れる個人データが GDPR に準拠して確実に転送されることを保証します。

2020 年 7 月、欧州連合裁判所 (CJEU) は、EU から米国への個人データの転送について、EU と米国間のプライバシー シールド フレームワークを無効にしました。 ただし、EU モデル条項は、EU および EEA、およびスイスおよび英国から個人データを転送するための有効なメカニズムを引き続き提供しています。 マイクロソフトは、Microsoft オンライン サービス条件 (OST) データ保護補遺 (DPA) に記載されているように、EU モデル条項をお客様が利用できるようにします。

対象となる Microsoft のクラウド プラットフォームとサービス

  • Azure および Azure Government
  • Azure DevOps Services
  • Dynamics 365
  • Intune: Intune アドオン製品のクラウド サービス、Mobile Device Management for Office 365
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint は、次のクラウド サービス部分を対象としています。エンドポイント検出 & 応答、自動調査 & 修復、セキュリティで保護されたスコア。
  • Microsoft Professional Services: Azure、Dynamics 365、Intune と、Microsoft 365 for business の Medium Business および Enterprise のお客様への Premier およびオンプレミス サポート
  • Office 365
  • Power Automate (旧称 Microsoft Flow) スタンドアロン サービス、または Office 365 や Dynamics 365 ブランド プランあるいはスイートに搭載されているサービスとしてのクラウド サービス
  • Power Apps クラウド サービス (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランあるいはスイートに搭載されているサービス)
  • Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)

Office 365 と欧州連合モデル条項

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
商用 Advanced Threat Protection、Microsoft Entra ID、Azure Information Protection、Bookings、コンプライアンス マネージャー、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 Cloud App Security、Office 365 グループ、Office 365セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Viva Engage

監査、レポート、証明書

Microsoft は EU 規格を継続的に調べ、必要に応じてサービスを更新しています。

よく寄せられる質問

モデル条項への準拠が重要なのはなぜですか?

モデル条項への契約責任を表明したサービス プロバイダーは、個人データが EU データ保護法に準拠して転送および処理されることを顧客に確約します。 モデル条項を使用していれば、個人データを EU 外に転送するための承認を顧客が個々のデータ保護機関から取得する必要はほとんどありません。

Microsoft サービスのコンプライアンス情報はどこで確認できますか?

コンプライアンスは契約上の責任です。 マイクロソフトの標準契約条項は、すべてのクラウドのお客様に対して公開されているオンライン サービス条件をご覧ください。その他のサービスについては、マイクロソフトとの既存の契約を確認してください。

「二次処理者」とは何ですか?

「二次処理者」とは、データ管理者の指導や EU Model Clauses およびその下請契約上の条件に従い、個人のデータを処理する当事者のことです。 Microsoft のお客様 (独立系ソフトウェア ベンダー (ISV) は、特に、それ自体がデータ プロセッサである場合があります。 これらのインスタンスでは、Microsoft が二次処理者です。

自分の組織でのコンプライアンス順守の取り組みは、何から始めればいいですか?

オンライン サービス条件などの契約を結ぶか、または既存の契約を改定して標準契約条項を組み込みます。

リソース