副処理者のオンボードと監視について理解する
Microsoft がサブプロセッサとのサポート 契約を開始すると、特定のワークフローとプロセスによって、契約作業を開始する前にサブプロセッサが要件を満たすことができます。 新しい副処理者は、副処理者の情報システムが請負業務の一環として処理するデータの種類に適用される要件を満たしていることを確認するために、一連の検証を完了する必要があります。 または、要件を既に満たしている既存のサブプロセッサーに割り当てられた契約作業により、Microsoft は顧客または個人データを処理するサブプロセッサーの数を制限できます。
新しい副処理者を追加する
新しい副処理者を追加するには、副処理者が請負業務を開始する前に、副処理者が Microsoft の基準を満たしていることを確認するための一連の厳密な検証が必要です。 これらの検証手順には次のものが含まれますが、これらに限定されません。
- ビジネス検証チェック: 既に承認されているサプライヤーではなく、このサプライヤーの使用が必要な理由を判断するためのビジネスによるレビュー。 企業による承認が得られたら、以下の追加の検証を実行する必要があります。
- プライバシーとコンプライアンスのチェック: サブプロセッサが適切な期間既に公開されていること、およびすべての契約と認定要件が満たされていることを検証します。
- 腐敗防止チェック: 腐敗行為に関与している可能性のあるサプライヤーについて、グローバルな関係管理システムとニュースに照らしてチェックします。
- 汚職リスク スコア: 汚職防止チェックに基づいて割り当てられるスコアです。 このスコアは、サプライヤーが汚職行為に関与しているリスクのレベルを示します。
- 関与禁止チェック: 委託先として不適切であると見なされたサプライヤーに対する Microsoft 内部のチェック。
- 貿易制裁のスクリーニング: サプライヤーに貿易制裁が適用されるかどうかを判断するための監視サイト、政府記録、およびメディア検索のレビュー。
また、すべてのスコアとチェックが返されて確認が取れた後の最終チェックとして、ビジネス ユニットの承認が要求されています。
副処理者の登録は、Microsoft サプライヤー コンプライアンス ポータル (MSCP) でプロファイルを作成するよう指示する、副処理者の候補へのメールによるリクエストから始まります。 副処理者はポータルを使用して、承認を希望するデータ処理アクティビティを選択します。 これらのデータ処理アクティビティには次のものが含まれます。
- 個人データおよび/または Microsoft 機密データの処理
- サプライヤーのネットワーク上のデータの処理
- データ処理の役割 (コントローラー、処理者、共同処理者など)
- 支払カードの処理
- サービスとしてのソフトウェア (SaaS) のプロビジョニング
- 請負業者の使用
- サブプロセッサの指定
サブプロセッサがプロファイルを完了すると、90 日以内に完了するための完全なセットまたは DPR からの要件のサブセットが与えられます。 サブプロセッサがプロファイルで選択した承認によっては、割り当てられた DPR コントロールへの準拠を確認するだけでなく、独立した保証が必要になる場合があります。
場合によっては、ISO 27701 (プライバシー) や ISO 27001 (セキュリティ) などの受け入れ可能な認定の代替手段によって要件を満たすことができます。
副処理者が該当するすべてのチェックに合格すると、SSPA の状態は最終レビューの対象になります。 レビュー担当者は、関連するすべてのチェックを確認し、承認するデータ処理の種類を決定します。 プロファイルが承認されると、副処理者は、必要なデータ処理承認を受けます。