プライバシーとセキュリティの条件
一般条項
プライバシーとセキュリティの条件は、以前はオンライン サービス条件の別紙 1 に規定されていました。
データ保護追加契約、すなわち DPA (用語集に定義) は、製品による顧客データ、プロフェッショナル サービス データ、および個人データの処理とセキュリティ対策に伴う両当事者の義務を定めたものです。 データ保護追加契約は、こちら (https://aka.ms/DPA) からダウンロードすることができます。 DPA とお客様のライセンス契約 (本条項を含みます) の他の条項の間で矛盾が生じた場合は、DPA が優先して適用されます。
コア オンライン サービス
「コア オンライン サービス」は、プレビュー版を除く、下表のサービスに対して使用する用語です。
| オンライン サービス | |
|---|---|
| Microsoft Dynamics 365 コア サービス | それぞれスタンドアロン サービスとして、または Dynamics 365 ブランドのプランもしくはアプリケーションの一部として提供される以下のサービス: Dynamics 365 Customer Service、Dynamics 365 Customer Insights、Dynamics 365 Field Service、Dynamics 365 Business Central、Dynamics 365 Supply Chain Management、Dynamics 365 Intelligent Order Management、Dynamics 365 Finance、Dynamics 365 Commerce、Dynamics 365 Human Resources、Dynamics 365 Project Operations、および Dynamics 365 Sales。 Dynamics 365 コア サービスには、(1) サポート対象デバイスまたはソフトウェア向けの Dynamics 365 サービス (アプリ、タブレット、電話、またはこれらいずれかの Dynamics 365 を含みますが、これに限定されません)、(2) LinkedIn Sales Navigator、または (3) Dynamics 365 コア サービスと共にまたはこれに関連して提供される他の別のブランドのサービス (対応するサービスのライセンス条項に明記する場合を除く) は含まれません。 |
| Office 365 サービス | それぞれスタンドアロン サービスとして、または Office 365 もしくは Microsoft 365 ブランドのプランもしくはスイートの一部として提供される以下のサービス: Cortana、Customer Lockbox、Exchange Online Archiving、Exchange Online Protection、Exchange Online、Microsoft Bookings、Microsoft Forms、Microsoft Planner、Microsoft Stream (クラシック)、Microsoft Teams、Microsoft To-Do、Microsoft Defender for Office 365、Web 用 Office、OneDrive for Business、Project、SharePoint、Sway、Viva Insights、Whiteboard、Yammer Enterprise、および Microsoft Copilot for Microsoft 365。 Office 365 サービスには、Microsoft 365 Apps for enterprise、マイクロソフトの管理下以外で運用される PSTN サービスの部分、クライアント ソフトウェア、または Office 365 または Microsoft 365 ブランドのプランもしくはスイートと共に提供される別のブランドのサービス (Bing またはブランド名に「for Office 365」を含むサービスなど) は含まれません。 |
| Microsoft 365 Compliance サービス | それぞれスタンドアロン サービスとして、または Microsoft 365 ブランドのプランもしくはスイートの一部として提供される以下のサービス: Microsoft Purview Customer Lockbox、Microsoft Purview Data Loss Prevention、Microsoft Purview Customer Key、Microsoft Purview Data Lifecycle Management、Microsoft Purview Information Barriers、Microsoft Purview Privileged Access Management、Microsoft Purview Compliance Manager、Microsoft Purview Information Protection、Microsoft Information Governance、Microsoft Purview-Insider Risk Management、Microsoft Purview Communication Compliance、Microsoft Purview Records Management、Microsoft Purview eDiscovery、Microsoft Purview Audit、Microsoft Priva Privacy Risk Management、および Microsoft Priva Subject Rights Request。 |
| Microsoft Azure コア サービス | Azure AI、Azure Active Directory B2C、Anomaly Detector、API Management、App Service (API Apps、Logic Apps、Mobile Apps、WebJobs、Functions)、Lab Services、Application Gateway、Azure Monitor、Automation、Azure API for FHIR、Azure App Configuration、Azure AI Bot Service、Azure Cache for Redis、Azure AI Search、Azure Communication Services、Azure Container Apps、Azure Container Instances、Azure Container Registry (ACR)、Azure Cosmos DB、Azure Data Explorer、Azure Database for MySQL、Azure Database for PostgreSQL、Azure Databricks、Azure DevOps、Azure DNS、Microsoft Entra ID、Azure Event Grid、Microsoft Fabric、Azure Firewall、Azure AI Document Intelligence、Azure Health Data Services、Azure AI Immersive Reader、Azure Kubernetes Service、Azure Managed Grafana、Azure Machine Learning、Azure AI Metrics Advisor、Azure NetApp Files、Azure OpenAI Service、Azure Red Hat OpenShift、Azure VMware Solution、Microsoft Purview Data Map、Microsoft Purview Data Catalog、Microsoft Purview Data Estate Insights、Microsoft Purview Data Policies、Microsoft Purview Data Sharing、Azure Resource Manager、Azure Spring Apps、Azure Time Series Insights、Azure AI Video Indexers、Azure Web PubSub、Backup、Batch、Cloud Services、Computer Vision、Content Moderator、Azure AI Custom Vision、Data Factory、Data Lake Analytics、Data Lake Store、Event Hubs、Express Route、Face、HDInsight、Import/Export、IoT Hub、Key Vault、Language Understanding、Load Balancer、Azure Machine Learning Studio (クラシック)、Media Services、Microsoft Azure Portal、Notification Hubs、Azure AI Personalizer、Power BI Embedded、QnA Maker、Microsoft Defender for Cloud、Service Bus、Service Connector、Service Fabric、Azure SignalR Service、Site Recovery、Speech Services、SQL Database、SQL Managed Instance、SQL Server Stretch Database、Storage、StorSimple、Stream Analytics、Synapse Analytics、Text Analytics、Traffic Manager、Azure AI Translator、Virtual Machines、Virtual Machine Scale Sets、Virtual Network、および VPN Gateway。 |
| Microsoft Defender for Cloud Apps | Microsoft Defender for Cloud Apps のクラウド サービスの部分 (旧 Microsoft Cloud App Security)。 |
| Microsoft Intune オンライン サービス | Microsoft Intune のクラウド サービスの部分。 |
| Microsoft Power Platform コア サービス | それぞれスタンドアロン サービスとして、または Office 365 もしくは Microsoft Dynamics 365 ブランドのプランもしくはスイートの一部として提供される以下のサービス: Microsoft Power BI、Microsoft Power Apps、Microsoft Power Automate、Microsoft Power Pages、および Microsoft Copilot Studio。 Microsoft Power Platform コア サービスには、クライアント ソフトウェア (Power BI Report Server、Power BI、PowerApps または Microsoft Power Automate モバイル アプリケーション、Power BI Desktop、Power Apps Studio が含まれますが、これらに限定されません) は含まれません。 |
| Microsoft Defender for Endpoint サービス | Microsoft Defender for Endpoint のクラウド サービスの部分。 |
| Microsoft Defender for Identity | Microsoft Defender for Identity のクラウド サービスの部分。 |
| Microsoft Defender XDR | Microsoft Defender XDR のクラウド サービスの部分。 |
| Windows 365 | Windows 365 のクラウド サービスの部分 (Windows 365 クラウド PC で実行される Windows オペレーティング システムを除きます)。 |
コア オンライン サービスのセキュリティ規定およびポリシー
DPA のオンライン サービスのセキュリティ規定およびポリシーに加えて、各コア オンライン サービスも、下表に記載する制御標準およびフレームワークを満たし、顧客データを保護するために、DPA の付録 A に規定するセキュリティ対策を導入して維持します。
| オンライン サービス | SSAE 18 SOC 1 Type II | SSAE 18 SOC 2 Type II |
|---|---|---|
| Office 365 サービス | あり | あり |
| Microsoft 365 Compliance サービス | あり | あり |
| Microsoft Dynamics 365 コア サービス | あり | あり |
| Microsoft Azure コア サービス | 変則的* | 変則的* |
| Microsoft Defender for Cloud Apps | あり | あり |
| Microsoft Intune オンライン サービス | あり | あり |
| Microsoft Power Platform コア サービス | あり | あり |
| Microsoft Defender for Endpoint サービス | あり | あり |
| Microsoft Defender for Identity | あり | あり |
| Microsoft Defender XDR | あり | あり |
| Windows 365 | あり | あり |
*現行の範囲については監査レポートに規定されており、また、Microsoft トラスト センターにもまとめています。
コア オンライン サービスの顧客データの保存場所
コア オンライン サービスに関し、マイクロソフトは、オンライン サービス固有の条件に別途規定する場合を除き、顧客データを一定の地域 (以下それぞれを「地域」といいます) 内に以下のとおり保存します。
- Office 365 サービス。 お客様が、オーストラリア、ブラジル、カナダ、EU、フランス、ドイツ、インド、日本、ノルウェー、カタール、南アフリカ、韓国、スウェーデン、スイス、英国、アラブ首長国連邦、または米国でテナントをプロビジョニングする場合、マイクロソフトは以下の顧客データを当該地域内にのみ保存します。 (1) Exchange Online のメールボックスの内容 (電子メール本文、予定表エントリ、および電子メールの添付ファイルの内容)、(2) SharePoint Online のサイト コンテンツおよびそのサイト内に保存されたファイル、(3) OneDrive for Business にアップロードされたファイル、(4) Microsoft Teams のチャット メッセージ (チャットに使用されているプライベート メッセージ、チャネル メッセージ、ミーティング メッセージ、画像を含む)、および Microsoft Stream (クラシック) (SharePoint 上で) を使用しているお客様の場合は、会議の録音、ならびに (5) 過去のコミットメントに含まれない場合に限り、Microsoft Copilot for Microsoft 365 とのやり取りの保存内容。 お客様は Advanced Data Residency サブスクリプションを購入した場合、マイクロソフトは本項および https://aka.ms/adroverview に掲載されている製品ドキュメントの「Advanced Data Residency コミットメント」の項に従って、該当する地域内に特定の顧客データを保存します。
- Microsoft Intune オンライン サービス。 お客様が、使用可能な地域内にデプロイする Microsoft Intune テナント アカウントをプロビジョニングする場合、Microsoft Intune トラスト センターに記載されている場合を除き、マイクロソフトは、Microsoft Intune サービスについて、その指定の地域内に顧客データを保存します。
- Microsoft Power Platform コア サービス。 お客様が、使用可能な地域内にデプロイする Power Platform コア サービスをプロビジョニングする場合、Microsoft Power Platform トラスト センターに規定されている場合を除き、マイクロソフトは、Power Platform コア サービスについて、その指定地域内に顧客データを保管します。
- Microsoft Azure コア サービス。 お客様が地域内でデプロイされるように特定のサービスを構成する場合、当該サービスについては、マイクロソフトは顧客データを指定された地域内に保存します。 一部のサービスでは、お客様は特定の地域内または米国以外でデプロイを構成できない場合があります。また、他の場所にバックアップを保存することはできます。 詳細については、Microsoft トラスト センターを参照してください (これについてはマイクロソフトは随時更新を行う場合がありますが、一般的なリリースでは既存のサービスについて例外を追加することはありません)。
- Microsoft Defender for Cloud Apps. お客様が EU または米国でテナントをプロビジョニングする場合、Microsoft Defender for Cloud Apps トラスト センターに規定される場合を除き、マイクロソフトは顧客データを当該地域内にのみ保存します。
- Microsoft Dynamics 365 コア サービス。 お客様が、使用可能な地域内にデプロイする Dynamics 365 コア サービスをプロビジョニングする場合、Microsoft Dynamics 365 トラスト センターに規定されている場合を除き、マイクロソフトは、Dynamics 365 コア サービスについて、その指定の地域内に顧客データを保管します。
- Microsoft Defender for Endpoint サービス。 お客様が、使用可能な地域内にデプロイする Microsoft Defender for Endpoint テナントをプロビジョニングする場合、Microsoft Defender for Endpoint トラスト センターに記載されている場合を除き、マイクロソフトは、Microsoft Defender for Endpoint サービスに関して、その指定の地域内に顧客データを保存します。
- Microsoft Defender for Identity お客様が、使用可能な地域内にデプロイする Microsoft Defender for Identity テナントをプロビジョニングする場合、Microsoft Defender for Identity トラスト センターに記載されている場合を除き、マイクロソフトは、Microsoft Defender for Identity サービスに関して、その指定の地域内に顧客データを保存します。
- Microsoft Defender XDR。 お客様が、使用可能な地域内にデプロイする Microsoft Defender XDR テナントをプロビジョニングする場合、Microsoft Defender XDR トラスト センターに記載されている場合を除き、マイクロソフトは、Microsoft Defender XDR サービスに関して、その指定の地域内に顧客データを保存します。
- Windows 365。 Windows 365 が使用可能な地域内で展開される場合、当該テナントについては、マイクロソフトは顧客データをその指定された地域内に保存します。 お客様が同じテナント内の Windows 365 クラウド PC を使用可能な別の地域内にプロビジョニングする場合、マイクロソフトはクラウド PC ごとにクラウド PC の顧客データをその指定された地域内に保存します。
EU データ境界サービス
「EU データ境界」とは、欧州連合 (EU) と欧州自由貿易連合 (EFTA) のみに配置された Microsoft コンピューター、コンピューティング環境、および物理的なデータ センターを意味します。 「EU データ境界サービス」は、プレビュー版を除く、下記の表のオンライン サービスに対してのみ使用する用語です。
| EU データ境界サービス | |
|---|---|
| Azure | EU データ境界内のリージョン内でのデプロイを可能にする Azure サービスおよび以下の非リージョン サービスが含まれます。 Azure Active Directory B2C、Azure Advisor、Azure Bot Service、Cloud Shell、Azure Communication Services、Azure Data Box、Azure DNS、Microsoft Entra ID、Microsoft Fabric、Azure Kubernetes Service on Azure Stack HCI、Azure Lighthouse、Azure Migrate、Azure Monitor、Azure Resource Mover、Azure Service Health、Azure Sphere、Azure Stack Edge、Azure Stack HCI、Azure Stack Hub、Azure Virtual Desktop、Azure VM Image Builder、Power BI Embedded、Traffic Manager、Translator |
| Dynamics 365 | Dynamics 365 Business Central、Dynamics 365 Commerce、Dynamics 365 Customer Insights、Dynamics 365 Customer Service、Dynamics 365 Customer Voice、Dynamics 365 Field Service、Dynamics 365 Finance、Dynamics 365 Guides、Dynamics 365 Intelligent Order Management、Dynamics 365 Project Operations、Dynamics 365 Remote Assist、Dynamics 365 Sales、Dynamics 365 Supply Chain Management |
| Microsoft 365 | Cortana、Customer Lockbox、Exchange Online、Exchange Online Archiving for Exchange Online、Microsoft Bookings、Microsoft Forms、Microsoft MyAnalytics、Microsoft Planner、Microsoft StaffHub、Microsoft Stream (クラシック) (SharePoint 上で)、Microsoft Teams、Microsoft To-Do、Web 用 Office、Microsoft 365 アプリケーションの一部として提供される Online Services、OneDrive for Business、SharePoint Online、Sway、Whiteboard、Yammer Enterprise、Microsoft Copilot for Microsoft 365、Communications Compliance、eDiscovery and Audit、Insider Risk Management、Information Barriers、Microsoft Purview Data Loss Prevention、Microsoft Intune、Priva Privacy Risk Management、Priva Subject Rights Management、Microsoft Viva Answers、Microsoft Viva Connections、Microsoft Viva Engage、Microsoft Viva Glint、Microsoft Viva Goals、Microsoft Viva Insights、Microsoft Viva Learning、Microsoft Viva Pulse、Microsoft Copilot for Sales、および Microsoft Viva Topics |
| Power Platform | Microsoft Power Apps、Microsoft Power Automate、Microsoft Power BI、Microsoft Power Pages、Microsoft Copilot Studio |
EU データ境界サービスの顧客データの場所
EU データ境界サービスに関し、マイクロソフトは、以下の規定に従って、顧客データおよび個人データを EU データ境界内にて保存し、処理します。
お客様は EU データ境界サービスを以下のように構成しなければなりません。
- Azure の場合、お客様は、EU データ境界内にある Azure リージョンにサービスをデプロイしなければなりません。詳細については、Azure でのデータ所在地 (https://azure.microsoft.com/explore/global-infrastructure/data-residency) をご参照ください。指定された Azure リージョンへのデプロイが有効にならないサービスについては、お客様は、「EU データ境界に対する Azure 非リージョン サービスの構成」(https://learn.microsoft.com/privacy/eudb/eu-data-boundary-configure-azure-nonregional-services) の手順に従わなければなりません。
- Dynamics 365 および Power Platform に関し、お客様が EU または EFTA に請求先住所を有するテナントをプロビジョニングする場合で、すべての環境を EU データ境界内の地域にも作成する場合には、当該テナントは EU データ境界の範囲内になります。
- Microsoft 365 に関し、お客様が EU または EFTA でテナントをプロビジョニングする場合、当該テナントは EU データ境界の範囲内になります。ただし、Microsoft 365 のテナントのプレゼンスを複数の地域または国に拡張できる Microsoft 365 の Multi-Geo 機能 アドオンがお客様によって購入されているテナントは、これから除かれます (https://learn.microsoft.com/microsoft-365/enterprise/microsoft-365-multi-geo?view=o365-worldwide)。
EU データ境界サービスの使用により、以下の規定および https://learn.microsoft.com/en-us/privacy/eudb/eu-data-boundary-learn または後継の場所に掲載される EU データ境界に関する透明性ドキュメントの規定に従って、顧客データまたは個人データの EU データ境界外への転送が制限される場合があります。かかる移転は、データ保護追加契約および製品条項に従って実行されます。
- リモート アクセス EU データ境界外にいるマイクロソフト担当者は、EU データ境界サービスを運用、トラブルシューティング、保護するために、必要に応じて EU データ境界内のデータ処理システムにリモート アクセスすることができます。
- 顧客開始の移転 お客様は、EU データ境界外の場所から EU データ境界サービスにアクセスしたり、EU データ境界外にいる受信者に電子メールを送信したり、EU データ境界サービスをEU データ境界外の他のサービスと組み合わせて使用したりなどすることにより、EU データ境界外への移転を開始できます。
- お客様の保護 マイクロソフトは、セキュリティの脅威を検出してお客様を保護するために、必要に応じて EU データ境界外に限られたデータを移転します。
- ディレクトリ データ マイクロソフトは、サービスを提供するために EU データ境界外の Microsoft Entra ID (ユーザー名と電子メール アドレスを含みます) から、限られた Microsoft Entra ディレクトリ データを複製することができます。
- ネットワーク転送 ルーティングの待ち時間を短縮しルーティングの復元力を維持するために、マイクロソフトは、さまざまなネットワーク パスを使用します。これにより、データが EU データ境界外に転送される場合があります。
- サービスおよびプラットフォームの品質と管理 サービスの品質を監視・維持するため、またはサービスの利用やパフォーマンスに関する統計的尺度の正確性を確保するために必要とされる場合、匿名化された個人データが EU データ境界外へ転送される場合があります。
- サービス固有の移転 特定の EU データ境界サービスに適用される移転に関しては、上記の透明性に関するドキュメントを参照してください。