Spl002 microsoft azure_の安全性と法的

Microsoft Azure の
安全性と法的視点
～法務を味方につけるには～
日本マイクロソフト株式会社
チーフセキュリティアドバイザー
高橋正和
政策渉外・法務本部弁護士
土井崇
本情報の内容（添付文書、リンク先などを含む）は、Microsoft Tech Summit 開催日（2016年11月1－2日）時点のものであり、予告なく変更される場合があります。

クラウドを検討すると法務との関わりが増えてくる
しかし…
• 契約後・導入段階で法務が入り導入が遅れる
• 前例がないとOKが出ない
• 規定は無条件に守られる、と考えがち
3
なんだか、セキュリティと似ている?

• テクノロジーの進展に伴う新たな課題
• 法務部門の考え方と感心事
• むすび
5

Cloud Mobile Social
Looking at it now, putting
my comments inline 
I uploaded the draft– are
you ready to review?
I see your feedback,
working on it now
Thanks 
0100110001101111011100100110010101101101001
0000001101001011100000111001101110101011011
0100100000011001000110111101101100011011110
1110010001000000111001101101001011101000010
0000011000010110110101100101011101000010110
0001000000110001101101111011011100111001101
1001010110001101110100011001010111010001110
1010111001000100000011000010110010001101001
0111000001101001011100110110001101101001011
0111001100111001000000110010101101100011010
0101110100001011100010000001010000011001010
1101100011011000110010101101110011101000110
0101011100110111000101110101011001010010000
0011001000110100101100011011101000111010101
1011010010110000100000011000010111001001100
0110111010100100000011000010111010000100000
0110110001101111011000100110111101110010011
1010001101001011100110010000001110110011101
0101101100011100000111010101110100011000010
1110100011001010010110000100000011100000111
0101011100100111010101110011001000000110010
Big data
テクノロジーの急速な進展

劇的なビジネスの状況の変化

9
‘ビジネスの要求に
応じたサービスが
提供できない’
‘インフラを最新に
維持する予算が
確保できない’
‘インフラが
複雑すぎて管理が
できない’
多くの組織が直面する課題
‘データを安全に
保つ方法が
分からない’

ビジネスをITで革新する戦略的な機会
技術的な革新を
どうやって
利用するのか…
モバイル
ビッグ
データクラウドソーシャル
顧客の成長
革新的な
モデルの
採用
生産性の
向上
迅速な
洞察の獲得
ビジネス変革を
どうやって、
構成するのか？?
安全に

ビジネス・IT・セキュリティ＋リーガル
技術的な革新を
どうやって
利用するのか…
モバイル
ビッグ
データクラウドソーシャル
顧客の成長
革新的な
モデルの
採用
生産性の
向上
迅速な
洞察の獲得
ビジネス変革を
どうやって、
構成するのか？?
安全に
スピード
拡張性・経済性
+
品質
セキュリティ
| |
IT & セキュリティ
アーキテクチャ
経営とIT
そしてセキュリティ
!

*1 Risk and responsibility in a hyper connected world: Implications for enterprises January 2014
*2 Verizon 2013 Data Breach Investigation Report
*3 Ponemon Institute Releases 2014 Cost of Data Breach
*4 APAC CIO 調査
90%
企業の約7割はセキュリティ
事故を経験 9割は未知の脅威
が侵入済み*2
200日以上
攻撃者が検出されるまでに
被害者のネットワーク内に
潜伏している
中央値の日数は
200 日を超える
4.2億円
企業が被るデータ侵害の
平均コスト *3
79%
新テクノロジ採用の最大の障壁
セキュリティ、プライバシーや
コンプライアンスの懸念*4

設計
ｾｷｭﾘﾃｨに関するｱｰｷﾃｸ
ﾁｬと、設計要件の規
定
弱い暗号の禁止
ｿﾌﾄｳｪｱのｱﾀｯｸｻｰﾌｪｽの
ﾄﾞｷｭﾒﾝﾄ化
脅威のモデル化
設計上のﾘｽｸを軽減す
る
開発ﾂｰﾙと技術
静的なｺｰﾄﾞ分析ﾂｰﾙ
群
問題のある
APIの禁止
DiD ﾌﾟﾛﾃｸｼｮﾝでの
ﾋﾞﾙﾄﾞ (/GS,
HeapTerm,
/NOEXECUTE, and
ASLR)
XSS 対策ﾗｲﾌﾞﾗﾘの
利用
ﾃｽﾄの為のﾂｰﾙと技術
Fuzzing
ｱﾀｯｸｻｰﾌｪｽ分析
ｾｷｭﾘﾃｨｺｰﾄﾞﾚﾋﾞｭｰ
集中的なｾｷｭﾘﾃｨﾃｽﾄ
ﾍﾟﾈﾄﾚｰｼｮﾝﾃｽﾄ
ﾚｽﾎﾟｽの計画の立案
Security Push
出荷基準への準拠
Final Security
Review
ｾｷｭﾘﾃｨﾁｰﾑによる独
立したﾚﾋﾞｭ
SDL適応情報のド
キュメント化
出荷と導入
承認
ｾｷｭﾘﾃｨﾚｽﾎﾟﾝｽ
計画の立案と実施
開発に対するﾌｨｰﾄﾞ
ﾊﾞｯｸﾙｰﾌﾟ
原因の分析
教育とﾄﾚｰﾆﾝｸﾞ
セキュアな開発を
実施できるように
教育する
開始要件
ｾｷｭﾘﾃｨｱﾄﾞﾊﾞｲｻﾞの
配属
開発ﾂｰﾙと環境の用
意
ｾｷｭﾘﾃｨﾏｲﾙｽﾄｰﾝの設
定
要件定義設計実装検査出荷対応・対処

1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
• Concept
• Melissa
• I LOVE YOU• SolarSunrise
• DDoS on DNS root
• MyDoom
•NetSky
•Bagle
Client-server/PC-LAN Internet
Computer Crimes
Protocol Weaknesses/Remote Buffer overflow
• SPAM Mails
• Spyware
• Phishing proliferated
Cyber Crimes
• WiityWorm• Agobot
• Sobig
• Yahoo DDoS
• Linux
• MOSAIC
• Net BSD
•Free BSD
•NetWare
• Targeted Attack
• Huge Data Leak
•Mac OS-X
• JP Gov. HP
• AT&T Janes
•IIJ
• ADSL• テレホーダイ
• Ping of Death
• Yahoo
•eBay
• Google
• Winny • Winny Incident
• Brown orifice
• Attacks for JP Soft
Virus via Media
• INN/phf
• Back Orifice
• statd,named,popd
•DDoS tools
Broad band Network
Virus via E-Mail
Worm communizationWorm in the wild
Document / Local BO
• Netscape
• Virus Creation Laboratory
• Michelangelo
• Netcat
• YouTube
• Skype
• Amazon
• mySpace
• mixi
• Blog
• First SPAM
• Java
• JavaScript
• Real Player• PDF
• Little Black Book
• Windows 3.0 • Windows 95 • Windows 98
•NT3.1 • NT 4.0 •Win 2000
•Win XP SP2 •Win Vista
•Win Server 2003
•Win XP
•Win Server 2008
•Internet Explorer
• Sasser
ADHOC /Product/Marketing
TwC (Trustworthy Computing)
STF
W2K
Pen-
testPREfix
XPPREfast
.NET
MSRC (secure@microsoft.com)
2003
SWI(Secure Windows Initiative)
• Slammer
• Blaster
SDL
Security Development Lifecycle
OF2003
SQL2K3
EXC2K-3
Etc..
Single User OS
Multi User OS
MSRC
• secure@Microsoft
• Windows Update
• メディア対応の一本化
STF: 有益な知見を得るが実施されず
SD3+C
WS2K: 多数のセキュリティ機能を実装、
しかしバグの多さが問題
SWI: 製品部門の教育、設計とコードレ
ビュー、問題の修正
Ship Stopper
XP: 魚を釣る代りに釣り方を教える
Security Day/Bug bash
.NET: First Security Push
W2K3: 8500人の開発を停止
良好な状態での出荷
1年以上の出荷遅れ
毎週水曜にセキュリティ更新
（2002年5月）
毎月第二火曜にセキュリティ更新
（2003年11月）
SDL: Ad hocからエンジニアリングへ
全ての製品がSDL必須に
年に二回、SDLを更新
• CodeRed
• Nimda
SecurityPush
+FinalSecurityReview

クラウドのセキュリティ
セキュリティ
Secure development, operations, and threat
mitigation practices provide a trusted
foundation
プライバシ
Unmatched legal commitments govern data
privacy, access, and use
コンプライアンス
Independent audits demonstrate compliance
with a broad range of regulatory standards
ISO/IEC
27018:2014
ISO/IEC 27001/
27002:2013
SOC 1 SOC 2
FIPS 140-2
FERPA
FedRAMPDefense Information
Systems Agency L2
Criminal Justice
Information
Services (CJIS)
HIPAA /
HITECH
Cloud Security Alliance
(CSA) Cloud Controls
Matrix (CCM)
Australian Signals
Directorate I-RAP
Assessment
FDA Code of Federal
Regulations (CFR)
Title 21 Part 11
FIPS 140-2
Center for Financial
Industry Information
Systems
Singapore
MTCS SS Tier 3
New Zealand Government
Chief Information Officer
(NZ GCIO)
United Kingdom
G-Cloud
PCI DSS L1 version 3
The Content Delivery
and Security
Association (CDSA)
Department of Defense
(DoD) Information
Assurance Certification
and Accreditation
Process
DIACAP

RED vs. BLUE
Defending the Microsoft Cloud
侵入を前提としたセキュリティの取り組み

ContinuousCompromisePerspective
“実際のところ、侵入をしようとすれば必ず侵入できる、
これを受け入れる必要がある
顧客に対して言えることは：
あなたの考えにかかわらず、あなたは戦いの只中にいる。
そして、ほぼ間違いなく侵入されている, ”
Michael Hayden
Principal – The Chertoff Group; Former Director
of NSA & CIA
侵入を前提としたセキュリティ対策が必要

!
Detectにおける本質的な課題
検出できないものをどうやって計測するのか？

RedTeamvs.BlueTeam
20
 非開示で実施されるテスト
 終了時にすべてを開示
vs.
 戦術と知見の共有
 継続的な改善
侵入を前提としたセキュリティ

CloudAttackVectors Scenario #1: インターネットからの直接的な攻撃 (no access)
Scenario #2: 前提を設けた攻撃 – i.e. イントラネット,
クラウド管理基盤, etc. (some access)
Scenario #3: 正規のユーザによる攻撃、DevOps, Azure
Subscription, etc. (expected access)
Azure Infrastructure
Corpnet
Azure
Subscription
Express
Route
Dual-Homed
(Jumpboxes)
Network
ACL Gap
Red vs. Blue
侵入を前提とした
DetectとRespondの計測

25
サイバーセキュリティは経営問題
79%
新テクノロジ採用の最大の障壁
セキュリティ、プライバシーや
コンプライアンスの懸念*4
セキュリティと
法務との連携が不可欠
ビジネスをITで
革新するための課題
• セキュリティ
• プライバシー
• コンプライアンス

解決すべき課題：左側通行が守られない
どこがセンターかわからない

法務的解決：センターラインと処罰
センターラインで違反者が明確になる
違反をした人が悪いので、違反者を
処罰することで、違反を抑制する
法務が着目するのは人であり、人は規則を守る事が前提。
守らなかった時のための罰則で、人の誤った行動を抑止する。

中央分離帯
セキュリティ的解決：中央分離帯
原則、車線をはみ出すことができない
技術的な対策は、人が意識をしなくても規則を守れることを目指す。
守らなかった時の対策には、あまり関心がない。
対向車線との事故を防いだので、セキュリティ設計の目的には沿っている

中央分離帯
過度な対策の弊害
一台停車すると、交通が止まってしまう。
しかし、過度な対策は業務を妨げてしまうことがある。

路肩
中央分離帯
過度な対策の弊害：シャドーIT
停車するスペースがあれば、交通は止まらない。
道路ではないところを使うようになる。
業務を円滑に行うために、抜け道を探すようになる。

コストと気づきを考えた対案
運転手の気付きを利用した事故対策
分離ポール
ランドル-
ストリップ
事故になる前に利用者が気付く仕組みは重要なセキュリティ対策

法務の関心事と
よくある質問
35

法務担当者の基本的な関心事
情報セキュリティ一般に関する遵守要件
• 会社法・金商法と内部統制システム構築義務
• 企業ガバナンス（情報セキュリティ体制、情報管理体制）
• プライバシーの保護・監督義務（個人情報保護法）
• 国内法(個人情報保護法、マイナンバー)、海外(EU、米国、その他）
• 営業秘密の保護（不正競争防止法）
• 十分な管理をしないと、不正競争防止法などの適用を受けることが
できない
36

クラウドに関連して
法務部が最近良く聞かれる質問
• プライバシーや情報保護に関する海外の法律など
• クラウド事業者の管理体制
• 日本の個人情報保護法
• EUの個人情報保護
• 米国のPatriot Act，Freedom Actによる情報開示
• クラウドサービス事業者の管理体制，トラブル時の対応
• 準拠法と管轄の問題
• SLA，損害賠償
37

主な認証・基準について
CS(クラウドセキュリティ)マーク(ゴールド)
クラウドセキュリティマーク(CSマーク)は、クラウドサービスプロバイダーを対象とした日本初のセキュリティ基準です。
Microsoft は 3 つのサービス分類すべてについて CS ゴールドマークを取得しました。Microsoft Azure が IaaS と PaaS で認定
され、Microsoft Office 365 が SaaS で認定されました。
CSマークは、情報セキュリティコントロールの国際実施基準である ISO/IEC 27017 に基づいています。ISO/IEC 27017は、
ISO/IEC 27002に基づいて、クラウドサービスを対象とし、クラウドコンピューティングにおける情報セキュリティと、クラウ
ドに関連した情報セキュリティコントロールの実施を取り扱っています。CS マークは、日本における情報セキュリティを強化す
るために経済産業省が設立した非営利法人、日本セキュリティ監査協会 (JASA) によって与えられます。
ISO/IEC 27001
ISO/IEC 27001 証明書は、ISO/IEC 27001 基準で定義されている国際的に認められた情報セキュリティコントロールが
Microsoft エンタープライズクラウドサービスに実装されていることを実証するものです。
ISO/IEC 27018
Microsoft は、ISO/IEC 27018 実施基準を順守した初めてのクラウドプロバイダーです。この実施基準は、クラウドプロバイ
ダーによる個人情報の処理に関するプライバシー保護を対象としています。
Microsoft-Customer/Partner Confidential
FISC
Microsoft Azure と Microsoft Office 365 は、日本の銀行取引コンピューターシステムに関する金融情報システムセンターの第 8
版標準セキュリティの要件を満たしていることが、第三者によって評価されています。
※ マイクロソフトは，データセンターに関してお客様による直接の監査は受け入れていませんが，お客様がコンプライアンスについて確認できるよう，
監査レポートを開示しています。Service Trust Portal (英語)

日本の個人情報保護法
お客様の個人情報をマイクロソフトの
クラウドに保存することに問題はあるか？
• 「個人情報の取り扱いの委託」には該当しない
• 個人情報保護に関する覚書は不要
• 個人情報保護に関する国際認証を取得済み
- 40-© 2016 Microsoft Corporation

日本の個人情報保護法関連～本人の同意の要否
Q. マイクロソフトのクラウドサービスに個人情報を預ける際に，
「個人情報覚書」を締結する必要がありますか？
• マイクロソフトがお客様よりお預かりするデータは（どれが個人情報かどうかも判別できない形で）暗号化された上で
データセンターに保存され、マイクロソフトは（お客様からのご要請がない限り）当該データを閲覧しませんので，お
客様がマイクロソフトのクラウドサービスに個人情報を保存することは，個人情報保護法上の「個人情報の取り扱いの
委託」には該当しないと考えています。
• そのため，お客様がマイクロソフトに対し「必要かつ適切な監督」(個人情報保護法22条)を行う必要はなく，そのため
の個人情報覚書を締結する必要もないと考えております。
• またクラウドサービスへの個人情報の保存は第三者提供にも該当しませんので，本人の同意も不要です。
• マイクロソフトのクラウドサービスはお客様から信頼いただくため第三者認証機関による認証の取得や，国際基準への
適合性の確認を行っています。
• マイクロソフトが下請業者は、業務に必要なデータにのみアクセス権限が与えられており、その業務以外の目的でデー
タへアクセスすることは禁止しています。透明性向上の取り組みとして、マイクロソフトでは、顧客データを取り扱う
ことのある下請業者リストを開示しています。
- 41-© 2016 Microsoft Corporation

EUの個人情報保護
EUの個人情報保護指令
• EUにおける個人情報保護の規制
• EUの個人情報を域外に転送することが許される場合
• データ処理契約
• EUモデル条項
• プライバシーシールド
• マイクロソフトは３つ全てに準拠
• EU一般データ保護規則
GDPR ( General Data Protection Regulation)への対応

EUの個人情報保護規制～ GDPR
Q. EU 一般データ保護規則とは何ですか？
• 一般データ保護規則 (GDPR: General Data Protection Regulation)
GDPRとは，1995年に制定され現在も有効なEUデータ保護指令を
刷新，拡充する制度です。
• 2018年5月からの施行が予定されています。データ保護指令と異なりEU各国の個別の法律制定は
不要であり，一斉に適用がされます。
• 企業の所在地にかかわらず，EUにすむ個人のデータを扱っている全ての企業がGDPRの適用対象になり
ます。
• GDPRを適切に履行・遵守しなかった場合の罰金は，
2000万ユーロ(約22.7億円(1Euro=113.74円で計算))以下，
または違反した企業の年間総売上高の4%以下の，いずれか高い方を上限とする制裁金が課されるおそれ
があります。
• GDPRにおいても，EUモデル条項に準拠している場合には個人データのEU域外転送が可能です。
マイクロソフトのクラウドサービスはEUモデル条項に準拠しています。

EUの個人情報保護規制～ EUデータ保護指令
Q. EUにおける個人情報の保護について
どのような規制がありますか？
• マイクロソフトは、 EU域内の個人データを EU 圏外に転送することを認める、以下の規格に準拠しています。
• データ処理契約（Data Processing Agreement）
• EUモデル条項： EUにより承認されたモデル条項を利用する場合は、第三国への個人データの転送が
可能となります。
EUモデル条項についてはオンラインサービス条件に記載があり(「標準契約条項(処理者向け)が
これに当たります)，お客様との契約の一部となります。
• プライバシーシールド： EUとアメリカ当局で合意された，EU個人データのアメリカへの移転に関する
枠組み。この基準を満たす米国企業に対しては，EU個人データの転送が可能になります。
2015年のセーフハーバー無効判決を受け，セーフハーバーに代わるものとしてEUと米国間で
合意されました。
EUデータ保護指令（Data Protection Directive)とは？
EUではデータ保護指令により、EU 圏内の住民の個人情報に関して，
十分なデータ保護レベルを確保していない第三国へのデータの転送を
原則として禁じています。
アメリカや日本は適切な保護（adequate level of protection)が行われている国とは認識されていません。

政府によるデータ開示要請 (１)
• 政府による開示要請に対するマイクロソフトの対応
• 任意開示の場合
• 強制開示の場合

政府に対するデータ開示～
Q. マイクロソフトは、政府等の要請があった場合、
お客様の同意なくお客様が預けたデータを開示するのですか？
• 任意開示要請の場合
• お客様の同意なく、お客様が預けたデータを開示することはしません。また，法律で禁じられていない限り、政
府機関から開示要請があった旨をお客様に通知します。
• 強制開示命令がなされた場合
• 政府機関等から強制開示命令がなされた場合、内容を十分に精査したうえで、法令遵守のため、強制開示命令の
範囲で、お客様が預けたデータを開示します。ただし、強制開示の対象となるデータのみにアクセスします。
• 強制開示命令に従い、お客様のデータを捜査機関等に開示した場合は、法律で禁じられていない限り、お客様に
通知します。
• マイクロソフトでは政府機関等からの開示要請・対応状況について、6 か月毎にwebで公開してい
ます。
Microsoft’s Law Enforcement Requests Report (英語)
http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/

政府によるデータ開示要請 (2)
～Patriot Act(米国愛国者法)・Freedom Act(米国自由法)
• Patriot Act(愛国者法)・Freedom Act(自由法)とは？
• 政府による企業データへのアクセスは
Patriot Act, Freedom Actだけではない
• アメリカ国外のデータセンターに保存
されたデータについて、米国政府と
マイクロソフトで係争中
• データを差し押さえられた場合でも、
バックアップによるサービス継続を担保

アメリカ政府に対する開示に関する懸念～
米国愛国者法・米国自由法
• 米国愛国者法は，テロ行為，マネーロンダリング行為を阻止し，処罰することを目的として，アメ
リカ政府に通信監視活動等を認める法律です。
• 2015年，米国愛国者法の一部の失効に伴い，テロ行為に関する愛国者法を置き換えるものとして
米国自由法が成立しました。通信監視活動に関する透明性が高められています。
• 愛国者法や自由法は米国政府にオンラインデータへの自由なアクセスを提供するものではありませ
ん。自由法の目的と対象範囲は非常に狭いものです。
• 米国企業，またはお客様につき米国に支店があったり顧客が存在したりするなど，米国と何らかのコンタクトが
ある場合はマイクロソフトクラウドサービスの利用の有無にかかわらず、米国自由法の適用の対象となりえます。
• また2016年7月，アメリカ国外のマイクロソフトのデータセンターのみに保存されたデータについて，アメリカ
政府の令状によってはそのデータの提出を強制できない，という判決が出されました。(後述)
• 政府による企業データへのアクセス権限は米国特有のものではありません。ほぼ全ての国において、
裁判所の許可があればデータセンターの差押えは可能です。
• 仮にサーバが差し押さえられた場合でも、バックアップデータセンターにてサービス継続可能です。

アメリカ政府に対する開示に関する懸念～
アメリカ国外のデータセンターに対して，
アメリカ政府はデータ提出を強制できないとの判決
• マイクロソフトのアイルランド所在のデータセンターに保存さ
れたお客様の情報について，アメリカ政府がアメリカ政府の令
状に基づいて開示を命じたことについて，マイクロソフトは開
示を拒否し，訴訟を提起して争っていました。
• 2016年7月14日、アメリカ連邦第2巡回区控訴裁判所は，アメ
リカ政府の令状によって、マイクロソフトに対して、アメリカ
国外のみに保存されているデータの提出を強制することはでき
ない、としてマイクロソフトを支持する判決を出しました。
• 本判決の意義
• これにより，法執行機関に対してアメリカの裁判所の令状を取得させるための現在の法制度は、
クラウドプロバイダーがアメリカ国外に保存するデータへのアクセス権を付与するものではな
いことを明確にしました。
• また，ユーザーは、クラウドプロイダーにデータを預けたということだけで、データに対する
プライバシーの権利を失わないことを確立しました。
• Our search warrant case: An important decision for people everywhere (米国マイクロソフト President Brad Smithのブログ記事 (英語))

その他～準拠法・裁判管轄・電子情報開示
準拠法・裁判管轄
• マイクロソフトのクラウドサービスを日本のお客様がご契約される場合
準拠法は日本法，裁判管轄は東京地方裁判所となります。
• 利用契約に関して訴訟で争われる場合でも，アメリカの法律で，アメリカの裁判所で訴訟を
行う必要はありません。
• 準拠法とは？ある法的問題に適用される法律のこと。準拠法が日本法ではない場合には，日本における契
約であっても海外の法律にもとづいて契約書の解釈や裁判所の判断がなされます。
• 裁判管轄とは？ある法的問題を解決するためにはどこで裁判手続きを行うか定めるもの。裁判管轄が海外
の場合には，訴訟を提起するためにもその国・その地域の裁判所に訴え出る必要があります。
電子情報開示
• マイクロソフトのクラウドサービス(Exchange Online, Office 365, Sharepoint Online, Skype
for Business Online)は，電子情報開示に対応済みです。
• 電子情報開示とは？電子情報開示 (eDiscovery) は、法的な要求や調査のために、電子コンテンツ
(しばしば電子保存情報または ESI と呼ばれる) を検索、保存、分析、パッケージ化するために組織
によって使用されるプロセスです。
- 51 -© 2016 Microsoft Corporation

• 法務とのかかわりが重要になった背景を理解する
• 法務が守ろうとしている事を理解する
• 利用するサービスが提示する規準を把握する
• 利用するサービス(Microsoft)が実施する対策を把握する
54

• 企画段階にからの法務部門の関与が重要
55
Security is a business enabler
Legal is a business enabler too!
マイクロソフトの法務部門の知見もご活用ください

プライバシー
• マイクロソフトは、お客様が私たちのクラウドサービスを使うために、お客様の最も大切な資産であるデータを私たちに預けていることを理解して
います。データのプライバシーは保護され、お客様の期待に添った方法でのみ使われますのでご安心ください。
• マイクロソフトは自社のクラウドコンピューティングエコシステム全体に適用する、業界をリードするプライバシーポリシー、コンプライアンス
プログラム、およびセキュリティ対策の基礎を築きました。マイクロソフトの実績のあるプライバシーとデータ保護に対する取り組みは、お客様の
情報の収集、使用、配布の管理権限はお客様にあるというコミットを基礎にしています。マイクロソフトは、プライバシー対策の透明性を確保し、
重要なプライバシーの選択肢を用意し、保存および処理するデータを責任を持って管理するよう努めています。
• お客様のデータはお客様が所有
• 顧客データはお客様が管理
• 政府機関または法執行機関がお客様の
データへのアクセスを要求した場合の対
応
• 厳格なプライバシー基準を設定して順守
します

コンプライアンス
• マイクロソフトは国際標準，認証や適用される
規制要件に従い，コンプライアンスを遵守して
います。
• Microsoft Cloud の適用サービスは、ISO/IEC
27001 と ISO/IEC 27018、FedRAMP、SOC 1
と SOC 2 などの国際的および業界特有の主要
なコンプライアンス基準に適合しています。
• EU モデル条項、UK G-Cloud、Singapore
MTCS、Australia CCSL (IRAP) などの各地域お
よび各国に特有な基準や契約上の責任にも適合
しています。
• 組織が、個人のデータの収集および使用を統制する国、地域、および業界特有の要件に準拠することを支援するために、マイクロソフトはクラウ
ドサービスプロバイダーの認定と認証の広範なセットを提供しています。
• ユーザーが信頼できるコンプライアンスを実現できることを実証するために、Microsoft のエンタープライズクラウドサービスは、認定と認証お
よび第三者監査によって独自に検証されています。
• お客様のビジネスに適用される特定の法律や規制に Microsoft のサービスが準拠しているかどうかを判断するのはお客様の責任です。その評価を
支援するために、Microsoft では監査レポートやコンプライアンスパッケージなどのセキュリティとコンプライアンスプログラムに関する詳細情
報を提供しています。

透明性の確保
• お客様はマイクロソフトが顧客データを保
護する方法を把握できます
• お客様はデータの保管場所と使用方法を把
握します
• お客様は顧客データにアクセスできる者と
アクセスされる状況を把握します
• マイクロソフトは政府機関によるお客様の
データの開示要求への対応について透明性
を維持します
• お客様は Microsoft クラウドサービスの基
準認定を確認できます
• マイクロソフトは、お客様がクラウド内の顧客データを管理するためには、お客様はデータがどのように処理されるかを可能な限り理解する必要があると
考えています。
• お客様は、明確に規定され簡単に利用できるポリシーと手順を通じ、顧客データが格納されている場所、Microsoft が顧客データを保護する方法、さらに
誰がどのような場合に顧客データにアクセスできるかについて把握する必要があります。そして、マイクロフトの言葉だけを信用する必要はありません。
第三者による監査レポートや認証などのさまざまな証拠を確認して、マイクロソフトが基準を満たしていることを検証できます。

マイクロソフトが開示している主な情報
• お客様のデータの保管場所と使用方法
• オンラインサービス条件……お客様のデータの場所と使用を管理するデータ保護ポリシーと実践の概要
http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=31
• Microsoft オンラインサービスのプライバシーに関する声明
http://go.microsoft.com/fwlink/p/?linkid=131004&clcid=0x409
• 政府機関によるお客様のデータの開示要求と対応の状況
• Microsoft Transparency Hub
http://www.microsoft.com/about/corporatecitizenship/en-us/transparencyhub/
• マイクロソフトまたはマイクロソフトのクラウドサービスに関する国際標準等の認証と，監査レポート
• Microsoft Trust Center - コンプライアンス
https://www.microsoft.com/ja-jp/TrustCenter/Compliance/default.aspx
• 監査レポート - Service Trust Portal
https://www.microsoft.com/ja-jp/TrustCenter/STP/default.aspx

Spl002 microsoft azure_の安全性と法的

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (16)

Semelhante a Spl002 microsoft azure_の安全性と法的

Semelhante a Spl002 microsoft azure_の安全性と法的 (20)

Mais de Tech Summit 2016

Mais de Tech Summit 2016 (20)

Último

Último (12)

Spl002 microsoft azure_の安全性と法的