家族教育の権利とプライバシー法 (FERPA)

FERPA の概要

家族教育の権利とプライバシー法 (FERPA) は、個人を特定できるディレクトリ情報を含む学生の教育記録のプライバシーを保護する米国連邦法です。 FERPA は、18 歳以上の親および学生が、同意なしに開示を許可する特定の限られたケースを除き、それらのレコードにアクセスし、変更を要求し、情報の開示を制御するために制定されました。

この法律は、米国教育省から資金を受け取る学校、学区、その他の教育機関、つまり、事実上すべての公的な K-12 学校と学区、およびほとんどの中等教育後の教育機関 (パブリックとプライベートの両方) に適用されます。

セキュリティは FERPA への準拠の中心です。これは、学生の情報を未承認の開示から保護する必要があります。 クラウド コンピューティングを使用する教育機関では、テクノロジ ベンダーが機密性の高い学生データを適切に管理する契約上の安心が必要です。

Microsoft と FERPA

FERPA は監査や他の認定を必要としたり認識したりしないので、FERPA の対象となる教育機関は、クラウド サービスの使用が FERPA 要件を遵守する能力に影響を与えるかどうかを評価する必要があります。 Online Services Terms Data Protection Addendum (DPA) では、Microsoft は FERPA で定義されている顧客データに「正当な教育上の利益」を持つ「学校関係者」として指定することに同意します。 顧客データには、学校による Azure の使用によって提供される学生レコードが含まれます。 学生の教育記録を処理する場合、Microsoft は学校関係者と同様に、34 CFR 99.33(a) が課す制限と要件を満たすることに同意します。 Microsoft は、AZURE のお客様が FERPA コンプライアンス要件を満たすのを支援するガイダンス ドキュメントを公開しました。

対象となる Microsoft のクラウド プラットフォームとサービス

Microsoft が顧客データに「正当な教育上の利益」を持つ「学校関係者」として指定することに同意するサービスには、次のものが含まれます。

  • Azure および Azure Government
  • Azure DevOps Services
  • Dynamics 365
  • Intune
  • Office 365、Office 365、米国Office 365 - 高、および米国Office 365国防

Azure のガイダンス ドキュメント

FERPA コンプライアンス要件を満たすサポートのために、次のドキュメントをダウンロードできます。

Office 365 FERPA

Office 365 のクラウド環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次の Office 365 クラウド環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
商用 Azure Active Directory、Azure Information Protection、Bookings、Compliance Manager、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Defender for Office 365、Microsoft Graph、 Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 Cloud App Security、Office 365 グループ、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Yammer Enterprise
GCC Azure Active Directory、コンプライアンス マネージャー、Delve、Exchange Online、フォーム、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 Advanced Complianceアドオン、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、harePoint Online、Skype for Business、Stream
GCC High Azure Active Directory、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office 365 セキュリティ/コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business
DoD Azure Active Directory、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office 365 セキュリティ/コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、Power BI、SharePoint Online、Skype for Business

Office 365 監査、レポート、証明書

FERPA は、監査や認定を必要としたり認識したりしない。

よく寄せられる質問

FERPA が重要な理由

この米国連邦法では、学生の教育記録のプライバシー保護が義務付けされています。 また、親および対象学生がそれらのレコードにアクセスし、それらを修正する機能、および第三者へのレコードのリリースに関連する特定の権利も与えます。

COPPA と CIPA が Azure に与えるコンプライアンスへの影響

COPPA と CIPA は、子供のプライバシーを保護することを目的とした追加の法律です。ただし、Azure には直接適用できません。 子どものオンラインプライバシー保護法 (COPPA) は、13 歳未満の子供のプライバシーを保護するために制定された米国連邦法です。 これは、連邦取引委員会 (FTC) によって管理されます。 COPPA は、子ども向け Web サイトおよびオンライン サービスに適用され、これらのサイトおよびサービスは、子どもに属する個人情報の収集および使用に対して親の同意を必要としなければならないと規定しています。 子どものインターネット保護法 (CIPA) は、子どもがインターネットを使用して有害なコンテンツにアクセスする懸念に対処するために制定されました。 連邦通信委員会 (FCC) は、CIPA を実装する規則と、CIPA の対象となる学校およびライブラリに対して定義された要件を発行しました。 Azure 導入のコンテキストで COPPA と CIPA に関するお問い合わせは、Online Services Terms DPA の教育機関と題するセクションを確認し、エンド ユーザーによる Microsoft オンライン サービスの使用に関する親の同意を得る責任について説明します。

Microsoft コンプライアンス マネージャーを使用してリスクを評価する

Microsoft コンプライアンス マネージャーは、 Microsoft 365 コンプライアンス センターの機能で、組織のコンプライアンスに対する姿勢を把握し、リスクを軽減するための処置を実行できるようにします。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの 評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース