スペインの Royal Decree (王室令) 1720/2007、スペインの基本法 15/1999 (LOPD)

スペインの Royal Decree (王室令) 1720/2007、スペインの基本法 15/1999 の概要

AEPD は、国境を越えた個人データの転送を含む、個人データの保護に関するスペインの基本法 15/1999 (Ley Orgánica 15/1999 de Protección de Datos (LOPD)) への準拠を監督する公的機関です。 2014 年に AEPD は、EU モデル契約条項の対象となる Microsoft Azure、Dynamics 365、および Office 365 に適用される Microsoft のご契約条件を審査し、これらのサービスに個人データを移行するお客様に対し、これらの条件が適切な保護対策を提供しているとする結論を発表しました。

Royal Decree 1720/2007 の Title VIII は個人データの処理に関する厳格な要件を定めており、実装が義務付けられている基本レベル、中間レベル、高度なレベルのセキュリティ対策が列挙されています。 Microsoft は、Royal Decree 1720/2007 で定められている高度なレベルの要件への Microsoft Azure および Office 365 の準拠の評価、および中間レベルの要件への Microsoft Dynamics 365 の準拠の評価を、スペインの独立した第三者の監査機関である BDO Auditores に依頼しました。 同監査機関は、面談、施設訪問、および環境および物理的セキュリティ対策と管理のレビューに基づき、Microsoft Azure および Office 365 の情報システム、施設、およびデータ処理が高度な基準を満たしており、是正処置はまったく必要ないものと判断しました。

Microsoft とスペインの Royal Decree (王室令) 1720/2007、スペインの基本法 15/1999 の概要

Microsoft は、お客様のために、スペインの基本法 5/1999 (Ley Orgánica 15/1999 de Protección de Datos (LOPD)) に定められている国際データ転送に関する高度な基準に準拠しているとして、スペインの個人データ保護局 (Agencia Española de Protección de Datos (AEPD)) より認可を受けた最初の超大規模クラウド サービス プロバイダーです。 Microsoft は、そのオンライン サービスが Royal Decree 1720/2007 の Title VIII に定められたセキュリティ対策に準拠しているとする第三者監査による認定を受けた最初の超大規模クラウド サービス プロバイダーでもあります。 この認可により、お客様は、欧州連合標準契約条項が適用される Microsoft Azure、Dynamics 365、および Office 365 サービスに個人データを転送できます。

対象となる Microsoft のクラウド プラットフォームとサービス

Office 365 と LOPD

Office 365 のクラウド環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次の Office 365 クラウド環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
商用 Azure Active Directory、Azure Information Protection、Bookings、Compliance Manager、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Defender for Office 365、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 Cloud App Security、Office 365 Groups、Office 365 セキュリティ/コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Yammer Enterprise

監査、レポート、証明書

Microsoft Azure

Microsoft Office 365

Microsoft Dynamics 365

よく寄せられる質問

高度な標準を満たすことは、Microsoft のお客様にどのような利点がありますか?

高レベルの標準は、健康情報などの機密データの処理に適用されます。 Microsoft Azure と Office 365 を使用しているお客様は、Royal Decree (王室令) 1720/2007 に従って機密データが処理されているので安心できます。

Microsoft のコンプライアンスを自分の組織の認定プロセスに利用できますか?

はい。 組織が LOPD または Royal Decree 1720/2007 に沿った認定を必要とする、または求めている場合、コンプライアンス評価で AEPD の認可とセキュリティ対策認定を使用できます。 ただし、ご自身の責任で、査定人が、Microsoft Azure、Dynamics 365 または Office 365 にデプロイしたコンプライアンスの実装と、組織内でのコントロールやプロセスの実装を評価するよう手配する必要があります。

リソース