次の方法で共有

コンプライアンスに関する FAQ

  • [アーティクル]

この記事では、Microsoft Dynamics 365 Fraud Protection のコンプライアンスに関してよく寄せられる質問 (FAQ) に対する回答を示します。

不正防止に取り組むスタッフや下請け業者は、データ保護と情報セキュリティに関する定期的なトレーニングを受けていますか?

はい。

不正アクセス防止ではどのような情報セキュリティ認定が保持されますか?

現在、不正防止は、次の情報セキュリティ認定を保持しています: 23 NYCRR 500、 AFM および DNB (オランダ)、AMF および ACPR (フランス)、APRA (オーストラリア)、アルゼンチン PDPA、CDSA、CFTC 1.31、CSA STAR 構成証明、CSA STAR 認定、CSA STAR 自己評価、カナダプライバシー法、DPP (英国)、EU EN 301 549、EU ENISA IAF、EU モデル条項、EU-US プライバシー シールド、欧州銀行機関、 FCA および PRA (UK)、FERPA (US)、FFIEC (US)、FINMA (スイス)、FSA (デンマーク)、GLBA (US)、GSMA SAS-SM、Germany C5、GxP (FDA 21 CFR Part 11)、HIPAA および HITECH Act (US)、HITRUST、ISO 20000-1:2011、 ISO 22301:2012、ISO 27001:2013、ISO 27017:2015、ISO 27018:2014、ISO 27701:2019、ISO 9001:2015、日本マイナンバー法、KNF (ポーランド)、MAS、ABS (シンガポール)、MPAA (米国)、 NBB および FSMA (ベルギー)、NEN 7510:2011 (オランダ)、NHS IG ツールキット (英国)、オランダ BIR 2012、 OSFI (カナダ)、OSPAR、PCI 3DS、PCI DSS レベル 1、RBI および IRDAI (インド)、Standard Edition C 17a-4 (米国)、Standard Edition C 規制 SCI、SOC 1 Type 2、SOC 2 Type 2、SOC 3、SOX (米国)、スペイン DPA、TISAX、TruSight、WCAG 2.0。

最新の監査レポートにアクセスするには、Service Trust Portal を参照してください

不正防止は、そのデータ処理アクティビティを外注しますか?

いいえ。

顧客の機密データを破棄するための不正アクセス防止の手順は何ですか?

Microsoft では、業界標準のプロセスを使用して、顧客データとプロフェッショナル サービス データを削除します。 ハード ディスクとオフサイト バックアップ テープの破棄に関するガイドラインは、適切な廃棄を確保するために確立されています。

不正アクセス防止でデータの機密性はどのように確保されますか?

不正アクセス防止では、すべてのアクセスを Microsoft Entra で認証し、ロールベースのアクセス制御を実装して、他のお客様による不正アクセスを防止する必要があります。 また、不正アクセス防止は、Microsoft の担当者によるデータへのすべてのアクセスを承認および監査し、サービスの安定性を確保し、問題を解決するために必要な場合にのみアクセスを許可するために、多くの内部セキュリティ手順に従います。

Microsoft ライセンス リソースとドキュメント サイトの [ライセンス ドキュメント] ページの Microsoft データ保護補遺に記載されているように、次の手順を実行します。

Microsoft は、顧客データ、プロフェッショナル サービス データ、および個人データの処理に従事する担当者が、お客様からの指示またはデータ保護補遺に記載されているとおりにのみそのようなデータを処理することを保証し、契約終了後もそのようなデータの機密性とセキュリティをメインに保持する義務を負います。 Microsoft は、適用されるデータ保護要件と業界標準に従って、顧客データ、プロフェッショナル サービス データ、個人データへのアクセス権を持つ従業員に、定期的かつ必須のデータ プライバシーとセキュリティ トレーニングと認識を提供します。

Microsoft は、さまざまな法的および規制上の義務の対象となります。 セキュリティ、プライバシー、コンプライアンスの詳細については、Microsoft セキュリティ センターを参照してください

収集してメインするユーザー データの精度を確保するために、Fraud Protection はどのような手順を実行しますか?

データの精度を確保するのは、販売者の責任です。

不正アクセス防止は、ユーザーが自分に関して収集したデータへのアクセス権をユーザーに付与して、不正確な情報を修正できるようにしますか?

いいえ。 データを更新またはアクセスするユーザーは、販売者を通じて更新する必要があります。

Fraud Protection には、お客様がデータ主体アクセス要求 (DSR) を管理するのに役立つツールが用意されています。 詳細については、「データを保護するためのセキュリティ対策」を参照してください

不正防止は、業界のベスト プラクティスとガイダンスに従って、定期的に内部監査を実施していますか? 監査結果は顧客が利用できますか?

不正アクセス防止は、Microsoft 全体にわたる内部および外部監査に従います。 内部監査結果は顧客に提供されません。 ただし、すべての外部監査結果は Service Trust Portal発行されます。 詳細については、「運用セキュリティ アシュアランス (OSA)」を参照してください

Fraud Protection では、業界で受け入れ可能な構造化された形式で監査アサーションが生成されますか?

はい。 サービスとしてのソフトウェア (SaaS) アプリケーションとして、Fraud Protection は Azure 上で実行され、ISO 27001、27018、SOC2、SOC3、PCI コンプライアンスが含まれます。 さらに、Azure では、Fraud Protection が依存するすべてのサービスに対する幅広い業界コンプライアンスがカバーされています。

不正アクセス防止ネットワーク内のデータの保持期間は何ですか?

不正防止ネットワーク内で処理されたデータは仮名化され、24 か月間保持されます。 承認された Microsoft 担当者は、Microsoft ポリシーに従って、オンライン サービスまたはプロフェッショナル サービスを提供する目的で、お客様のデータにアクセスできます。 Microsoft によるデータの処理方法の詳細については、Microsoft 製品およびサービスデータ保護補遺 (DPA) を参照 してください。

不正アクセス保護内のどのユーザーが顧客データにアクセスできますか?

Microsoft が承認した下請け業者を含む Microsoft の従業員は、オンライン サービスまたはプロフェッショナル サービスを提供する目的で、お客様の許可を得て顧客データにアクセスする場合があることに注意してください。 トランザクションに関連するデータは、詐欺ネットワークに送信される前に識別され、集計されます。 Microsoft の従業員は、オンライン サービスを改善するために、不正行為ネットワーク内のトランザクションに関連する集計データにアクセスできます。

不正アクセス防止では、デバイスのフィンガープリントで Cookie が使用されますか?

はい。 不正アクセス防止では、特定の個人ではなく、Cookie を使用してデバイスの情報を収集します。 Cookie の使用をオプトアウトすることができますが、デバイスのフィンガープリントが低下します。

その他のリソース

不正防止のための EU データ境界の例外

サービスに関する FAQ

法的な考慮事項に関する FAQ

プライバシーとセキュリティに関する FAQ

データ所在地に関する FAQ