一般提供されるエンタープライズ ソフトウェア製品の顧客に対するマイクロソフトの GDPR 上の義務

はじめに

欧州連合の一般データ保護規則 (GDPR) は、プライバシー権、情報セキュリティ、およびコンプライアンスについて、重要な基準をグローバルに定めています。 プライバシーは基本的な権利であり、GDPR は個人のプライバシー権を保護し、実現するための重要なステップであるとマイクロソフトは考えています。

マイクロソフトは自ら GDPR の遵守に取り組むと同時に、一連の製品、機能、ドキュメント、および資料を提供することで、当社の顧客が GDPR におけるコンプライアンス義務を履行できるように支援します。 以下に、エンタープライズ ソフトウェアから収集される個人データについて、顧客に対するマイクロソフトの契約上の義務を説明します。 (マイクロソフト企業向けライセンス プログラムを通じてライセンスを取得した一部のソフトウェアについては、 http://aka.ms/dpa) に掲示されているマイクロソフト製品/サービス データ保護追加契約 (DPA) を直接参照してください)

マイクロソフトは、顧客に対して GDPR に関する義務を負っていますか?

はい。 GDPR では、管理者 (マイクロソフトのエンタープライズ オンライン サービスを使用している組織および開発者など) が管理者の代理として個人データを処理する処理者 (マイクロソフトなど) のみを利用すること、および GDPR の重要な要件を満たすための十分な保証を提供することが求められています。 マイクロソフトは、マイクロソフト企業向けライセンス プログラムのすべてのお客様に対し、DPA にこれらの確約事項を記載しています。 その他の一般提供されているエンタープライズ ソフトウェアについてマイクロソフトまたはその関連会社からライセンスを受けた顧客も、当該ソフトウェアが個人データを処理する限り、この通知に記載されるマイクロソフトの GDPR 上の義務から恩恵を享受します。

GDPR に関するマイクロソフトの契約上の義務をどこで確認できますか?

GDPR (GDPR 条件) に関するマイクロソフトの契約上の責務は、DPA の別紙「EU 一般データ保護規則条件」に記載されています。 これらの条項は、GDPR 第 28 条および GDPR のその他の関連条項における処理者の要件をマイクロソフトに義務付けるものです。

エンタープライズ ソフトウェアの該当するバージョンにかかわらず、2018 年 5 月 25 日時点で有効なマイクロソフト ソフトウェア ライセンス条項に基づいて当社またはその関連会社によってライセンスされる、一般提供されているエンタープライズ ソフトウェア製品のすべての顧客に GDPR 条件が適用されます。ただし、マイクロソフトが当該ソフトウェアに関連して個人データの処理者または副処理者であり、マイクロソフトが当該バージョンの提供またはサポートを継続している範囲に限ります。 サポートの詳細は、https://support.microsoft.com/lifecycle に掲載されているマイクロソフト ライフサイクル ポリシーに記載されています。

明確にするために記すと、ベータ ソフトウェアもしくはプレビュー ソフトウェア、大幅に変更されたソフトウェア、またはマイクロソフトもしくは当社の関連会社によってライセンスされてはいるものの、一般提供されず、もしくはその他の点でマイクロソフト ソフトウェア ライセンス条項に基づいていないソフトウェアには、異なる義務または厳格性の低い義務が適用される場合があります。 一部の製品は、既定でテレメトリーまたはその他のデータを収集し、マイクロソフトに送信することがあります。製品ドキュメントには、このようなテレメトリーの収集を無効化または設定する方法が記載されています。

GDPR 条件にはどのような義務が記載されていますか?

マイクロソフトの GDPR 条件には、GDPR の第 28 条で処理者に要求される義務が反映されています。 第 28 条では、以下について取り組むことが処理者に要求されています。

  • 管理者の同意を得た副処理者のみを利用し、副処理者に対して引き続き責任を負う。
  • 管理者からの指示のみに基づいて個人データを処理する (移転に関する場合を含む)。
  • 個人データを処理する者が、秘密保持に責任を持つことを確保する。
  • リスクに対して適切な個人データのセキュリティ水準を確保するために、適切な技術的および組織的な対策を実装する。
  • GDPR の権利を行使するためのデータ主体からの要求に対して、管理者が義務を果たせるように支援する。
  • GDPR の違反通知要件および支援要件を満たす。
  • データ保護影響評価および監督当局との協議において管理者を支援する。
  • サービス提供の終了時に、個人データを削除または返却する。
  • GDPR の遵守に関する証拠を提供して管理者を支援する。