サプライヤー セキュリティとプライバシー保証 (SSPA) プログラム
重要
この記事に記載されている情報は、サプライヤー セキュリティとプライバシー アシュアランス (SSPA) チームに代わって提供されます。 最新の情報については、 こちらを参照してください。 この記事に記載されている情報と SSPA ページの間に競合がある場合は、この記事の情報が SSPA ページに置き換えられます。
Microsoft は、プライバシーは基本的な権利であると考えています。 Microsoft は、地球上のすべての個人と組織がより多くのことを達成できるように力を与えるというミッションで、顧客の信頼を獲得し、維持するよう努めています。
強力なプライバシーとセキュリティプラクティスは、この使命にとって重要であり、信頼にとって不可欠であり、法律で要求されるいくつかの管轄区域にあります。 Microsoft のプライバシーおよびセキュリティ ポリシーで取り込まれた基準は、会社としての価値を反映し、当社の代わりに個人データと機密データを処理するサプライヤーにまで及びます。
サプライヤー セキュリティとプライバシー 保証 (SSPA) プログラムは、Microsoft のベースライン データ処理手順を Microsoft サプライヤー データ保護要件 (DPR) の形式でサプライヤーに提供します。
注:
サプライヤーは、サプライヤーとの契約を担当する Microsoft グループによって SSPA の外部で決定および伝達される追加の組織レベルの要件を満たす必要がある場合があります。
SSPA プログラムの概要
SSPA は、プライバシーとセキュリティの原則に従ってサプライヤーが続くよう、Microsoft 調達、企業外部および法務、および企業セキュリティのパートナーシップです。 SSPA の範囲は、個人データや Microsoft 機密データを処理するすべてのサプライヤーを対象とします。
SSPAを使用すると、サプライヤーは、商品やサービスのサプライヤーと一致するデータ処理プロファイルの選択を行い、実行を請け負うことができます。 これらの選択により、対応する要件がトリガーされ、コンプライアンスの保証が提供されます。
登録されているすべてのサプライヤーは、DPR コンプライアンスの年次自己証明を完了する必要があります。 サプライヤーのデータ処理プロファイルは、完全な DPR が発行されるか、要件のサブセットが適用されるかを決定します。 Microsoft がリスクの高いと考えるデータを処理するサプライヤーは、コンプライアンスの独立した検証を提供するなど、追加の要件を満たす必要がある場合もあります。 公開された Microsoft サブプロセッサ リストに含まれるサプライヤーも、コンプライアンスの独立した検証を提供するように求められます。
SSPA スコープ
Microsoft との契約に基づき個人データまたは Microsoft 機密データを処理するすべてのサプライヤーは、SSPA プログラムに準拠する必要があります。 DPR には、これらの各データ カテゴリの定義と例を見つけることができる [定義] というセクションが含まれています。
データ処理プロファイル
Microsoft のサプライヤーは、SSPA データ処理プロファイルを制御できるため、サプライヤーは、実行する資格のあるエンゲージメントを決定できます。
Microsoft ビジネス グループは、データ処理アクティビティがサプライヤーが取得した承認と一致するサプライヤーとのエンゲージメントのみを作成できます。
サプライヤーは、開いているタスクがない場合は、その年中にいつでもデータ処理プロファイルを更新できます。 変更が行われると、対応するアクティビティが発行され、承認がセキュリティで保護される前に完了する必要があります。 既存の完了した承認は、新しく発行された要件が完了するまで適用されます。
新しく実行されたタスクが許可された 90 日間の時間枠内で完了しない場合、SSPA の状態は Red (非準拠) に更新され、アカウントは Microsoft 買掛金勘定システムから非アクティブ化されます。
保証要件
サプライヤーのデータ処理プロファイルで選択された承認は、サプライヤーのエンゲージメント全体のリスク レベルを評価する際に SSPA を支援します。 SSPA コンプライアンス要件は、データ処理プロファイルと関連する承認によって異なります。
また、コンプライアンス要件を高めたり減らしたりする可能性のある組み合わせもあります。 組み合わせは、[プロファイルの承認に基づく要件] セクションでキャプチャされます。
サプライヤーのプロファイルにサービスとしてのソフトウェア (SaaS)、下請業者、Web サイトホスティング、または支払いカードが含まれている場合は、追加の保証が必要です。
DPR への自己構成証明
SSPA に登録されているすべてのサプライヤーは、要求を受け取ってから 90 日以内に DPR へのコンプライアンスの自己証明を完了する必要があります。 この要求は年単位で提供する必要がありますが、データ処理プロファイルが年半ばに更新される場合は、より頻繁に行われる場合があります。 仕入先勘定は、90 日間を超えると、SSPA ステータスが Red (非準拠) に変更されます。 SSPA の状態が緑 (準拠) になるまで、新しいスコープ内の発注書を処理できません。
新しく登録されたサプライヤーは、契約を開始する前に、SSPA の状態をグリーン (準拠) に確保するために発行された要件を完了する必要があります。
適用対象
サプライヤーは、データ処理プロファイルに従って発行されたすべての該当する DPR 要件に対応する必要があります。 発行された要件の中で、サプライヤーが Microsoft に提供する商品やサービスに適用されない場合があります。 これらは、SSPA レビュー担当者が検証するための詳細なコメントを含む "適用されません" としてマークできます。
DPR 申請は、SSPA チームによって、発行された要件に対する '適用されません'、'ローカルの法的競合'、または "契約上の競合" の選択について確認されます。
独立した評価要件
サプライヤーが サブプロセッサのデータ処理ロールを持っている場合は、毎年独立した評価を行う必要があります。
[プロファイルの承認に基づく要件] セクションには、独立した評価者を使用して DPR への準拠を確認しないことを選択した場合 (該当する場合は、SaaS サプライヤー、Web サイト ホスティング サプライヤー、下請業者のサプライヤーなど)、受け入れ可能な認定の選択肢が含まれます。 ISO 27701 (プライバシー) と ISO 27001 (セキュリティ) は、DPR への近いマッピングを提供するものとして依存しています。
サプライヤーが米国または対象エンティティの医療プロバイダーである場合、Microsoft はプライバシーとセキュリティカバレッジに関する HITRUST レポートを受け入れます。
SSPA は、標準トリガーを超える状況で追加のデュー デリジェンスが必要な場合、独立した評価を手動で実行できます。 たとえば、部門のプライバシーまたはセキュリティからの要求が含まれます。データ インシデント修復の検証。または自動化されたデータ主体の権利の実行の要件。
PCI DSS 認定要件
サプライヤーが Microsoft の代わりに支払カード情報を処理する場合は、 支払いカード業界データ セキュリティ標準 (PCI DSS) 標準 に準拠している証拠を提供する必要があります。
処理されたトランザクションの量に応じて、サプライヤーは、認定されたセキュリティ評価者にコンプライアンスを認定してもらうか、自己評価アンケートフォームを完了する必要があります。
支払いカード ブランドは、評価の種類のしきい値を設定します。通常は次のとおりです。
レベル 1: サード パーティの評価者 PCI AOC 証明書を提供する
レベル 2 または 3: サプライヤーの役員によって署名された PCI DSS Self-Assessment アンケート (SAQ) を提供します。
サービスとしてのソフトウェアの要件
データ処理プロファイルに含まれる SaaS 定義を満たしたサプライヤーは、有効な ISO 27001 認定を提供する必要があります。
請負業者の使用
Microsoft は、下請業者の使用をリスクの高い要因と見なします。 個人および Microsoft 機密データを処理する下請業者を使用するサプライヤーは、これらの下請業者を開示する必要があります。 さらに、サプライヤーは、その個人データが各下請け業者によって処理される国も開示する必要があります。