次の方法で共有


家族の教育の権利とプライバシーに関する法律 (FERPA)

FERPA の概要

家族の教育の権利とプライバシーに関する法律 (FERPA) は、個人を特定できる情報やディレクトリ情報を含む、学生の教育記録のプライバシーを保護する米国連邦法です。 FERPAは、18歳以上の保護者および学生が、これらの記録にアクセスし、変更を要求し、情報の開示を制御できるようにするために制定されました。ただし、FERPAが同意なしに開示を許可する特定の限定的なケースを除きます。

この法律は、学校、学区、および米国教育省から資金を受け取るその他の機関(事実上すべての公立K-12学校と学区、およびほとんどの中等後機関、公私両方)に適用されます。

セキュリティは、不正な開示から学生の情報を保護する必要がある FERPA へのコンプライアンスの中心です。 クラウド コンピューティングを使用する教育機関では、テクノロジ ベンダーが機密性の高い学生データを適切に管理する契約上の安心感が必要です。

Microsoft と FERPA

FERPA は監査やその他の認定資格を必要としません。そのため、FERPA の対象となる教育機関は、クラウド サービスの使用が FERPA 要件に準拠する能力にどのように影響するかを評価する必要があります。 オンライン サービス条項 データ保護補遺 (DPA) では、Microsoft は、FERPA で定義されているように、顧客データに 「正当な教育上の利益」を持つ "学校職員" として指定されることに同意します。 顧客データには、学校で Azure を使用して提供されるすべての学生レコードが含まれます。 Microsoft が学生の教育記録を処理する場合、Microsoft は、学校の職員と同様に、34 CFR 99.33(a) によって課される制限事項と要件に従うことに同意します。 Microsoft は、Azure のお客様が FERPA コンプライアンス要件を満たすのを支援するガイダンス ドキュメントを公開しています。

対象となる Microsoft のクラウド プラットフォームとサービス

Microsoft が顧客データで "正当な教育上の利益" を持つ "学校職員" として指定されることに同意するサービスは次のとおりです。

  • Azure および Azure Government
  • Azure DevOps Services
  • Dynamics 365
  • Intune
  • Office 365、Office 365米国政府、Office 365米国政府 - 高、Office 365米国政府の防衛

Azure ガイダンス ドキュメント

FERPA コンプライアンス要件を満たす場合は、次のドキュメントをダウンロードできます。

Office 365と FERPA

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
商用 Microsoft Entra ID、Azure Information Protection、Bookings、コンプライアンス マネージャー、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Defender for Office 365、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 Cloud App Security、Office 365 グループ、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Viva Engage
GCC Microsoft Entra ID、コンプライアンス マネージャー、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 Advanced Compliance アドオン、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream
GCC High Microsoft Entra ID、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business
DoD Microsoft Entra ID、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office Online、Office Pro Plus、OneDrive for Business、Planner、Power BI、SharePoint Online、Skype for Business

Office 365 監査、レポート、証明書

FERPA では、監査や認定資格は必要ありません。

よく寄せられる質問

FERPA が重要なのはなぜですか?

この米国連邦法は、学生の教育記録のプライバシーの保護を義務付けています。 また、保護者や資格のある学生に、これらのレコードへのアクセス権と、それらのレコードを修正する機能、および第三者へのレコードのリリースに関連する特定の権利も付与します。

COPPA と CIPA が Azure に与えるコンプライアンスへの影響

COPPA および CIPA は、お子様のプライバシーを保護することを目的とした追加の法律です。ただし、Azure には直接適用されません。 子供のオンラインプライバシー保護法(COPPA)は、13歳未満の子供のプライバシーを保護するために制定された米国連邦法です。 連邦取引委員会 (FTC) は COPPA を管理します。 COPPAは、ウェブサイトに適用され、子供に向けられたオンライン サービスであり、これらのサイトやサービスは、子供に属するすべての個人情報の収集と使用に保護者の同意を必要とすることを規定しています。 子供のインターネット保護法(CIPA)は、インターネットを介した有害なコンテンツへの子供のアクセスに関する懸念に対処するために制定されました。 連邦通信委員会 (FCC) は、CIPA を実装する規則と、CIPA の対象となる学校とライブラリの要件を定義しました。 Azure 導入のコンテキストで COPPA と CIPA に関する質問をお持ちのお客様は、オンライン サービス条項 DPA の教育機関というタイトルのセクションを確認する必要があります。このセクションでは、お客様がエンド ユーザーによる Microsoft オンライン サービスの使用について保護者の同意を得る責任があることを説明します。

Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する

Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース