顧客通知プロセスについて理解する
次の図は、確認されたセキュリティ インシデントが発生した後の顧客通知プロセスを示しています。
インシデント対応と顧客通知プロセスは、イベントの開始、イベント検出、オンコール エンジニアのエンゲージメント、セキュリティ対応チームの関与、セキュリティ インシデントの確認、顧客の影響の特定、影響を受ける顧客の決定、最後に影響を受ける顧客の通知です。
Microsoft の責任
セキュリティまたはプライバシー インシデントの調査の任意の時点で、セキュリティ対応チームは、顧客データが偶発的または違法な破壊、損失、または変更、不正な開示、または未承認のアクセスの対象となっていることを検出した場合、イベントは顧客データ侵害として宣言され、顧客インシデント通知プロセスが開始されます。 Microsoft は、多くの規制フレームワークのガイドラインに従って、あらゆる影響を受けたテナントを特定し、72時間以内に通知します。
正式なセキュリティ インシデント宣言が発生すると、通知のタイムライン コミットメントが始まります。 セキュリティ インシデントが宣言されると、通知プロセスは、過度な遅延を発生させずに、可能な限り迅速に実行されます。
セキュリティ インシデントの顧客通知は、インシデントの性質と規模に基づいて適切なチャネルを通して発生します。 これらのチャネルには、次の1つ以上の通知が含まれます。
- Microsoft 365 管理センターのメッセージ センターでの通知
- 顧客のテナント管理者へメールを送信する
- お客様の指定した グローバル プライバシー連絡先 への電子メール (テナント管理者が Microsoft Entra 管理センターで定義している場合)
- 特別な研修を受けたサポート チーム メンバーによる顧客のテナント管理者への電話による直接支援
Microsoft のお客様の通知コミットメントについては、Microsoft 製品とサービスデータ保護補遺の 2 つのセクションで詳しく説明されています。
セキュリティ インシデントの通知
セキュリティ インシデントの通知は、電子メールを含め、Microsoft が選択した任意の方法で、1 人以上の顧客の管理者に配信されます。 お客様の管理者が、該当する各オンライン サービス ポータルで正確な連絡先情報を維持することは、お客様の唯一の責任です。 お客様は、お客様に適用されるインシデント通知法に基づく義務を遵守し、セキュリティ インシデントに関連する第三者の通知義務を果たす責任を単独で負います。
Microsoft は、GDPR 第 33 条またはその他の適用法令に基づき、顧客が当該セキュリティ インシデントについて関連する監督機関およびデータ主体に通知する義務を果たすことができるよう、顧客を支援するために適切な取り組みを行うものとします。
このセクションに記載されているセキュリティ インシデントに対する Microsoft の通知またはその対応は、セキュリティ インシデントに関連する過失または責任を認めるものではありません。
お客様は、アカウントまたは認証資格情報の悪用の可能性、またはオンライン サービスに関連するセキュリティ インシデントについて、速やかに Microsoft に通知する必要があります。
付録 A –セキュリティ対策
インシデント対応プロセス
顧客データ侵害であるセキュリティ インシデントごとに、(「セキュリティ インシデント通知」セクションで説明されているように) Microsoft による通知は、不当な遅延なく、また、いかなる場合でも 72 時間以内に行われます。
顧客の責任
顧客が正しい連絡先で通知を受信できるようにするには、顧客が正しい連絡先情報をテナント プロファイルで維持する必要があります。
お客様は、 Microsoft 365 管理センターで連絡先情報が最新であることを確認する必要があります。
顧客の管理者は、関連する顧客の管理者がインシデント通知を確認できるように、メッセージ センターでデータ プライバシー メッセージを表示する方法の オプションを構成 する必要があります。
必要に応じて、グローバル管理者は、インシデント通知へのアクセスを必要とする管理者以外に不要な管理者権限を付与しないように、メッセージ センター コンテンツへのアクセス権を持つより多くのロールを構成できます。
顧客は、セキュリティ インシデントの報告について、Microsoft と責任を共有します。 Microsoft の商用サービス(コンシューマー サービスとは異なります)の文脈においては、Microsoft がデータ処理者であり、顧客がデータ管理者です。 Microsoft がデータ処理者として機能するセキュリティ インシデントが発生した場合、Microsoft は影響を受けた顧客に通知し、顧客は関連する規制または法令に基づき、データ保護当局、規制機関、および影響を受けたユーザーに通知する責任を負います。 さらに、お客様が自身のユーザー アカウントまたは Microsoft オンライン サービスに関連するセキュリティ インシデントを認識した場合は、Microsoft 製品およびサービスデータ保護補遺に記載されているように、お客様は速やかに Microsoft に通知する必要があります。