主要プライバシー利用規約とデータのカテゴリについて説明します。
では、いくつかの重要なプライバシーに関する用語について確認しましょう。
データ コントローラー: 法人、公的機関、団体、その他の組織。単独または他者と協力して、個人データの処理の目的と方法を決定します。
お客様は、Microsoft オンライン サービスとプロフェッショナル サービスを使用するためのデータ コントローラーです。 Microsoft はデータ処理者です (お客様がデータ処理者である場合を除きます。この場合、Microsoft がサブプロセッサーです)。 Microsoft は、Microsoft オンライン サービスとプロフェッショナル サービスの使用をサポートするために必要な、一連の限定された正当な事業運営 (LBO) を提供するために使用されるデータの独立したデータ コントローラーです。
個人データとデータ主体: 識別されたまたは識別可能な自然人 (データ主体) に関連するすべての情報。 識別可能な自然人とは、直接的または間接的に識別できるユーザーです。 エンタープライズ サービスのデータ主体には、テナント内のエンド ユーザーとテナント外のユーザーの 2 種類があります。
データ処理者: 管理者に代わって個人データを処理する自然人または法人、公的機関、団体、その他の組織。 エンタープライズ サービスでは、Microsoft はデータ処理者として機能し、顧客の文書化された指示に従ってデータを処理して、オンライン サービスまたはプロフェッショナル サービスを提供します。 Microsoft は、文書化された指示に基づいてのみデータを処理します。 データ保護規約を含むボリューム ライセンス契約、およびお客様がサービスを構成して使用する方法は、お客様の文書化された指示に基づいています。
以下の図は、データ コントローラー、データ処理者、データ主体、および個人データ間の関係をより詳細に説明しています。 次の例では、C1 がエンタープライズ サービスの直接の顧客で、C2 は C1 の顧客です。
C1 の役割には 2 種類があり、C2 の役割には 1 種類があります。
- ライセンス所有者である C1 管理者 - 通常、Microsoft サービス サブスクリプションにサインアップしたテナント管理者。 C1 管理者は、企業の代理としてサービスにサインアップするため、データ コントローラーと見なされます。 これらの管理者は、サービスでテナントの設定とポリシーを構成し、Microsoft サービスでライセンスを取得するユーザーを決定し、そのユーザーにライセンスを割り当てます。
- C1 ユーザーは、テナント管理者がライセンスを割り当てたライセンス ユーザーです。 通常、C1 ユーザーは、エンタープライズ エンド ユーザーと呼ばれることが多い企業の従業員です。 C1 ユーザーは、データ主体と見なされます。
- C2 ユーザーは C1 の顧客です。 C2 ユーザーは企業の外部にいます。 たとえば、C1 ユーザーが外部ビジネス パートナーを Contoso の SharePoint サイトに招待する場合、このビジネス パートナーは C2 ユーザーです。 C2 ユーザーも、データ主体と見なされます。
Microsoft が処理するデータのカテゴリ
Microsoft オンライン サービスまたはプロフェッショナル サービスを提供するために顧客アカウントのライフサイクル全体で使用されるデータは、次の 4 つの個別のデータ カテゴリのいずれかに該当します。
顧客データとは、顧客または顧客の代理が Microsoft エンタープライズ オンライン サービス (Microsoft プロフェッショナル サービスを除く) の使用を通じて Microsoft に提供する、テキスト、音声、ビデオ、画像ファイル、およびソフトウェアを含むすべてのデータを指します。 これには、顧客が保存または処理するためにアップロードするデータである顧客コンテンツ、 顧客が Microsoft エンタープライズ サービスを通じて配布するためにアップロードしたアプリが含まれます。
たとえば、顧客のコンテンツには、Exchange Online のメールと添付ファイル、Power BI レポート、SharePoint Online サイトのコンテンツ、インスタント メッセージングの会話が含まれます。
サービスが生成したデータには、オンライン サービスの運用を通じて Microsoft によって "生成" または "派生" されるすべてのデータが含まれます。 Microsoft は、オンライン サービスからこのデータを集計し、それを使用して、カスタマー エクスペリエンスに影響を与えるパフォーマンス、セキュリティ、スケーリング、およびその他のサービスが、お客様が必要とするレベルで動作していることを確認します。
たとえば、お客様の Microsoft Teams の使用が増加したときにデータセンターの容量を増やす方法を理解するために、Teams の使用状況に関するログ データを処理します。 次に、ピーク時のログを確認し、この容量を満たすために追加するデータセンターを決定します。
診断データ には、Microsoft エンタープライズ オンライン サービスに関連して使用するためにローカルにインストールされたソフトウェアから「収集」または「取得」されたすべてのデータが含まれます。 これは、クライアント ソフトウェアのセキュリティを確保し、正常に動作するために Microsoft によって使用されます。
たとえば、Microsoft は、アプリの起動にかかる時間、アドインがクラッシュしたかどうか、サインインが試行された回数に関する情報を収集します。 診断データは、テレメトリ データとも呼ばれます。 名前、メール アドレス、ファイル コンテンツは含まれません。
プロフェッショナル サービス データとは、認可を受けてプロフェッショナル サービスを取得するために Microsoft と契約することにより、Microsoft に提供される、または Microsoft によって処理されるすべてのデータを意味します。 プロフェッショナル サービス データには、オンライン サービスのテクニカル サポート中に Microsoft に提供されるサポート データが含まれます。
たとえば、プロフェッショナル サービス データには、トラブルシューティング中に Microsoft に提供されたテキスト、サウンド、ビデオ、画像ファイル、またはソフトウェアが含まれます。
お客様が Microsoft オンライン サービスを使用している場合、上の 4 つのデータ カテゴリのうち 3 つが処理されます。これは、顧客データ、サービス生成したデータ、および診断データです。 お客様がプロフェッショナル サービスを使用する場合、Microsoft は、プロフェッショナル サービス データと、お客様が要求したサービスを実行するためにアクセスを許可するその他のデータのみを処理します。 これらの 4 つのデータ カテゴリのそれぞれからのデータは、Microsoft オンライン サービスとプロフェッショナル サービスを提供する能力をサポートするために必要な、一連の限定された正当な事業運営 (LBO) の実行にも使用されます。 診断データに由来する仮名化されたデータのみを使用して LBO の個人データの使用を制限し、LBO に使用する前に個人データを集計して、ユーザーにリンクできないようにします。
Microsoft は、LBO を実行するためのデータの使用において、独立したデータ コントローラーとして機能します。 使用は以下の機能に限定されます。
- 課金とアカウントの管理
- 報酬 (従業員の手数料の計算など)
- 社内でのレポート作成とモデリング (たとえば、予測、収益、キャパシティプランニング、製品戦略)
- Microsoft または Microsoft 製品に影響する可能性のある詐欺、サイバー犯罪、またはサイバー攻撃との戦い
- アクセシビリティ、プライバシー、またはエネルギー効率のコア機能の改善
- 財務報告または法的義務の遵守