Office 365 のデータ保管・開示について
Office 365 関連のデータ保管・開示に関する完全なる備忘録です(2020/1/13 調べ)
データの取り扱いやデータ開示要求に関しての参照先などを記載。
参照先一覧
Office 365 でのデータ格納場所
OST ダウンロード
https://www.microsoft.com/ja-jp/licensing/product-licensing/products
DPA ダウンロード
https://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=67
Microsoft Trust Center(O365とD365のセキュリティ、プライバシー、法令順守の情報)
https://products.office.com/ja-JP/legal/docid24
データの扱い、およびよくある質問
https://blogs.microsoft.com/datalaw/our-practices/#why-microsoft-reject-government-request
GDPR 関連
https://www.microsoft.com/ja-jp/trust-center/privacy/gdpr-overview
顧客データの扱いについて
オンラインサービス条件(OST)及びオンラインサービスデータ保護追加契約(DPA)にも記載があり、顧客データの取り扱い以外にログ等についての記載もあり。
顧客データとサービスを受けるためのデータ処理にて参照箇所が違う点注意。
(OST抜粋)
コア オンライン サービスの顧客データの保存場所
-
Office 365 サービス: お客様が、オーストラリア、カナダ、EU、フランス、ドイツ、インド、日本、南アフリカ、韓国、スイス、英国、アラブ首長国連邦、または米国でテナントをプロビジョニングする場合、マイクロソフトは以下の顧客データを当該地域内にのみ保存します。(1) Exchange Online のメールボックスの内容 (電子メール本文、予定表エントリ、および電子メールの添付ファイルの内容)、(2) SharePoint Online のサイト コンテンツおよびそのサイト内に保存されたファイル、(3) OneDrive for Business にアップロードされたファイル。
(DPA抜粋)
データ移転
- DPA に別途規定されている場合を除き、マイクロソフトがお客様のために処理する顧客データおよび個人データは、マイクロソフトまたはその下請処理者が営業を展開する米国またはその他の国に移転され、その国内で保存および処理されることがあります。お客様は、Online Service を提供するために、当該国への顧客データおよび個人データの移転ならびに当該国での顧客データおよび個人データの保存および処理を行う者としてマイクロソフトを任命します。
法執行機関からの顧客データの開示実績
開示要求が行われた場合、まずはお客様への通知を実施。それでも Microsoft 側へ開示要求がされた場合(お客様が倒産、お客様からの開示データ改ざんの疑い等)開示の妥当性があるかの判断の上、データ開示実施。
ワールドワイド、地域ごとのデータを年2回 Update(法人/個人含む)https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report?rtc=1