Comments
Description
Transcript
サプライヤー データ保護要件 — 評価基準
Supplier Security and Privacy Assurance (SSPA) サプライヤー データ保護要件 — 評価基準 適用性 Microsoft サプライヤー データ保護要件 (DPR) は、Microsoft と交わした発注書や契約の条件に従って提供するサービスの一環として Microsoft 個人 情報または Microsoft 機密情報の収集、使用、配布、保管、またはこの情報へのアクセスを行う全 Microsoft サプライヤーに適用されます。 ここに記載されている要件と、サプライヤーと Microsoft 間で締結された契約内の要件との間で競合が発生した場合、契約の方が優先されます。 ここに記載されている要件と、何らかの法的要件の間に競合が発生した場合、当該法的要件の方が優先されます。 "サプライヤーのその他の義務を制限することなく、サプライヤーは任意のデータ保護機関、欧州データ保護会議または欧州委員会により承認され 、マイクロソフトにより採用または同意されたあらゆる標準契約条件、拘束的企業準則またはその他のスキームのデータ保護要件 (EU - 米国間プラ イバシーシールド フレームワークを含みますがこれに限定されません) に準拠する必要があります。サプライヤーはまた、すべての下位業者 (欧州 委員会決議 C(2010)593 の付録として発行された 2010 年標準契約条項第 1 節 (d) で定義) も準拠することを確認する必要があります。" "Microsoft 機密情報" とは、秘密保持や整合性に違反があった場合に Microsoft の評判または財務に重大な損失をもたらす可能性のある情報のこと を指します。この対象としては、Microsoft ハードウェア製品とソフトウェア製品、社内用基幹業務アプリケーション、プレリリース マーケティン グ資料、プロダクト ライセンス キー、Microsoft の製品とサービスに関する技術ドキュメントなどが挙げられます (ただし、これらに限定されませ ん)。 "個人情報" とは、Microsoft により提供される、または司法管轄地域内のデータ保護法またはプライバシー法でカバーされるこの契約に関連してサ プライヤーにより収集される、以下を含むあらゆる情報のことを指します。 その情報に関連する個人を特定できる情報。 個人の身分証明や連絡先を引き出すことができる情報。 DPR の構成 DPR は、プライバシー慣行評価を目的として米国公認会計士協会 (AICPA) により策定されたフレームワークに基づいています。一般に公正妥当と認められた プライバシー原則 (GAPP) は、個人情報の保護と管理に関連する評価基準を含む 10 個のセクションで構成されます。このフレームワークが、Microsoft のセキ ュリティとプライバシーの追加要件により拡張されています。 バージョン 3 ページ | 1 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) # Microsoft サプライヤー データ保護要件 推奨される評価基準 Response: プライバシーおよびセキュリティ データ保護言語を含む有効 な Microsoft の契約書、作業明細書、または発注書に署名して いる。 サプライヤーは、有効な Microsoft の契約書、作業明 細書、または発注書を提出しなければならない。 <Compliant> <Not Compliant> Microsoft サプライヤー テータ保護要件を遵守するための任務 と説明責任を、当該企業内の個人またはグループに割り当てて いる。 サプライヤーは、データ保護要件の遵守を保証する 人物またはグループを特定する必要がある。 <Compliant> <Not Compliant> この人物またはグループの権限および責任は明確に 文書化されていなければならない。 <Does not Apply> <Legal Conflict> <Contract Conflict> GAPP Section A: 管理 サプライヤーは、Microsoft 個人情報または Microsoft 機密情報 を収集、使用、配布、保管、またはその情報にアクセスする前 に、以下のことを行っている必要がある。 1 2 3 従業員用プライバシー トレーニングを毎年策定、維持、実行する。 Microsoft 提供の資料はこちら: http://www.microsoft.com/about/companyinformation/procureme nt/toolkit/en/us/privacymaterials.aspx <Does not Apply> <Legal Conflict> <Contract Conflict> サプライヤーは従業員に対して、入社時と、それ以 降は定期的に、プライバシーとセキュリティの基本 原則 (通知、選択肢と同意、 収集、使用と保持、アクセス、2 次譲渡と開示、セ キュリティ、品質、監視と法的措置) についてのト レーニングを実施する。このトレーニングが実施さ れていることの証明としては、トレーニング資料、 出欠記録、従業員との通信記録 (電子メール、Web サイト、ニュースレターなど) を提出する。 バージョン 3 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 2 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) 4 定期的に、従業員と、Microsoft のサービス提供を請け負う下 請業者に、Microsoft サプライヤー データ保護要件関連情報を 伝達する。 サプライヤーは、従業員と、Microsoft へのサービス 提供を請け負う下請業者に対して、Microsoft サプラ イヤー データ保護要件についてのトレーニングを実 施する。このトレーニングが最初と、それ以降は定 期的に実施されていることの証明として、トレーニ ング資料、 出欠記録、従業員および下請業者との通信記録 (電 子メール、Web サイト、ニュースレターなど) を提 出する。. バージョン 3 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 3 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) # Microsoft サプライヤー データ保護要件 推奨される評価基準 Response: GAPP Section B: Notice 5 サプライヤーは、個人から Microsoft 個人情報を収集する際、 本人がサプライヤーに個人情報を提供するかどうかを判断でき るように、よく目立つ通知をその本人に提示する プライバシー通知には、個人情報の収集目的と、こ の情報が開示される、または開示され得る状況が明 記されている必要がある。 必要がある。 プライバシー通知は、アクセスが容易で、日付が明 記され、データ収集時または収集前に提示される必 要がある。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> プライバシー通知は、その本人がそのデータの使用 目的を理解できるように記述されている必要がある 。 6 マイクロソフトの Web サイトをホストしているサプライヤー は、マイクロソフトのプライバシー レビューを完了していた だく必要があります。 Microsoft Business の契約担当者に問い合わせてレビューの予定 を立てていただくか、ご不明な点がある場合は、 [email protected] までお問い合わせください。 レビューは、サプライヤー プライバシー ツールキットの指示 に準拠しています。 http://www.microsoft.com/en-us/procurement/toolkit-default.aspx Microsoft プライバシーに関する声明の承認の証明書 を提出してください。 バージョン 3 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 4 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) 7 8 マイクロソフトのマーケティング キャンペーンを実施してい るサプライヤーは、マイクロソフトのプライバシー レビュー を完了していただく必要があります。 Microsoft Business の契約担当者に問い合わせてレビューの予定 を立てていただくか、ご不明な点がある場合は、 [email protected] までお問い合わせください。 レビューは、サプライヤー プライバシー ツールキットの指示 に準拠しています。 http://www.microsoft.com/en-us/procurement/toolkit-default.aspx Microsoft プライバシーに関する声明の承認の証明書 を提出してください。 ライブ音声通話で Microsoft 個人情報を収集する場合は、サプ ライヤーは、お客様と、適用可能なデータの収集、処理、使用 、保持について話し合う準備をしておく必要がある。 サプライヤーは、個人情報を電話で収集する際にデ ータの収集、 処理、使用、保持について個人と話し合ったことを 実証する。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> バージョン 3 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 5 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) # Microsoft サプライヤー データ保護要件 推奨される評価基準 Response: GAPP Section C: 選択肢 と同意 9 サプライヤーは、個人情報の収集前に、本人から同意を サプライヤーは、個人情報の提供に同意または拒否 するプロセスを本人に説明し、その後の結果につい ても説明する。 得て、これを文書化する必要がある。 10 サプライヤーは、個人情報の収集前または収集時に同意を文書 にて記録します。 サプライヤーは連絡に関する希望について記録および管理し、 それらの希望に対する変更について反映および管理します。 11 個人の連絡先設定の変更を速やかに、文書化および 管理する。 サプライヤーは、個人情報の収集前または収集時に 同意を文書化する。 サプライヤーは、書面により、または電子的に、連 絡先の設定を 確認する。 サプライヤーは、連絡先の設定を文書化および管理 し、この設定への変更を管理する。 サプライヤーは、個人情報の新しい用途を本人に通 知する。 サプライヤーは、個人情報の新しい用途について同 意を得て、文書化する。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 12 個人情報の新しい用途について本人から同意を得、 文書化する。 サプライヤーは、同意が得られない場合、その情報 を使用しないことを保証する。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> バージョン 3 ページ | 6 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) # Microsoft サプライヤー データ保護要件 推奨される評価基準 Response: GAPP Section D: 収集 13 14 15 16 <Compliant> <Not Compliant> サプライヤーは、Microsoft 個人情報の収集を監視して、収集 される情報は、Microsoft により調達されたサービスの実施に 必要な情報のみに限定されていることを保証する必要がある 。 必要な個人情報を指定するためのシステムと手順が 用意されている。 サプライヤーは収集を監視し、システムとプロセス の効果を確保している。 <Does not Apply> <Legal Conflict> <Contract Conflict> サプライヤーが Microsoft の代わりに第三者から個人情報を取 得する場合、サプライヤーは、その第三者のデータ保護ポリ シーとデータ保護慣行が、サプライヤーと Microsoft 間で締結 されている契約内容および DPR 要件と一致していることを確 認する必要がある。 サプライヤーは、第三者のデータ保護ポリシーとデータ 保護慣行について、デュー デリジェンスを実行している。 <Compliant> <Not Compliant> 個人のコンピューターに実行可能ソフトウェアをインストー ルしたり利用可能とする際に機密の Microsoft 個人情報を収集 する場合は、この情報を収集する必要性を、Microsoft と交わ したサプライヤー契約内に明記する必要がある。 サプライヤーは、個人のコンピューター上の実行可能ソ フトウェアを使って個人情報を収集する際に Microsoft の 同意を得て、文書化する。 人種、民族、政治的な意見、所属する労働組合、身体的また は精神的な健康状態、性的嗜好などの機密の Microsoft 個人情 報を収集する場合、Microsoft と交わした契約に、この収集の 必要性が文書化されている必要がある。 サプライヤーは機密の個人情報を収集する前に、 Microsoft の同意を得て、文書化する。 <Does not Apply> <Legal Conflict> <Contract Conflict> バージョン 3 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 7 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) Microsoft サプライヤー データ保護要件 # 推奨される評価基準 Response: 個人情報と機密情報の使用を監視するためのシステ ムとプロセスが用意されている。 サプライヤーは、システムとプロセスの効果を監視 する。 <Compliant> <Not Compliant> GAPP Section E: 保持 17 18 19 20 Microsoft 個人情報および Microsoft 機密情報が、Microsoft により 調達されたサービスの提供にのみ使用されることを確認する。 Microsoft 個人情報を引き続き保持することが法的に要求される 場合を除き、Microsoft 個人情報と Microsoft 機密情報は、サー ビスを提供するために必要とされる期間のみ保持されるように する。 サプライヤーは、Microsoft との契約書、作業明細書 、または発注書内で明示されている保持ポリシーま たは保持要件に従う。 Microsoft 個人情報と Microsoft 機密情報の保持または破棄を文 書化する。要請があった場合、サプライヤーは、役員の署名入 りの破棄証明書を Microsoft に提出する 必要がある。 サプライヤーは、Microsoft 個人情報と Microsoft 機密 情報の破棄記録を保持する (Microsoft に戻すか、破棄 する)。 Microsoft の裁量により、サプライヤーが所有または管理してい る Microsoft 個人情報または Microsoft 機密情報は、サービス完 了時、または Microsoft の要求に応じて、Microsoft に戻すか、 破棄する。 バージョン 3 <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 8 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) # Microsoft サプライヤー データ保護要件 推奨される評価基準 Response: GAPP Section F: アクセス お客様からお客様自身の Microsoft 個人情報へのアクセスを求 められたら、サプライヤーは以下を行う必要がある。 21 22 お客様に、自身の Microsoft 個人情報にアクセスするための手 順を伝える。 Microsoft 個人情報へのアクセスをリクエストする個人の ID を 認証する。 サプライヤーは、お客様に、自身の個人情報にアクセス するための手順、および更新するための手順を伝えてい る。 サプライヤーは、この認証用に政府発行 ID を使用しない 。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 23 合理的に見てその他のオプションがない場合を除き、政府発 行の ID (社会保障番号など) はできる限り使用しない。 サプライヤーの従業員は、個人情報へのアクセスまたは 個人情報の変更をリクエストする個人を認証するための トレーニングを受けている。 バージョン 3 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 9 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) 個人を認証できたら、サプライヤーは以下のことを行う必要 がある。 24 その個人に関する Microsoft 個人情報を保持または管理してい るかを確認する。 個人情報が保持されているかどうかを判断できるプロセ スをサプライヤーが用意している。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 25 26 27 相応の努力により、リクエストされた Microsoft 個人情報を見つ け、妥当な検索を行ったことを実証する十分な記録を保持する 。 サプライヤーはリクエストに速やかに対応している。 アクセス リクエストの発生日時、およびサプライヤーが当該リ クエストに対応するために実行したアクションを記録する。 サプライヤーは、個人情報へのアクセス リクエスト 記録を保持し、個人情報の変更を文書化する。 要請があった場合は、Microsoft にアクセス リクエスト記録を提 出する。 アクセス拒否は、書面に文書化し、その理由を説明す る必要がある。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> バージョン 3 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 10 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) 個人が認証され、Microsoft 個人情報がリクエストされているこ とをサプライヤーが確認したら、サプライヤーは以下を行う必 要がある。 28 29 Microsoft 個人情報を、紙、データ、または口頭で本人に提供す る。 サプライヤーは、本人とサプライヤーにとって理解し やすく都合のよい形式で、個人情報をその本人に提供 する。 アクセス リクエストを拒否した場合、Microsoft が以前に提示し た関連指示に従って、書面による説明を本人に提供する。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 30 31 サプライヤーは、その個人に渡される Microsoft 個人情報が別の 人物の特定に使用できないようにする妥当な対策を講じておく 必要がある。 サプライヤーは、提供された情報から別の人物が特定 できないようにする妥当な対策を講じている (各行に 1 人分の個人情報が記載されているページについては ページ全体をコピーしない、など)。 個人情報の本人とサプライヤー間で、その Microsoft 個人情報が 完全かつ正確であることについて意見が分かれた場合、この問 題は Microsoft にエスカレーションし、適宜 Microsoft と協力し て問題の解決に当たる。. サプライヤーは、意見の相違を文書化し、問題を Microsoft にエスカレーションする。 バージョン 3 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 11 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) Microsoft サプライヤー データ保護要件 # 推奨される評価基準 Responses: GAPP Section G: 第三者へ の開示 サプライヤーが Microsoft 個人情報および Microsoft 機密情報 の収集、使用、配布、保管、またはこの情報へのアクセスに 下請業者を使用する場合、サプライヤーは以下のことを行う 必要がある。 32 Microsoft サプライヤー プログラムの正式メンバーである下請 業者を使用するか、下請業務前に Microsoft から 書面による明示的な同意を取得する。 下請業者が Microsoft Preferred Supplier Program (MSP) 加盟業者であることをサプライヤーが確認している 。 MSP に加盟していない業者を使用する場合に、サプ ライヤーは <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 書面による許可を取っている。 33 34 開示または下請業者に提供される Microsoft 個人情報および Microsoft 機密情報の性質と程度を文書化する 下請業者が本人の連絡先設定に従って Microsoft 個人情報を使 用していることを確認する。 サプライヤーは、開示される、または下請業者に譲 渡される Microsoft 個人情報および Microsoft 機密情 報に関するドキュメントを保持している。 下請業者が、示されている特定の目的のみにおいて 、本人の連絡先設定に従って Microsoft 個人情報を使 用することを保証する システムとプロセスが用意されている。 バージョン 3 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 12 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) 35 36 37 38 39 下請業者による Microsoft 個人情報の使用を、サプライヤーと Microsoft 間の契約を履行するのに必要な目的に限定する。 サプライヤーは、法的に許される場合、裁判所命令 による Microsoft 個人情報の開示を下請業者に許可す る前に、Microsoft に連絡を取っていることを実証で きる。 裁判所から下請業者による Microsoft 個人情報の開示が命令さ れた場合、法的に許可されれば、その命令または通知への何 らかの回答を申し立てる前に Microsoft がこれを仲介できるよ うに、開示命令を Microsoft に迅速に知らせる。 Microsoft 個人情報の不正使用または不正開示についてクレー ムがあった場合、これを調査する。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 下請業者による Microsoft 個人情報の不正使用または 不正開示についてのクレームに対応できるシステム とプロセスが用意されている。 下請業者が Microsoft またはサプライヤーに Microsoft 関連サ ービスを提供する以外の目的のために Microsoft 個人情報およ び Microsoft 機密情報を使用または開示していることがわかっ たら、直ちに Microsoft に通知する。 サプライヤーは、下請業者が不正な目的で Microsoft 個 人情報を使用していることを Microsoft に通知しているこ とを実証できる。 下請業者による Microsoft 個人情報および Microsoft 機密情報 の不正使用または不正開示による実際の、または潜在的な損 害を軽減できる措置を迅速に実施する。 サプライヤーは、下請業者が Microsoft 個人情報およ び Microsoft 機密情報を不正使用または不正開示した 場合、適切な措置を講じていることを実証できる。 バージョン 3 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 13 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) 第三者から個人情報を受け取る前に、サプライヤーは以下を 行う必要がある。 40 第三者のデータ収集慣行が DPR と矛盾していないことを確認 する。 第三者のデータ収集慣行を確認するプロセスが用意 されている <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 41 42 第三者から収集する個人情報は、Microsoft により調達された サービスの実行に必要とされる情報のみに限定されているこ とを確認する。 第三者から受け取る Microsoft 個人情報を、契約サー ビスの実施に必要とされる情報のみに限定するプロ セスが用意されている。 サプライヤーは、第三者に Microsoft 個人情報を提供する前に 、Microsoft から事前に書面による許可を得る必要がある。. サプライヤーは、書面による許可のコピーを提供で きる。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> バージョン 3 ページ | 14 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) Microsoft サプライヤー データ保護要件 # 推奨される評価基準 Response: GAPP Section H: 品質 43 サプライヤーは、Microsoft 個人情報のすべてが正確かつ完全 、および収集または使用されたときに示された目的に関連した 情報であることを確認する必要がある。 情報が、収集、作成、および更新時に検証されている。 <Compliant> <Not Compliant> 継続的に正確性を検証し、必要に応じて正確である ことを検証できるシステムとプロセスが用意されて いる。 示されている目的を履行するために必要とされる最 小限の個人情報のみが収集されている。 <Does not Apply> <Legal Conflict> <Contract Conflict> バージョン 3 ページ | 15 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) Microsoft サプライヤー データ保護要件 # 推奨される評価基準 Response: GAPP Section I: 監視と法的 措置 サプライヤーは以下のことを行う必要がある。 44 年に 1 回コンプライアンス レビューを実施し、データ保護要件 の遵守を確認する。 サプライヤーは、年次コンプライアンス レビュー を実施していることを実証できる。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 45 46 47 サプライヤーによる Microsoft 個人情報の処理に関連して、既知 のプライバシー違反またはセキュリティの脆弱性、あるいはそ の疑いが見つかったら、72 時間以内に Microsoft に通知する。 サプライヤーは、既知のプライバシー違反またはセキ ュリティの脆弱性、あるいはその疑いを Microsoft に通 知していることを実証する必要がある。 法的に、または監督官庁から明示的に要求されない限り、 Microsoft の承諾なく、Microsoft 個人情報または Microsoft 機密情 報がかかわる実際のインシデントまたはその疑いに関連するプ レス リリースまたはその他一切の公的コメントを発表してはな らない。 既知の脆弱性と違反またはその疑いに対しては、直ちに軽減措 置を取る。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 脆弱性と違反が速やかに解決されている。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> バージョン 3 ページ | 16 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) 48 修復計画を実装し、Microsoft 個人情報に関連する違反と脆弱性 が解決されていることを監視し、適切な改善措置が速やかに講 じられるようにする。 修復計画が適宜利用できる。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> サプライヤーは以下のことを行う必要がある。 49 Microsoft 個人情報を含むすべてのデータ保護クレームに対応す る正式なクレーム処理プロセスを構築する。 サプライヤーは、クレームを処理し、Microsoft に通知 するプロセスを文書化している必要がある。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 50 Microsoft 個人情報に関連するクレームはすべて Microsoft に通知 する。 速やかなクレーム対応を実証できるクレームの記録。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 51 Microsoft により特段の指示がない限り、Microsoft 個人情報に関連 するデータ保護クレームはすべて記録し、対応する。 未解決/解決済みクレームのドキュメント。 要請があった場合は、解決済みおよび未解決のクレームをまと めたドキュメントを Microsoft に提出する。 バージョン 3 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 17 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) # Microsoft サプライヤー データ保護要件 推奨される評価基準 Response: GAPP Section J: セキュリティ 情報セキュリティ プログラム 52 53 54 サプライヤーは、Microsoft 個人情報および Microsoft 機密情 報を保護するためのポリシーと手順を含む情報セキュリティ プログラムを策定、実装、および管理する必要がある。サプ ライヤーのセキュリティ プログラムは、Microsoft 個人情報 および Microsoft 機密情報の保護に関連する次の事項に対応 している必要がある。 サプライヤーのセキュリティ プログラムには左記の (52) ~ (69) が含まれている必要がある。 保護策には、監督官庁の規制 (HIPPA、GLBA など) や契約内容に 応じて、左記以外の事項を含む場合もある。 年に 1 回以上のリスク評価の実施。 サプライヤー リスク評価には、新しい脅威、潜在的な業務 への影響、および発生の可能性が組み込まれている必要があ る。サプライヤーは、セキュリティ関連のプロセス、手順、 ガイドラインを 適宜修正する必要がある。 少なくとも四半期ごと、およびネットワーク上の重大な変更 時 (新しいシステム コンポーネントのインストール、ネット ワーク トポロジーの変更、ファイアウォール ルールの変更 、製品のアップグレードなど) における、内部および外部ネ ットワークに対する脆弱性スキャンの実施 承認済みアクセスは確実に許可しながら、電子情報システム への物理的なアクセスの制限を含む、物理的および論理的ア クセスの効果的な制御による不正アクセスの回避。 バージョン 3 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 18 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) 55 56 新規ユーザーの追加、既存ユーザーのアクセス レベルの変 更、およびアクセスの必要がなくなったユーザーの削除のた めの手順 (最低限の特権の原則適用)。 セキュリティに対する任務と説明責任の割り当て。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 57 システムの変更とメンテナンスに対する任務と説明責任の割 り当て。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 58 妥当な時間枠内での、リスクに基づいたシステム ソフトウ ェアのアップグレードとパッチの実装。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 59 サーバー、本稼働およびトレーニング用デスクトップを含む ネットワークに接続されているすべての装置を、損害を与え る可能性のあるウイルスや悪意あるソフトウェア アプリケ ーションから保護するウイルス対策およびマルウェア対策ソ フトウェアのインストール。ウイルス対策およびマルウェア 対策ソフトウェアは、Microsoft または当該ソフトウェアの サプライヤーから特段の指示がない限り、毎日 1 回以上の頻 度で更新する必要がある。 バージョン 3 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 19 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) 60 実装前のシステム コンポーネントのテスト、評価、および 承認。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 61 62 サプライヤーが業務の一環として開発するソフトウェアは Microsoft の Security Development Lifecycle (SDL) を遵守している 必要がある。詳細は http://www.microsoft.com/sdl を参照。 セキュリティ問題にかかわるクレームとリクエストの解決。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 63 エラー、不作為、セキュリティ違反、その他のインシデント の処理。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 64 システムに対する実際の攻撃または侵入を検知したり、セキ ュリティ対策を事前にテストする手順 (侵入テストなど)。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> バージョン 3 ページ | 20 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) 65 セキュリティ ポリシーをサポートするトレーニングとその他 のリソースの割り当て。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 66 例外、およびシステム内では対応されていない状態を処理す る場合の規定。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 67 障害復旧計画と関連テスト。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 68 定義済みコミットメント、サービス レベル契約、その他の契 約を確認し、それらと整合をとるための規定。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 69 ユーザー、経営幹部、および第三者が、個人情報のセキュリ ティに関連するプライバシーのポリシーと手順に対するそれ ぞれの理解度とコンプライアンス契約を (最初および年 1 回) 確認するという要件。 バージョン 3 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 21 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) 70 認証 サプライヤーは、Microsoft 個人情報または Microsoft 機密情報 にアクセスできる権限を付与する前に、その個人を認証する 必要がある。 サプライヤーにより使用される認証プロセスでは、個 人情報にオンラインでアクセスするために一意の UD とパスワードの使用が必要となる。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> オンライン認証の場合、サプライヤーは次のことを行う必要 がある。 71 Microsoft アカウントを使用する (可能な場合)。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 72 個人に一意の ID とパスワード (または同等のもの) を使用するよ う求める。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 電話認証の場合、サプライヤーは次のことを行う必要がある。 73 ユーザーに連絡先情報を検証してもらい、可能であれば、1 種 類以上の一意な情報 (UPC コード、コンテスト名など) を提供し てもらう。 電話認証プロセスには、連絡先情報とその個人のみが 知り得る一意の情報の、当人による検証が含まれる。 バージョン 3 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 22 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) 74 サプライヤー従業員による MICROSOFT 個人情報へのアク セス サプライヤーは、Microsoft 個人情報へのアクセスを、業務上そ のアクセスを必要とするサプライヤーの従業員に限定する必要 がある。. 75 サプライヤーは、Microsoft プログラムでの作業が必要なくなっ たユーザーに対して、プログラムから退出したユーザーについ ては 24 時間以内に、強制退出の場合は 2 時間以内に、ネットワ ークとその他すべてのサポート アカウントを無効にする必要が ある。 個人情報へのアクセスに業務上正当なニーズがあるかど うかに基づいて、サプライヤーの従業員によるアクセスを 許可するシステムとプロセスが用意されている。 これらのシステムと手順には、内部または外部のアクセ ス、メディア、紙、テクノロジ プラットフォーム、バックアップ メディアも含まれている必要がある。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> MICROSOFT 個人情報の破棄 Microsoft 個人情報の破棄が必要な場合、サプライヤーは次のこ とを行う必要がある。 76 Microsoft 個人情報を読み取ったり、回復したりできなくなるよ うに、その情報が格納された物理資産を焼却、 サプライヤーは、データを読み取れないように、また は回復できないように物理資産を適切に破棄している ことを実証する必要がある。 粉砕、切断する。 バージョン 3 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 23 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) 77 Microsoft 個人情報を読み取ったり、回復したりできなくなるよ うに、その情報が格納されたデジタル資産を破棄または消去す る。 79 <Does not Apply> <Legal Conflict> <Contract Conflict> サプライヤーは以下のことを行う必要がある。 インターネットまたはその他のパブリック ネットワー ク経由で転送される個人情報を保護するシステムと手 順が用意されている必要がある。 Microsoft 情報の転送用、および送信者/受信者の認証用に業界標 準の暗号化規格である SSL、TLS、または IPsec を導入する。 監督官庁の規制 (HIPPA、GLBA、PCI など) によっては、デー タ転送に固有の要件がある。 <Compliant> <Not Compliant> SSL 証明書は、有効期限が切れる前に新しい SSL 証明書 をインストールするようにして、適切に管理する。 <Does not Apply> <Legal Conflict> <Contract Conflict> デジタル資産の保護 78 <Compliant> <Not Compliant> Bitlocker または同等の業界認定規格を、Microsoft 情報が格納さ れるすべてのラップトップに採用する。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 80 以下のタイプの Microsoft 個人情報を格納する際、現在の業界標準 に対応した強力な暗号化対称/非対称アルゴリズムを採用する。この 要件は、USB ドライブ、携帯電話、バックアップ デバイスまたはメディ アなどのポータブル デバイスにも適用される。 a. 政府発行の身分証明番号 (社会保障番号、運転免許証 番号など) b. 口座番号 (クレジット カード番号、銀行口座番号など) c. 医療データ (医療記録番号、生体認証など) 保管されている政府発行の身分証明番号、口座番号、医 療情報を暗号化するシステムと手順が用意されている。 バージョン 3 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 24 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) 81 暗号化転送により送信される Microsoft 情報のみ受け入れる。 サプライヤーは、暗号化されずに転送された個人情報 を拒否する必要がある。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 82 83 違反、および Microsoft 個人情報が格納されているシステムへ の不正アクセス行為があれば、直ちに調査する。 上級サプライヤー幹部と Microsoft に調査結果を迅速に伝える 。 違反または不正アクセス行為を調査するシステムとプ ロセスが 用意されている。 調査結果を Microsoft に伝えるためのシステムとプロ セスが用意されている。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 84 受け入れるカードに対する適用可能なクレジット カード処理 規格を遵守する。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 物理資産の保護 サプライヤーは以下のことを行う必要がある。 85 Microsoft 個人情報をアクセス管理された環境に保管する。 個人情報のデジタル、ハード コピー、アーカイブ、バ ックアップ コピーへの物理アクセスを管理するための システムとプロセスが 用意されている。 バージョン 3 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 25 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) 86 Microsoft 個人情報を安全に転送する。 転送中、個人情報が含まれる物理資産を適切に保護するた めのシステムとプロセスが用意されている。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 87 障害復旧 サプライヤーは、バックアップ計画プロセスおよび障害復旧 計画プロセスを用意して、Microsoft 個人情報および Microsoft 機密情報を不正な使用、アクセス、開示、変更、 破壊から保護する必要がある。 テストと監査 サプライヤーは以下のことを行う必要がある。 88 89 Microsoft 個人情報を保護する重要な安全対策の効果を定期 的にテストする。 セキュリティ管理に対する独立監査を定期的に実施する。 障害発生時に、Microsoft 個人情報および Microsoft 機密情報 を破壊、変更、開示、不正使用、不正アクセスから保護するた めのシステムとプロセスが用意されている。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 必要なテストの頻度は、サプライヤーの業務の規模と複雑 さによって異なる。 テスト結果により欠陥が特定できたとき、システム、ポリ シー、および手順を修正できるように、テストとテスト結 果のドキュメントが必要である。 MS 契約条項により必要とされる場合、契約条項に従って セキュリティ監査を実施する必要がある。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> バージョン 3 ページ | 26 Microsoft 社外秘 Supplier Security and Privacy Assurance (SSPA) 90 要請があった場合に Microsoft がこの監査結果を使用できる ようにする。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 91 92 少なくとも年に 1 回、障害復旧計画と代替計画を文書化およ びテストして、その有効性を確認する。 サプライヤーは、バックアップ頻度を指定するバックアッ プ ポリシーを文書化している必要がある。バックアップは セキュリティで保護された場所に保管しておく必要がある 。バックアップは、実際の復元処理により、定期的にテス トする必要がある。 セキュリティ侵入検査を含む脅威および脆弱性のテストを定 期的に実施する。 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> 93 開発環境またはテスト環境で使用される Microsoft 個人情報 はすべて匿名化する。 Microsoft 個人情報は開発環境やテスト環境ではできる限り 使用しないようにする。それ以外に選択肢がない場合、個 人の特定または個人情報の不正使用を回避するため、十分 に匿名化する必要がある。 バージョン 3 <Compliant> <Not Compliant> <Does not Apply> <Legal Conflict> <Contract Conflict> ページ | 27 Microsoft 社外秘