セッション番号 3-e 最新 ICT で実現するワークスタイル変 の威 クラウドと法対応 マイクロソフトの法務コンプライアンス対応とサービス品質へのこだわり 本マイクロソフト株式会社法務 政策企画統括本部法務本部業務執 役員本部 聡 本マイクロソフト株式会社社 室コーポレートリスクマネジメントマネージャー久保 成 本マイクロソフト株式会社社 室チーフクオリティオフィサー越川慎司
本 の内容 クラウド検討時の三 不安要素 法務 不安払しょくのためのマイクロソフトの取り組み 品質 コンプラ イアンス
1 最新 ICT で実現するワークスタイル変 の威 海外データセンター利 時の法務リスクとその考え 本マイクロソフト株式会社法務 政策企画統括本部法務本部業務執 役員本部 聡
よくある法務リスクに関するご質問 国愛国者法 個 情報保護と プライバシー セキュリティ 輸出管理 契約条項上の問題
海外政府機関等によるデータアクセス 国愛国者法に対する懸念と誤解 通常の企業活動を う限り 適 リスクはほぼありません データセンターごと押えられるリスクはほぼありません グローバル企業では 織り込み済みのリスクともいえます 他国法制度との 較においてもリスクは特段 くありません お客様からの直接開 が基本 MS から任意の開 はしません MS からの開 の際は原則としてお客様への通知をします
海外政府機関等によるデータアクセス情報
個 情報保護とプライバシー セキュリティ 個 情報保護法との関係 海外データセンター利 の場合 EU データ保護指令との関係 RFI に対する標準的なレスポンス Cloud Security Alliance (CSA) による Cloud Control Matrix (CCM) の諸要件について解説 (50 ページ )
輸出管理 外国為替及び外国貿易法 ( 外為法 ) お客様の業務内容によっては 海外ベンダーのクラウドサービスの利 体が輸出許可の対象になることがあるとの指摘 輸出管理に関する法令遵守は究極的にはお客様の責任となりますので MS の運 を 分ご理解いただいた上で ご判断いただく必要があります 原則 マイクロソフトがお客様のデータにアクセスすることはありません 個別的かつ最適な解決のためのご協
Office 365 セキュリティセンターによる情報提供
契約条項上の問題 利 契約の準拠法 および裁判管轄 本法を準拠法 東京地 裁判所を合意管轄としています 内容的なチェックポイント データのオーナーシップ 責任制限 損害賠償額の上限規定 契約終了時のデータの取扱い 参照されるその他の規約 契約条項等
2 最新 ICT で実現するワークスタイル変 の威 マイクロソフトのコンプライアンスの取り組みについての事例 本マイクロソフト株式会社社 室コーポレートリスクマネジメントマネージャー久保 成
コンプライアンスとは? 法令遵守 : Legal Compliance (+ Business Practice) 法令 商習慣から派 した取り決めも含まれる 企業統治 : Governance (Business Ethic) > Information Security / Data Privacy 社 多くのステークホルダーが存在するなかでのビジネスにおいて 社のコンプライアンスは担保できるか? 政 府 顧客 取引 先
本国内における状況 ( 個 情報保護法を例として ) 個 情報保護法 個 情報保護法にて 企業に対し個 情報管理を 省庁ガイドライン各省庁が個 情報保護ガ 業界基準や 社ポリシー 規制の三重構造 義務付ける 法律は Principle であるため 詳細は各省庁ガイドラインで定められている イドラインを策定し 管轄する企業を指導する ( 融庁や総務省が厳しいガイドラインを策定 ) 企業は監督官庁から注意を受けないように 社ポリシーを策定する 法令遵守を確実にするため クライアントからの要求 厳格な内容にすることが 多い 加えて 欧州 国をはじめとして Enforcement が強くなってきている 他国法令も遵守できるか?
源流としての Trustworthy Computing 2002 年 1 にビル ゲイツが Trustworthy Computing ( 信頼できるコンピューティング ) を宣 : 部 を設置し 各国に担当者を配置 セキュリティ プライバシー 製品仕様各国法令遵守 信頼性 TWC 設計思想 社員義務 + ビジネスプラクティス 業界リーダー
実務的な話 個 情報保護法第 22 条 個 情報取扱事業者は 個 データの取扱いの全部 は 部を委託する場合は その取扱いを委託された個 データの安全管理が図られるよう 委託を受けた者に対する必要かつ適切な監督を わなければならない 2005 年 4 1 から全 施 2005 年より前から個 情報を扱うビジネスは存在していた 今後も後から法令が出てくる可能性がある マイクロソフトでの対応業務委託先をどのように管理していけば良いのかを検討し 国 カナダの公認会計 協会と データ保護要件 を策定し それを担保するためのプログラム (VPA: Vendor Privacy Assurance) を2003 年に定める
例 ) 段階以上の業務委託 データ保護要件 (Microsoft VPA) 教育と管理 Management A 本 への通知 Notice B 同意の取得 Choice and Consent C 取得 Collection D 利 と保管 Use and Retention E 開 等の要求 Access F 再委託と第三者提供 Disclosure to Third Party G 情報セキュリティ Security H 品質 Quality I 監視と実施 Monitoring and Enforcement J 本のお客様 Client Microsoft 契約で担保される 1 組織的安全管理措置個 データの安全管理措置を講じるための組織体制の整備個 データの安全管理措置を定める規程等の整備と規程等に従った運 個 データの取扱い状況を 覧できる 段の整備個 データの安全管理措置の評価 直し及び改善 事故 は違反への対処 A H r) 運 H a) H j) k) 委託先 ( 再委託 ) Supplier VPA ( 主規制 ) 2
配慮原則を忠実に 主規制 (VPA) Local Regulations 差分を 出し 各国において適切な状況となるよう 国本社と協議する 各国の法務担当者 プライバシー担当者を置き 各国の法令を順守する体制を整備している クラウドの進化と共に ビジネスもグローバル化が加速
マイクロソフトにおける BYOD の判断の仕
まとめ Trustworthy Computing の歴史より 社のために注 してきたレベルをお客様にも提供 変わり続ける法規制 変化を察知し 戦い続ける覚悟を持つ 世界への進出に向けて 世界各国の状況を から把握するのは きなリソースが必要
3 最新 ICT で実現するワークスタイル変 の威 世界規模のクラウドサービスを えるデータセンターのオペレーション改善 本マイクロソフト株式会社社 室チーフクオリティオフィサー越川慎司
クラウドインフラの提供 データセンター設計 建設 運営 世界規模のキャパシティモジュラー戦略 グローバルネットワーク光ファイバー オペレーションセンター MOC / Global Ticketing セキュリティとコンプライアンススタンダードと認証 ツールと 動化ユーティリティプライシング
Video
最 のオペレーショナルを実現する為に 投 資 オペレーション クラウドインフラへの投資を 5 年連続で倍増 ( これまでに $15B+) 400 以上のサービスを毎 24 時間体制で提供 70 を超える世界のデータセンター 顧客データを複数拠点で複製 SLA 保障可 性 99.9% 実稼働 99.99% 以上を実現 24 時間体制で冗 化されたオペレーションセンター コスト報告の標準化 クラウドインフラに従事するエンジニアリングとオペレーションに 2,000 以上 クラウド関連のエンジニアは 3 万 以上 安全で適正なインフラ 環境への配慮電 使 効率 (PUE) は 1.25 Copyright Microsoft Corporation. All rights reserved, NDA customers only
データセンターのさらなる拡張 クインシー シカゴ ダブリン アムステルダム 本 アイオワ バージニア 港 サンアントニオ シンガポール Multiple global CDN locations Quincy, Washington 27MW 100% Hydro power San Antonio, Texas 27MW Recycled water for cooling Chicago, Illinois Up to 60MW Water side economization, Containers Dublin, Ireland Up to 50MW Outside air cooling, PODs 社会の電源基地として データセンターは必須になる Data Centers have become as vital to the functioning of society as power stations." The Economist
パフォーマンス改善 2012年12 世界 欧州エリア < 30ms 31-50ms 51-75ms 76-100ms > 100ms 北 エリア
オペレーションエクセレンスのドライブ 投資 150 億ドル以上の投資をクラウドインフラに実施業界最 準を誇るデータセンターグローバルで最 のネットワークのひとつ地理的冗 性を持ったお客様データ Office 365 Windows Azure の配置 2,000 以上をクラウドインフラの開発とオペレーションに配属 30,000 以上のソフトウェアエンジニアがクラウドの活動に従事 酸化炭素排出量の削減 Power Usage Effectiveness (PUE) 1.12-1.20
可 性改善に向けた体系的なアプローチ
動復旧のネットワークへ ~Office 365 Exchange R6 プロジェクト BPOS/Office 365 アクティブスタンバイネットワーク構成 Office 365 R6 アクティブアクティブネットワーク構成 次世代 Office 365: さらに単純化へ ( ソフトウェアによる冗 化 )
本品質をグローバルスタンダードに 国本社との密な関係を維持し 本品質の実現へ 本の Chief Quality Officer が世界の品質向上プロジェクトに参画 改善を える形に 可 性データによる進捗確認 お客様満 度調査による進捗確認 情報基盤を える企業としての使命と責任 Copyright Microsoft Corporation. All rights reserved
2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.