この記事では、Microsoft Security Copilotが顧客データを処理、保存、保護する方法について説明します。 重要なデータ所在地の動作、セキュリティとプライバシーに関するコミットメント、適格性に関する考慮事項、保持プラクティス、microsoft のポリシーと業界の規制に準拠Security Copilot方法について説明します。
FAQ
Security Copilot の Microsoft 365 E5 におけるデータ処理ポリシーとは何ですか?
既存のすべての Security Copilot の顧客のデータ ストレージと処理は、現在のワークスペースが存在する場所で続行されます。 詳細については、「Microsoft Security Copilot のプライバシーとデータ セキュリティ」をご覧ください。
現時点では、組織で Security Copilot を無効にすることを選択できますか?
既存の顧客は、Security Copilot 容量を削除できます。 詳細については、「Security Copilot を使用して容量を削除する」を参照してください。
現在 Microsoft 365 E5 を通じて Security Copilot にアクセスできない顧客には、Microsoft 365 E5 ライセンスが含まれ次第、詳細が共有されます。
顧客データは Azure OpenAI サービスの基礎モデルのトレーニングに使用されますか?
いいえ、顧客データは Azure OpenAI Service 基盤モデルのトレーニングには使用されません。このコミットメントは製品の使用条件に文書化されています。 Security Copilot のコンテキストでのデータ共有の詳細については、プライバシーとデータ セキュリティに関する記事をご覧ください。
EU 市場向け GDPR ガイダンスとは何ですか?
Microsoft は、セキュリティ違反通知法やデータ保護の要件 (Microsoft DPA で定義されている) を含む、製品とサービスの提供に適用されるすべての法令を遵守します。 ただし、Microsoft は、お客様またはお客様の業界に適用され、情報技術サービス プロバイダーには一般的に適用されない法律や規制の遵守については責任を負いません。 Microsoft は、お客様のデータに特定の法律または規制の対象となる情報が含まれているかどうかを判断しません。 詳細については、「Microsoft 製品とサービス データ保護に関する補遺 (DPA)」をご覧ください。
米国政府機関クラウド (GCC) の顧客は対象ですか?
現時点では、Security Copilot は、GCC、GCC High、DoD、Microsoft Azure Government を含む (ただしこれらに限定されない) 米国政府のクラウドを使用しているお客様向けには設計されていません。 詳細については、Microsoft の担当者にご相談ください。
米国とカナダの医療機関顧客は対象ですか?
米国とカナダの HLS のお客様は、Security Copilot を購入する資格があります。 Microsoft Security Copilot は現在、事業提携契約 ("BAA") の対象として記載されています。これは、HIPAA の規制の対象となる医療提供者にとって重要です。 Microsoft Security Copilot に関して、現在カバー対象となっているコンプライアンス オファリングの詳細については、Service Trust Portal をご覧ください。
Security Copilot からデータをエクスポートまたは削除するにはどうすればよいですか?
サポートにお問い合わせください。 詳細については、「サポートに問い合わせる」をご覧ください。
データ保護とプライバシーに関する詳細情報はどこで確認できますか?
詳細については、「Microsoft トラスト センター」をご覧ください。
Azure OpenAI Service の行動規範には、"責任ある AI 軽減要件" が含まれています。 これらの要件は、Security Copilot の顧客にどのように適用されますか?
Security Copilot はこれらの軽減策を実装しているため、これらの要件は Security Copilot のお客様には適用されません。
Microsoft Copilot が Microsoft テナントにデータを転送するのはなぜですか?
Microsoft Copilot は、Azure 運用テナントで実行される SaaS (サービスとしてのソフトウェア) オファリングです。 ユーザーはプロンプトを入力し、Security Copilot は Microsoft Defender XDR、Microsoft Sentinel、Microsoft Intune などの他の製品から得た分析情報に基づいて応答を提供します。 Security Copilot には、ユーザーの過去のプロンプトと応答が保存されます。 ユーザーは、製品内エクスペリエンスを使用して、プロンプトと応答にアクセスできます。 お客様からのデータは、他のお客様のデータから論理的に分離されます。 このデータは Azure 運用テナントから離れず、お客様が削除または製品からのオフボードを求めるまで保存されます。
転送されたデータは、転送中と保存時にどのように保護されますか?
データは、転送中も保存時も暗号化されます。これは「Microsoft 製品とサービス データ保護に関する補遺」で説明されています。
転送されたデータは、不正アクセスからどのように保護されますか? また、このシナリオでどのようなテストが行われましたか?
既定では、人間のユーザーはデータベースにアクセスできず、ネットワーク アクセスは Microsoft Copilot アプリケーションがデプロイされているプライベート ネットワークに制限されます。 ユーザーがインシデントに対応するためにアクセスを必要とする場合、オンコール エンジニアは、承認された Microsoft 従業員によって承認された昇格されたアクセスとネットワーク アクセスを必要とします。
通常の機能テストとは別に、Microsoft は侵入テストも完了しました。 Microsoft Security Copilot は、Microsoft のプライバシー、セキュリティ、コンプライアンスのすべての要件に準拠しています。
"マイ セッション" で個々のセッションが削除されると、セッション データはどうなりますか?
セッション データは、(サービスを操作するために) 実行時を目的として保存され、ログにも保存されます。 ランタイム データベースで、製品内 UX を介してセッションが削除されると、そのセッションに関連付けられているすべてのデータが削除済みとしてマークされ、有効期間 (TTL) が 30 日に設定されます。 その TTL が終了すると、クエリはそのデータにアクセスできなくなります。 その期間を過ぎると、バックグラウンド プロセスでデータが物理的に削除されます。 "ライブ" ランタイム データベースに加えて、定期的なデータベース バックアップがあります。 バックアップは期限切れになります。有効期間は短く設定されています (現在は 4 日間)。
セッション データを含むログは、製品内 UX を介してセッションが削除された場合には影響を受けません。 これらのログの保持期間は最大 90 日です。
Security Copilot に適用される製品使用条件は何ですか? Security Copilot は、Microsoft の製品使用条件の意味において "Microsoft 生成 AI サービス" ですか?
次の製品使用条件は、Security Copilot のお客様に適用されます。
製品使用条件におけるオンライン サービス条件のユニバーサル ライセンス条項。これには、Microsoft 生成 AI サービスの使用条件と顧客著作権コミットメントが含まれます。
Microsoft 製品使用条件のプライバシーおよびセキュリティ規約。これには、データ保護補遺が含まれます。
Security Copilot は、製品使用条件の定義内の生成 AI サービスです。 また、Security Copilot は、顧客著作権コミットメントを目的とした "カバー製品" です。 現時点では、製品使用条件に Security Copilot に固有の製品使用条件はありません。
製品使用条件に加えて、お客様の MBSA/EA および MCA 契約なども、当事者の関係に適用されます。 お客様に Microsoft との契約について具体的な質問がある場合は、取引をサポートする CE、取引マネージャー、または地元の CELA に問い合わせることができます。
Microsoft Copilot 著作権コミットメントとは何ですか?
Microsoft 顧客著作権コミットメントは、Microsoft の既存の知的財産権補償サポートを特定の商用 Copilot サービスに拡張する新しいコミットメントです。 顧客著作権コミットメントは、Security Copilot に適用されます。 第三者が、Microsoft の Copilots またはそれが生成する出力の使用による著作権侵害で法人顧客を訴えた場合、顧客が当社製品に組み込まれているガードレールとコンテンツ フィルターを使用している限り、Microsoft は顧客を弁護し、訴訟の結果として生じる不利な判決または和解の金額を支払います。
Security Copilot の顧客は、Azure OpenAI サービスの不正使用の監視からオプトアウトできますか? Security Copilot は、コンテンツのフィルター処理や不正使用の監視に関与しますか?
Azure OpenAI の不正使用の監視は、現在、サービス全体ですべてのお客様に対して無効になっています。
Security Copilot は、データ処理またはデータ所在地に関して、何らかのコミットメントを行っていますか?
お客様データの保存場所および処理に関する詳細については、プライバシーとデータ セキュリティに関するページを参照してください。
Security Copilot は Microsoft の EU データ境界サービスですか?
一般提供の時点では、すべての Microsoft Security サービスは EU データ所在地の要件の範囲外であり、Security Copilot は EUDB サービスとして記載されません。
EU 顧客データはどこに保存されますか?
Security Copilot は、ユーザー プロンプトや Microsoft Entra オブジェクト ID などの顧客データと個人データをテナント地域に保存します。 お客様が EU でテナントをプロビジョニングし、データ共有をオプトインしていない場合、すべての顧客データと仮名化された個人データは EU 内で保存されます。 顧客データと個人データのプロンプトの処理は、指定されたセキュリティ GPU Geo で行うことができます。 Security GPU 地域の選択の詳細については、「Microsoft Security Copilot の使用を開始する」をご覧ください。 顧客がデータ共有にオプトインしている場合、プロンプトを EU データ境界の外部に保存できます。 データ共有の詳細については、プライバシーとデータのセキュリティに関するページを参照してください。
顧客からのプロンプト (顧客からの入力コンテンツなど) は、DPA および製品使用条件内で顧客データと見なされますか?
はい。顧客プロンプトは顧客データと見なされます。 製品使用条件では、顧客のプロンプトは入力と見なされます。 入力は、"出力を生成またはカスタマイズするために、顧客が提供、指定、選択、または入力し、生成人工知能テクノロジに使用させるすべての顧客データ" と定義されます。
"出力コンテンツ" は、DPA および製品使用条件内で顧客データと見なされますか?
はい。製品使用条件のもとで、出力コンテンツは顧客データです。
Security Copilot の透過性に関するメモまたはドキュメントはありますか?
はい。責任ある AI の透明性に関するドキュメントは、こちらで確認できます: 責任ある AI に関する FAQ。
Microsoft Security Copilot のコンプライアンス オファリングとは何ですか?
Microsoft Security Copilot は、広範な業界認定によって実証されているように、最高レベルのセキュリティ、プライバシー、オペレーショナル エクセレンスを維持することに専念しています。 これには、情報セキュリティ管理用の ISO 27001、クラウド内の個人データを保護するための ISO 27018、クラウド固有のセキュリティ制御の ISO 27017、プライバシー情報管理用の ISO 27701 が含まれます。
さらに、Security Copilot は、IT サービスマネジメントの ISO 20000-1、品質管理の ISO 9001、事業継続性管理の ISO 22301 の認証を取得しています。 また、セキュリティ、可用性、機密性に関する SOC2 要件にも準拠しており、安全で信頼性の高いサービスを提供するという当社のコミットメントを強調しています。 医療関連サービスの場合、Security Copilot は HiTrust CSF フレームワークの下で認定され、セキュリティとコンプライアンスの姿勢をさらに強化し、HIPAA 事業提携契約 (BAA) によってカバーされ、医療規制の遵守と機密性の高い医療情報の保護が保証されます。
Microsoft Security Copilot で現在カバーされているコンプライアンス オファリングの詳細は、Service Trust Portal をご覧ください。