ナビゲーションをスキップする

Azure でのデータ所在地

Azure には、他のクラウド プロバイダーよりも多くのグローバル リージョンがあります。お客様のアプリを世界中のユーザーに近い場所に配置するために必要な、スケールおよびデータ所在地のオプションが用意されています。

お客様は、Azure サービスでの保存とホスティングのためにお客様が提供するコンテンツや個人およびその他のデータである顧客データの所有権を保持します。お客様がソリューションをデプロイしたり、データをレプリケートしたりする対象に選んだその他のすべての地域も、お客様が管理します。

サービスの機能でグローバル データ レプリケーションが必要な場合は、詳細が以下に記載されています。

  • Microsoft では、多層的なセキュリティと暗号化プロトコルを使用してお客様のデータを保護しています。Microsoft が暗号化を使用してお客様のデータを保護する方法の概要をご覧ください

    既定では、Microsoft マネージド キーによってお客様のデータが保護され、どの物理メディアで保持される顧客データも FIPS 140-2 準拠の暗号化プロトコルを使用して常に暗号化されます。お客様は、データ保護を強化するために、カスタマー マネージド キー (CMK)、二重暗号化、ハードウェア セキュリティ モジュール (HSM) を採用することもできます。

    データセンター間を移動するすべてのデータ トラフィックは IEEE 802.1AE MAC Security Standardsを使用して保護されるため、物理的な "中間者" 攻撃を防ぐことができます。回復性を維持するために、Microsoft では 地域の境界を越える場合がある不定のネットワーク パスが使用されますが、リージョン間での顧客データのレプリケーションは、常に暗号化されたネットワーク接続経由で送信されます。

    さらに、プライバシーのリスクを最小限に抑えるために、Microsoft によって仮名識別子が作成されます。これにより、Microsoft はグローバル クラウド サービス (サービスの運用と向上、請求、不正防止を含む) を提供できます。いかなる場合でも、仮名識別子を使用して個人を直接特定することはできませんし、個人を識別できる顧客データへのアクセスは、前述のように常に保護されています。

  • Azure のすべてのサービスが、GDPR に準拠して使用できます。Azure のサービスを使用しているお客様が個人データを含むコンテンツを境界を越えて転送する場合は、そのような転送に適用される法的要件を考慮する必要があります。Microsoft では、お客様の業務に適用される可能性がある GDPR の要件に準拠するのに役立つサービスとリソースをお客様に提供しています。

    Microsoft の一部のオンライン サービスでは、代理処理者としての役割を担う第三者とデータが共有されます。公開されているMicrosoft オンライン サービス代理処理者リストには、顧客データまたは個人データを処理することが許可されている代理処理者が明記されています。このようなすべての代理処理者には、Microsoft がお客様に対して約束する契約上の確約を果たすか超えることが、契約によって義務付けられています。

    Microsoft はいかなる第三者にも以下を提供しません: (a) お客様のデータに対する直接的、全面的、または自由なアクセス、(b) データの保護に使用されるプラットフォーム暗号化キー、またはそうした暗号化を解除する機能、(c) 第三者の要求で示された目的以外にデータが使用されることを Microsoft が認識している場合にはそのデータへのアクセス。政府の要求との関連による顧客データの法的開示に対する Microsoft の取り組みの詳細については、こちらをご覧ください

ほとんどの Azure サービスでは、お客様の顧客データが保存および処理されるリージョンをお客様が指定することができます。データの回復性のために Microsoft によって他のリージョンにレプリケートされる場合がありますが、選択された geo の外部で顧客データが保存または処理されることはありません。お客様、そしてお客様のユーザーは、あらゆる場所からグローバルに顧客データを移動、コピーしたり、またはアクセスしたりすることができます。

顧客データの場所に関する詳細情報

リージョン サービスのデータ ストレージ

ほとんどの Azure サービスはリージョンごとにデプロイされ、お客様はサービスがデプロイされるリージョンを指定することができます。このような Azure サービスの例としては、仮想マシン、ストレージ、SQL Database などがあります。リージョンごとのサービスの詳細については、リージョン別の利用可能な製品をご覧ください。

Microsoft では、お客様の承認なく、お客様が指定した geo の外部で顧客データを保存または処理することはありません。

Microsoft では、データの冗長性または他の運用上の目的のために、特定の geo 内のリージョン間で顧客データをコピーする場合があります。たとえば、geo 冗長ストレージにおいては、データセンターの大規模災害に備えてデータの持続性を向上させるために、BLOB、ファイル、キュー、テーブル データが同じ geo 内の 2 つのリージョン間でレプリケートされます。

geo の外部の Microsoft の担当者 (代理処理者を含む) は、geo 内のデータ処理システムをリモートで操作できますが、お客様の承認なしに顧客データにアクセスすることはありません。

次のサービスでは、指定された geo の外部で特定のデータが格納または処理される場合があります。

  • Azure Cloud Services。デプロイされているリージョンに関係なく、Web および worker ロール ソフトウェアのデプロイ パッケージが米国にバックアップされます。
  • Azure Data Explorer (ADX) では、一部の使用状況データとサービス トレースが、EU にある中央クラスターに期間限定で保存されます。
  • Language Understanding。お客様が使用するオーサリング リージョンに基づいて、米国、ヨーロッパ、またはオーストラリアにアクティブな学習データを保存する場合があります。詳細情報
  • Azure Machine Learning では、顧客が提供する自由形式のアセット名のテキスト (ワークスペースの名前、リソース グループの名前、実験の名前、ファイルの名前、画像の名前など) や実験パラメーター (別名: 実験メタデータ) が、デバッグの目的で米国に保存される場合があります。
  • Azure Databricks。ID データ、特定のテーブル名、オブジェクトのパス情報が米国に保存されます。
  • Azure シリアル コンソール。お客様が選択した geo にすべての顧客保存データが格納されますが、Azure portal を介して使用された場合は、portal 内でコンソール エクスペリエンスを提供することだけを目的として、geo の外部でコンソール コマンドと応答が処理される場合があります。
  • 通常はお客様のデータを米国内に格納するが全世界にも格納できる、プレビュー、ベータまたはその他のプレリリース サービス。

お客様は、1 つのリージョンにのみ顧客データを保存するように、以下の Azure サービス、レベル、またはプランを構成することができます。

1既定では、単一のリージョン データ所在地は、アジア太平洋 geo の東南アジア リージョン (シンガポール) とブラジル geo のブラジル南部 (サンパウロ州) リージョンでのみ提供されています。その他のすべてのリージョンでは、顧客データは geo 内に格納されます。

2既定では、単一のリージョン データ所在地は、アジア太平洋 geo の東南アジア リージョン (シンガポール) でのみ提供されています。その他のすべてのリージョンでは、顧客データは geo 内に格納されます。

3顧客データを 1 つのリージョンに格納できるようにするプレビュー機能は現在、アジア太平洋 geo の東南アジア リージョン (シンガポール) とブラジル南部 (サンパウロ州) リージョンで使用できます。その他のすべてのリージョンでは、顧客データは geo 内に格納されます。

4Azure Databricks の場合、ID データ、特定のテーブル名、オブジェクトのパス情報は米国に保存されます。その他すべての顧客データを 1 つのリージョンに格納できるようにする機能は現在、アジア太平洋 geo の東南アジア リージョン (シンガポール) とブラジル geo のブラジル南部 (サンパウロ州) リージョンで使用できます。その他のすべてのリージョンでは、顧客データは geo に格納されます (前述の例外に従います)。

5ZRS Classic、GRS/RA-GRS、GZRS/RA-GZRS では、データは複数のリージョンに格納されます。

非リージョン サービスのデータ ストレージ

一部の Azure サービスでは、サービスをデプロイするリージョンをお客様が指定することができません。特に指定がない限り、これらのサービスによって顧客データが Azure パブリック リージョン内の任意の Microsoft データセンターで保存または処理される可能性があります。

  • Azure Content Delivery Network。グローバル キャッシュ サービスを提供し、世界中のエッジ ロケーションに顧客データを保存します。Azure CDN POP locations by region.
  • Azure Active Directory (Azure AD)。Azure AD データをグローバルに格納できます。これは、Azure AD の米国内のデプロイ (Azure AD データは米国内にのみ保存される) およびヨーロッパ内のデプロイ (Azure AD データはヨーロッパまたは米国内に保存される) には適用されません。詳細情報
  • 認証データが米国内に格納される Azure Multi-Factor Authentication。詳細情報
  • 顧客リソース (仮想マシンや Azure AD テナントなど) から収集、または関連付けられたセキュリティ関連の顧客データのコピーを格納する可能性がある Microsoft Defender for Cloud:

    (a) そのリソースと同じ地域にある場合、Microsoft が Microsoft Defender for Cloud をまだデプロイしていない地域を除き、そのようなデータのコピーは米国に保存されます; そして

    (b) Microsoft Defender for Cloud が別の Microsoft Online Service を使用してこのようなデータを処理する場合、その他のオンライン サービスにおける位置情報に関する規則に従って、このようなデータを保存する場合があります。

  • Microsoft Defender for IoT は、セキュリティ関連の顧客データを処理するために他の Microsoft Online Services を使用する場合があり、このデータは、他のオンライン サービスの位置情報ルールに従って保存される場合があります。
  • グローバルなルーティング機能を提供し、それ自体では顧客データを処理または保存しないサービス。この例としては、異なるリージョン間の負荷分散を提供する Azure Traffic Manager や、別のリージョンにルーティングするドメイン名サービスを提供する Azure DNS があります。

非リージョン サービスの完全な一覧については、リージョン別の利用可能な製品をご覧いただき、[非リージョン] を選択してください。

どのようなご用件ですか?