Azure でのデータ所在地

Azure には、他のクラウド プロバイダーよりも多くのグローバル リージョンがあります。お客様のアプリを世界中のユーザーに近い場所に配置するために必要な、スケールおよびデータ所在地のオプションが用意されています。

お客様は、Azure サービスでの保存とホスティングのためにお客様が提供するコンテンツや個人およびその他のデータである顧客データの所有権を保持します。特定の非リージョン サービスを除き、お客様が指定した地域の外で顧客データが Microsoft によって保存または処理されることはありません。お客様がソリューションをデプロイしたり、データをレプリケートしたりする対象に選んだその他のすべての地域も、お客様が管理します。

サービスの機能でグローバル データ レプリケーションが必要な場合は、詳細が以下に記載されています。

  • Microsoft では、多層的なセキュリティと暗号化プロトコルを使用してお客様のデータを保護しています。Microsoft が暗号化を使用してお客様のデータを保護する方法の概要をご覧ください

    既定では、Microsoft マネージド キーによってお客様のデータが保護され、どの物理メディアで保持される顧客データも FIPS 140-2 準拠の暗号化プロトコルを使用して常に暗号化されます。お客様は、データ保護を強化するために、カスタマー マネージド キー (CMK)、二重暗号化、ハードウェア セキュリティ モジュール (HSM) を採用することもできます。

    データセンター間を移動するすべてのデータ トラフィックは IEEE 802.1AE MAC セキュリティ標準を使用して保護されるため、物理的な "中間者" 攻撃を防ぐことができます。回復性を維持するために、Microsoft では geo の境界を越える場合がある不定のネットワーク パスが使用されますが、リージョン間での顧客データのレプリケーションは、常に暗号化されたネットワーク接続経由で送信されます。

    さらに、プライバシーのリスクを最小限に抑えるために、Microsoft によって仮名識別子が作成されます。これにより、Microsoft はグローバル クラウド サービス (サービスの運用と向上、請求、不正防止を含む) を提供できます。いかなる場合でも、仮名識別子を使用して個人を直接特定することはできませんし、個人を識別できる顧客データへのアクセスは、前述のように常に保護されています。

  • Azure のすべてのサービスが、GDPR に準拠して使用できます。Azure のサービスを使用しているお客様が個人データを含むコンテンツを境界を越えて転送する場合は、そのような転送に適用される法的要件を考慮する必要があります。Microsoft では、お客様の業務に適用される可能性がある GDPR の要件に準拠するのに役立つサービスとリソースをお客様に提供しています。

    Microsoft の一部のオンライン サービスでは、代理処理者としての役割を担う第三者とデータが共有されます。公開されている「Microsoft オンライン サービス代理処理者一覧」には、顧客データまたは個人データを処理することが許可されている代理処理者が明記されています。このようなすべての代理処理者には、Microsoft がお客様に対して約束する契約責任を果たすか上回ることが、契約によって義務付けられています。

    Microsoft はいかなる第三者にも以下を提供しません: (a) お客様のデータに対する直接的、全面的、または自由なアクセス、(b) データの保護に使用されるプラットフォーム暗号化キー、またはそうした暗号化を解除する機能、(c) 第三者の要求で示された目的以外にデータが使用されることを Microsoft が認識している場合にはそのデータへのアクセス。政府の要求との関連による顧客データの法的開示に対する Microsoft の取り組みの詳細については、こちらをご覧ください

ほとんどの Azure サービスでは、お客様の顧客データが保存および処理されるリージョンをお客様が指定することができます。データの回復性のために Microsoft によって他のリージョンにレプリケートされる場合がありますが、選択された geo の外部で顧客データが保存または処理されることはありません。お客様、そしてお客様のユーザーは、あらゆる場所からグローバルに顧客データを移動、コピーしたり、またはアクセスしたりすることができます。

顧客データの場所に関する詳細情報

リージョン サービスのデータ ストレージ

ほとんどの Azure サービスはリージョンごとにデプロイされ、お客様はサービスがデプロイされるリージョンを指定することができます。このような Azure サービスの例としては、仮想マシン、ストレージ、SQL Database などがあります。リージョンごとのサービスの詳細については、リージョン別の利用可能な製品をご覧ください。

Microsoft では、データの冗長性または他の運用上の目的のために、特定の geo 内のリージョン間で顧客データをコピーする場合があります。たとえば、geo 冗長ストレージにおいては、データセンターの大規模災害に備えてデータの持続性を向上させるために、BLOB、ファイル、キュー、テーブル データが同じ geo 内の 2 つのリージョン間でレプリケートされます。

Microsoft では、次のリージョン サービスを除き、お客様による許可なく、お客様が指定した geo の外部で顧客データを保存または処理することはありません。

  • Azure Cloud Services。デプロイされているリージョンに関係なく、Web および worker ロール ソフトウェアのデプロイ パッケージが米国にバックアップされます。
  • Language Understanding。お客様が使用するオーサリング リージョンに基づいて、米国、ヨーロッパ、またはオーストラリアにアクティブな学習データを保存する場合があります。詳細情報
  • Azure Machine Learning。お客様が提供する自由形式のテキスト (ワークスペース、リソース グループ、実験、ファイル、画像の名前など) や実験パラメーターが米国に保存される場合があります。
  • Azure Databricks。ID データ、特定のテーブル名、オブジェクトのパス情報が米国に保存されます。
  • Azure Sentinel
  • Azure シリアル コンソール。お客様が選択した geo にすべての顧客保存データが格納されますが、Azure portal を介して使用された場合は、portal 内でコンソール エクスペリエンスを提供することだけを目的として、geo の外部でコンソール コマンドと応答が処理される場合があります。
  • 通常はお客様のデータを米国内に格納するが全世界にも格納できる、プレビュー、ベータまたはその他のプレリリース サービス。

お客様は、1 つのリージョンにのみ顧客データを保存するように、以下の Azure サービス、レベル、またはプランを構成することができます。

1既定では、単一のリージョン データ所在地は、アジア太平洋 geo の東南アジア リージョン (シンガポール) とブラジル geo のブラジル南部 (サンパウロ州) リージョンでのみ提供されています。その他のすべてのリージョンでは、顧客データは geo 内に格納されます。

2既定では、単一のリージョン データ所在地は、アジア太平洋 geo の東南アジア リージョン (シンガポール) でのみ提供されています。その他のすべてのリージョンでは、顧客データは geo 内に格納されます。

3Single region data residency is provided by default when a new tenant is created in country/region specific datacenter geo.

4顧客データを 1 つのリージョンに格納できるようにするプレビュー機能は現在、アジア太平洋 geo の東南アジア リージョン (シンガポール) とブラジル南部 (サンパウロ州) リージョンで使用できます。その他のすべてのリージョンでは、顧客データは geo 内に格納されます。

5Azure Databricks の場合、ID データ、特定のテーブル名、オブジェクトのパス情報は米国に保存されます。その他すべての顧客データを 1 つのリージョンに格納できるようにする機能は現在、アジア太平洋 geo の東南アジア リージョン (シンガポール) とブラジル geo のブラジル南部 (サンパウロ州) リージョンで使用できます。その他のすべてのリージョンでは、顧客データは geo に格納されます (前述の例外に従います)。

6ZRS クラシックでは、複数のリージョンにデータが格納されます。

非リージョン サービスのデータ ストレージ

一部の Azure サービスでは、お客様がサービスをデプロイするリージョンを指定することができません。特に指定がない限り、これらのサービスによって顧客データが任意の Microsoft データセンターで保存または処理される可能性があります。

  • Azure Content Delivery Network。グローバル キャッシュ サービスを提供し、世界中のエッジ ロケーションに顧客データを保存します。
  • Azure Active Directory (Azure AD)。Azure AD データをグローバルに格納できます。これは、Azure AD の米国内のデプロイ (Azure AD データは米国内にのみ保存される) およびヨーロッパ内のデプロイ (Azure AD データはヨーロッパまたは米国内に保存される) には適用されません。詳細情報
  • 認証データが米国内に格納される Azure Multi-Factor Authentication。詳細情報
  • Azure Security Center。顧客リソース (仮想マシンや Azure AD テナントなど) から収集された、またはそれと関連付けされた、セキュリティ関連の顧客データのコピーが保存される場合があります。

    (a) 保存先はそのリソースと同じ geo です。Microsoft がまだ Security Center をデプロイしていない geo は例外で、そのようなデータのコピーは米国に保存されます。

    (b) Security Center において別の Microsoft オンライン サービスを使用してそのようなデータが処理される場合、当該オンライン サービスの位置情報規則に従ってそのようなデータが保存されることがあります。

  • グローバルなルーティング機能を提供し、それ自体では顧客データを処理または保存しないサービス。この例としては、異なるリージョン間の負荷分散を提供する Azure Traffic Manager や、別のリージョンにルーティングするドメイン名サービスを提供する Azure DNS があります。

非リージョン サービスの完全な一覧については、リージョン別の利用可能な製品をご覧いただき、[非リージョン] を選択してください。