Microsoft Cloud でプライバシー関連規則の新時代に備える

Microsoft には、データの保護、プライバシーの保護、複雑な規則の遵守に関する幅広い専門知識があります。Microsoft では、一連のプライバシー原則を遵守し、すべての顧客に EU モデル契約条項を提供します。Microsoft では、一般データ保護規則 (GDPR) は個人のプライバシー権を明確にし、有効にしていくための重要な一歩だと考えています。

GDPR の施行日が近づくにつれて、規制監査や情報要求に応じて、組織が顧客の個人データを保護する適切な措置を講じていることを実証する必要がでてくる可能性があります。

適切なセキュリティ制御を実装することは、説明責任を実証するための重要なステップです。同様に重要なのが、データ主体の権利要求 (DSR) への対応や漏洩通知の提供など、適切なプロセスを整え、GDPR に準拠し、顧客の信頼を得られるようにすることです。

本日、Microsoft Cloud を使用した、GDPR の義務の対応に役立ついくつかの新しいリソースおよび機能を発表します。これらの更新には次の内容が含まれます。

  • Microsoft Cloud 全体の新しいプライバシー リソースのパブリック プレビュー。
  • GDPR 向けの Microsoft Cloud サービス全体の DSR に役立つ新機能。
  • Office 365 の新しい監査対応の特権アクセス管理機能。
  • 単一の Office 365 テナントで複数の地域の Office 365 データセンターを利用することが可能。

詳細およびその他の更新情報については、以下を参照してください。

Service Trust Portal で GDPR の義務を果たす機能を強化する

GDPR をサポートするために、新しい GDPR 関連ツールおよびリソースのパブリック プレビューを本日発表します。これには、Office 365、Dynamics 365、Azure、Windows、Intune、Service Trust Portal のプロフェッショナル サービス向けの DSR やデータ漏洩通知が含まれています。

GDPR のリソースには、データ漏洩通知に関するドキュメントが含まれており、Microsoft が個人データの漏洩についてユーザーに通知するタイミングと方法、Microsoft が提供する情報の内容、組織の適切なユーザーに通知するために使用可能なツールについて説明しています。

Microsoft では、すべての DSR のリソースを 1 つのページで一元管理しており、そこで Office 365 セキュリティ/コンプライアンス センターおよび Azure 管理センターで利用可能なツールと、Microsoft Cloud サービスからデータを検索、エクスポート、削除する手順について説明するドキュメントを提供しています。

詳細については、Service Trust Portal のプライバシーに関するリソースを参照してください。

Microsoft Cloud サービス全体での DSR への対応

Microsoft Cloud サービス全体で DSR をサポートするために、Microsoft では、Office 365 のデータのプライバシー タブ、Azure DSR ポータル、Dynamics 365 の新しい DSR 検索機能が含む、いくつかの新しい機能を実装しています。

  • Office 365 のデータのプライバシー タブ—Office 365 関連の DSR を効果的かつ効率的に管理できるようにするために、[データのプライバシー] タブ (プレビュー) が Office 365 セキュリティ/コンプライアンス センターに追加されました。[データのプライバシー] タブには、GDPR 専用のセクションがあり、GDPR の対応に役立つドキュメントやリソース、および DSR の実行専用のタブが含まれます。

新しい DSR エクスペリエンスは、データ主体の権利要求のケースを作成し、関連データを Office 365 全体 (ExchangeSharePointOneDrive、グループ、Microsoft Teams など) から検索して絞り込み、そのデータをエクスポートするツールを提供するよう設計されています。

組織が遭遇する可能性のある DSR に関するシナリオの一つは、離職する従業員が自分のデータを渡すように要求してくる場合です。このようなシナリオに役立てるために、アドバンスト データ ガバナンスのイベントベースの保持機能の一般提供を Office 365 E5 のお客様を対象として開始しました。

詳細については、Office 365 の [データ プライバシー] タブアドバンスト データ ガバナンスのイベントベースの保持機能について解説している Tech Community のブログをご覧ください。

Office 365 での DSR エクスペリエンスの仕組みについては、Mechanics のビデオをご覧ください。

 

  • Azure DSR ポータル—Microsoft では、2018 年 5 月 25 日の GDPR 準拠の期限の前に、Azure DSR を処理する機能のリリースを予定しています。Azure テナント管理者は GDPR の DSR をすばやく処理するシンプルで強力なツールを使用できるようになります。テナント管理者は、Azure DSR ポータルを使用して、ユーザーに関する情報を識別し、ユーザーのデータを修正、削除、またはエクスポートすることができます。また、管理者はデータ主体の権利に関連する情報を識別し、システム生成ログ (Microsoft が特定のサービスを提供するために生成するデータ) に対して DSR を実行することができるようになります。

DSR の処理に役立つ Azure DSR ポータル。

詳細については、Azure ブログを参照してください。

  • Dynamics 365 の DSR 検索機能—お客様が Dynamics 365 で DSR に対応するのに役立つ、2 つの新しい検索機能、関連性検索とユーザー検索レポートが提供されます。関連性検索は、Azure Search を活用し、探しているものをすばやく簡単に見つける方法を提供します。ユーザー検索レポートは、Microsoft が作成したパッケージ済みの一連の拡張可能なエンティティを提供し、個人を定義するために使用される個人データや割り当てられる可能性のある役割を特定します。

新しい GDPR の規則でデータ漏洩を取り扱う

GDPR に対して、組織はデータ漏洩のイベントにある、より厳格な要求を満たす必要があります。これには、規制当局および漏洩によって影響を受けるユーザーの双方への通知 (通常、データ漏洩が発覚してから 72 時間以内) が含まれます。Microsoft 365 には、データ漏洩を保護、検出、対応するのに役立つ強力な機能があります。たとえば、Office 365 Advanced Threat Protection (ATP) は、悪意のあるメールやビジネスに必要不可欠なファイルによってユーザー アカウントが侵害されるのを防ぎ、組織の Office 365 環境を保護します。Windows Defender ATP は、悪意のある Web ベースのファイルやデバイス マルウェアによりユーザー アカウントが破損しないように注力しています。

悪意のあるメールの添付ファイルをブロックする ATP の安全な添付ファイル。

Microsoft が GDPR によって定義されている個人データ漏洩を特定した場合は、テナント管理者に通知します。さらに、Azure Active Directory のプライバシー コンタクト エイリアスも指定することをおすすめします。管理者のほか、その宛先にも通知されます。

Azure Active Directory でユーザーの同意の収集、処理、レビューを行う

GDPR により、企業はユーザーからの同意を処理する方法や監査対応レポートを取得する方法が必要になりました。Azure Active Directory の使用条件により、組織は簡単にユーザーの同意を収集、処理、レビューできるようになりました。ユーザーがアプリケーションにアクセスできるようになる前に、ユーザーに組織の使用条件を確認し、同意するよう要求することができます。​この条件は、組織のビジネスまたは法的ポリシーに関連するすべてのドキュメントがなり得ます。

複数の言語での Azure Active Directory の使用条件の例。

詳細については、Azure Active Directory の使用条件に関するドキュメントを参照してください。

特権管理者アクセスの監査対応コントロールを活用する

組織は脅威から特権アカウントに対するデータ侵害のリスクを最小限に抑えようとしていますが、規制当局に対応し、顧客データにアクセスする方法が要約された、特権アクセスの文書化された証跡を提供する必要があることも分かっています。組織がデータを保護し、これらの準拠義務に対応するのをサポートするため、現在 Microsoft では、Microsoft 365 に新しい特権アクセス管理機能を導入しており、期間を定め、データ アクセスの範囲を制限することができる監査対応アクセス管理が提供されます。

Office 365 の特権アクセス管理を使用すると、Office 365 内にある高リスクのタスクを対象とした承認ワークフローを追跡または実行することで、データの保護を強化することができます。たとえば、広く管理者権限を与えると、管理者は、ジャーナル ルールなどの組織データに対して自由にアクセスを付与できるタスクを実行することができ、これにより外部のメールボックスにメールを送ったり、気づかずに機密データが流出してしまったりする可能性があります。Office 365 の特権アクセス管理を使用すると、誰かがこれらの高リスクのタスクを実行する前に、承認を要求するポリシーを適用することができます。アクセス要求は自動または手動で承認でき、すべてのアクティビティは記録され監査可能になります。詳細については、このビデオをご覧ください。

Office 365 の特権アクセス管理は、現在パブリック プレビュー中です。 開始するには、Office Previews のページにアクセスして (コード PAM044 を入力してください)、詳しく解説している Tech Community のブログをお読みください。

グローバル データの所在地に関する要件への対応

政府、第三者の規制当局、企業のコンプライアンス要件によって、プライバシー問題に対処するためのデータの所在地に関するガイドラインが、加速度的に制定されるようになってきています。これらのガイドラインでは、国境を越えた情報の自由な流れを制限し、組織のデータが定義された領域内で保存されるよう求めています。GDPR ではデータの所在地に関しての義務付けはありませんが、多くのお客様が、地域、業界固有、または組織のデータの所在地に関する要件を満たすために、選択した地域にデータを保存する柔軟性が必要だと言っています。

Multi-Geo Capabilities により、単一の Office 365 テナントが複数の Office 365 データセンターの地域にわたって有効になり、顧客は Office 365 データを安心して、従業員ごとに選択した地域に保存できるようになります。Multi-Geo は、Exchange Online および OneDrive for Business 向けに提供されています。詳細については、Office 365 の Multi-Geo Capabilities によるグローバル データ所在地の制御に関する記事をご覧ください。

Microsoft Cloud で GDPR 対応を今すぐ始める

GDPR のどの取り組みでも、Microsoft は GDPR コンプライアンスへの対応をサポートし、すぐ始めるのに役立つリソースをご用意しています。

詳細については、GDPR への備えを Microsoft がどのようにサポートしているかをご確認ください。

—Alym Rayani、Microsoft 365 のディレクター


本ブログの投稿で説明している機能の内容は、国/地域によって異なる場合があります。お住まいの国/地域で提供されている特定の製品の詳細情報については、Microsoft 365Office 365Windows 10Enterprise Mobility + Security をご覧ください。
本ブログの投稿からリンクしているコンテンツは、日本語訳が存在しない場合があります。
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。