GDPR の下で個人のプライバシー権を安全に守る Microsoft のインテリジェント クラウド

今回は、Microsoft 365 のディレクターを務める Alym Rayani の記事をご紹介します。

EU 一般データ保護規則 (GDPR) が発効となった本日は、個人のプライバシー権にとって歴史に残る一日となりました。私たちが暮らす現代では、デジタル技術が生活に大きな影響を与えており、人々が互いにどうつながるか、あるいは世界をどう解釈するかを左右しています。このデジタル トランスフォーメーションの中心にあるのは、大量のデータを保管し分析する能力であり、それによってより深いインサイトを作り出し、顧客一人一人に合わせたエクスペリエンスを生み出しています。このことは、私たち全員がこれまで以上に多くの成果を達成するのに役立っていますが、データの痕跡を大量に残すことにもなっています。これには、個人情報や社外秘の業務記録など、保護が必要なデータも含まれています。

Microsoft のミッションは、地球上のすべての個人とすべての組織が、より多くのことを達成できるようにすることです。信頼は、私たちのあらゆる行動の中核に据えられています。なぜなら、お客様は自分が信頼しないテクノロジを使用することがないということを、私たちは長年にわたり認識しているからです。また、プライバシーは基本的人権の一つであり、保護されるべきと考えます。Microsoft のプライバシー リード Julie Brill が最近のブログで述べているように、GDPR によって確立した重要な原則は全世界に関係すると Microsoft は考えています。

プライバシーへの継続的な取り組みに加えて、Microsoft は GDPR と個人のプライバシー権のサポートに関してこの 1 年間に多数の投資を行いました。ここでは、その成果である機能が、GDPR 準拠を目指す組織にどのように役立つかをまとめました。

コンプライアンスのリスクを評価し管理する

組織全体でのコンプライアンスの達成は簡単ではないため、自らのコンプライアンス リスクを理解することが最優先です。お客様からお聞きした例では、組織内の能力が不足していることが理由で統制の定義と実施ができず、監査準備活動が非効率的となっていることもあるようです。

コンプライアンス マネージャーとコンプライアンス スコアは、組織のコンプライアンスの状態を継続的に監視するのに役立ちます。コンプライアンス マネージャーには、Microsoft の統制についての詳細情報が表示されます。統制はそれぞれ特定の要件に適合するように実装されており、表示される情報としては、その実装とテスト計画の詳細や、経営陣からの反応 (必要な場合) などがあります。また、組織のデータ保護能力の強化やコンプライアンスに関する組織の義務を果たすために推奨されるアクションも提示されます。

コンプライアンス マネージャー ダッシュボードのスクリーンショット。

Microsoft 365 のお客様である Abrona がどのようにコンプライアンス マネージャーを使用しているかをご覧ください。

個人データを守る

GDPR の本質は、一人一人の個人データを守ることです。つまり、そのデータに対する適切なセキュリティ、ガバナンス、管理が存在する必要があり、データが悪用されたり、意図しない人物の手に渡ったりすることがないようにすることです。組織が適切に個人データを保護するだけでなく、組織のコンプライアンスのニーズに関連する機密コンテンツも守るためには、最も重要なデータの発見、分類、保護、監視を可能にするソリューションとプロセスを導入する必要があります。

Microsoft 365 の内部にある情報保護機能、たとえば Office 365 データ ガバナンスや Azure Information Protection は、サービスやアプリケーションに統合される形で分類、ラベル付け、保護を可能にします。したがって、データがどこに保管され、どのように転送されるかを問わず、常に保護された状態にすることができます。先回り的なデータ ガバナンス戦略に基づいて個人データや機密データを分類しておくと、GDPR の一部であるデータ主体要求 (DSR) のような規制要件を満たすための関連データを見つける必要があるときに、正確に対応できます。

セキュリティ & コンプライアンス センターの保護設定のスクリーンショット。

Azure Information Protection スキャナーは、ハイブリッドやオンプレミスのシナリオを対象とするものであり、構成されたポリシーに基づいて自動的にオンプレミスのリポジトリ (たとえばファイル サーバー) やオンプレミスの SharePoint サーバーにあるドキュメントを発見し、分類し、ラベルを付けて保護することができます。このスキャナーを実際の環境に導入する手順については、こちらの技術ガイドをご覧ください。

Azure の完全マネージド データベース サービス (たとえば Azure SQL Database) は、データ プラットフォームのパッチ適用や更新の負担を軽減すると同時に、インテリジェントな内蔵機能が機密データの保管場所の特定に役立ちます。Azure SQL データの検出と分類のような新しいテクノロジによって、機密データの発見、分類、ラベル付け、保護のための高度な機能がデータベース レベルで可能になります。個人データを守るためのテクノロジとしては、Transparent Data Encryption (TDE) などがあり、Bring Your Own Key (BYOK) をサポートするために Azure Key Vault と統合されています。

Microsoft 365 のお客様である INAIL がどのように Azure Information Protection を利用して機密データの分類、ラベル付け、保護を行っているかをご覧ください。

自信をもって対応する

GDPR には、DSR への対応やデータ侵害への対応などの要件がありますが、これらを満たすための適切なプロセスを用意することは、多くの組織にとって高いハードルです。

さまざまなクラウド サービスに関して用意されている GDPR 関連のリソースの閲覧に役立つように、先月 Service Trust Portal に [Privacy] タブを導入しました。このタブには、Microsoft Cloud のサービスに関するお客様自身のデータ保護影響評価 (DPIA: Data Protection Impact Assessment) の準備に必要な情報や、DSR 対応のガイダンスがあります。ほかにも、Microsoft が個人データ侵害をどのように検出し対応しているかに関する情報や、Microsoft からの通知を直接受信する方法に関する情報も得られます。

Mechanics の新しいビデオで、Service Trust Portal にある GDPR 関連リソースについて説明していますので、ぜひご覧ください。

DSR をサポートするための機能

DSR のサポートに役立つ多数の機能が Microsoft Cloud のさまざまなサービスに組み込まれています。たとえば、Office 365 の [データ プライバシー] タブや、Azure DSR ポータル、そして Dynamics 365 の新しい DSR 検索機能です。

Office 365 の新しい [データ プライバシー] タブ、GDPR ダッシュボード、DSR 関連機能は、一般法人向けプランをご利用のすべてのお客様を対象として一般提供を開始しました。これらは、Office 365 のコンテンツに対する DSR を効率的に実行するためのツールとして用意されているものです。このコンテンツとは、Exchange、SharePoint、OneDrive、グループなどであり、現在は Microsoft Teams も対象となっています。

GlaxoSmithKline の Kelly Clay 氏はこう述べています。「GDPR 2016/679 は、データ保護とプライバシーに関する EU 法の中の規制の一つであり、EU 域内のすべての個人が対象です。GDPR はまた、デジタル経済における個人データの経済的価値が増している時代に生きる EU 域内の市民に、新しい一連の『デジタル権利』をもたらすものでもあります。GDPR では、大量データの保有者やデータ処理者が DSR を管理することが要求されているため、組織は Office 365 にある DSR 管理のためのツールを必要とします。」

法律事務所 Shook, Hardy & Bacon の Patrick Oots 氏は、自身のクライアントである組織とその GDPR 対応の足取りに注目しています。「Microsoft が Office 365 に投資しているのは喜ばしいことです。当事務所のクライアントが GDPR への準備を進めるなかで、データ プライバシー ポータルにあるツールがきわめて有益であり、第 15 条で求められる DSR の管理に役立つことを実感しています。データ プライバシー法が発展するのに合わせて、私たちは Office 365 を使っているクライアントに改めて伝えています。それは、セキュリティ/コンプライアンス センターの中で情報ガバナンス ポリシーを適切に実施することが、リスクを最小化するうえで重要であることです」。 Oots 氏はさらに、GDPR などの規制への正確な対応が必要になったときに、先回り的なデータ ガバナンス戦略がいかに役立つかを強調しています。

セキュリティ & コンプライアンス センターの GDPR ダッシュボードのスクリーンショット。

Azure DSR ポータルも、一般提供を開始しました。Azure DSR ポータルでは、テナント管理者が特定のユーザーに関する情報を見つけて、そのユーザーのデータを修正、改訂、削除、またはエクスポートすることができます。ほかにも、特定のデータ主体に関連付けられた情報を見つけることや、システム生成ログ (Microsoft が特定のサービスを提供するために生成するデータ) に対して DSR を実行することができます。Azure の新しい機能としては他にも、Azure Policy、Compliance Manager for Azure GDPR、Azure Security and Compliance GDPR Blueprint が一般提供を開始しています。

詳細については、GDPR の機能に関する Azure ブログの記事をご覧ください。

Azure Directory の "ユーザー プライバシーの使用を開始する" 画面のスクリーンショット。

Dynamics 365 での DSR への対応に役立つように、2 つの検索機能を用意しています。1 つは関連性検索、もう 1 つは個人検索レポートです。関連性検索は、探しているものをすばやく簡単に見つける手段であり、Azure Search が活用されています。個人検索レポート機能には、Microsoft が作成した拡張可能なエンティティの集合が付属しています。この機能を利用すると、個人を定義するために使用される個人データや、その人に割り当てられている可能性のある役割を特定することができます。

詳細については、Dynamics 365 のブログ記事をご覧ください。

Dynamics 365 の関連性検索機能を示しているスクリーンショット。

新しい [Windows Privacy] ハブ には、Windows のプライバシーに関する docs.microsoft.com のコンテンツが集まっています。ここには、GDPR への準備に役立つ IT 意思決定者向けの新しいガイダンスや、個人データ プライバシー保護に使用されている Windows 10 サービス構成設定のリスト、Windows 診断データを理解する方法の解説などがあります。

データ侵害に対処する

GDPR の施行が意味するのは、データ侵害の発生の際に従う必要のある規則が、より厳しくなるということでもあります。Microsoft 365 には、Office 365 Advanced Threat Protection (ATP) や Azure ATP など、データ侵害の防止と検出に役立つ多数の機能が含まれています。

GDPR 対応を Microsoft とともに今すぐ始める

Microsoft は、データの保護、プライバシーの擁護、複雑な規則への準拠に関して豊富な実績を重ねてきました。GDPR は個人のプライバシー権の明確化と保障への重要なステップであると考え、GDPR 関連の保証を契約上の責任として規定しています。

現在の GDPR 対応状況にかかわらず、Microsof は GDPR 準拠を目指すお客様をサポートします。今すぐ開始するのに役立つ、次のようなリソースを多数ご用意しています。

Microsoft がどのように GDPR 対応をサポートできるかについて、詳細情報をご覧ください。


本ブログの投稿で説明している機能の内容は、国/地域によって異なる場合があります。お住まいの国/地域で提供されている特定の製品の詳細情報については、Microsoft 365Office 365Windows 10Enterprise Mobility + Security をご覧ください。
本ブログの投稿からリンクしているコンテンツは、日本語訳が存在しない場合があります。
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。