GDPR の下でのデータ侵害通知

Microsoft が GDPR の下でどのように個人データの侵害を検出し、対応し、お客様に通知するかを説明します。

GDPR では、個人データの侵害が発生した場合のデータ管理者とデータ処理者の通知要件が義務付けられています。以下では、この規定について説明するとともに、まず侵害を防止するために Microsoft がどのようなことを行い、どのように侵害を検出し、侵害が発生した場合にデータ管理者としてどのように対応しお客様に通知するかを説明します。


オンライン サービスのデータ侵害に関するドキュメント

Office 365

Dynamics 365

Microsoft Professional Services

管理ツール

組織のプライバシーに関する連絡先を設定します。テナント管理者は、Azure Active Directory 管理ポータルを使用して組織のプライバシーに関する連絡先を設定できます。これは、Microsoft から連絡を取る必要が生じた場合に使用されます。

侵害通知についてよく寄せられる質問

侵害通知に関する重要な質問とその回答を以下にまとめました。
|

個人データとは、個人に関する情報のうち、その個人を直接的か間接的かを問わず特定するのに使用できるものを指します。個人データ侵害とは、「送信、保管またはそれ以外の方法で処理される個人データに対して偶発的または違法な破壊、消失、改変、無断公開、またはアクセスを引き起こすセキュリティ侵害」です。

個人データの侵害が発生し、その結果として個人の権利と自由がきわめて危険な状態になるおそれがある場合に (たとえば差別、なりすまし、詐欺、金銭的な損失、名誉毀損)、GDPR では次のことが義務付けられています。
  • 該当するデータ保護機関 (DPA) への通知を、侵害の認識から (たとえば、Microsoft がお客様に通知した後) 72 時間以内に行う必要があります。お客様がこの期間内に DPA に通知しなかった場合は、DPA への理由の説明が必要になります。この DPA への通知は、個人に対するリスクがあり、その結果としてきわめて危険な状態になるおそれがない場合でも必要です。
  • 不当に遅延することなく、侵害をデータ主体に通知する必要があります。
  • 侵害を文書化し、その中で侵害の性質を記述する必要があります。たとえば、影響を受けた人数、影響を受けたデータ レコードの件数、侵害の結果として起こりうること、組織が提案または実施した是正措置です。

Microsoft が個人データ侵害を認識した後に、GDPR では Microsoft からお客様に、不当に遅延することなく通知することが義務付けられています。Microsoft が処理者である場合の義務には、GDPR の要件と、Microsoft の標準である全世界での契約規定の両方が反映されます。Microsoft は、確認されたすべての個人データ侵害が対象となると考えます。つまり、危害リスクのしきい値はありません。お客様に対しては、そのデータ侵害を Microsoft が直接受けたのか、それとも Microsoft の副処理者が受けたのかを通知します。Microsoft は所定のプロセスに従い、お客様の組織内でセキュリティ インシデント担当者として指定されている方をすみやかに特定して連絡します。さらに、すべての副処理者には、自社の侵害を Microsoft に報告することと、その趣旨の保証を行うことが契約で義務付けられています。

Microsoft のすべてのサービスと担当者は、社内のインシデント管理手続きに従って、何よりもまずデータ侵害を回避するために適切な予防対策を講じます。それに加えて、オンライン サービス固有のセキュリティ統制が Microsoft の各プラットフォームで実施されており、万が一データ侵害が発生した場合でも検出できるようになっています。

個人データ侵害が発生した場合にお客様をサポートするために、Microsoft は次のことを規定しています。
  • 特定の手順に従うよう訓練を受けたセキュリティ担当者。
  • Microsoft が確実に詳細な記録を維持するためのポリシー、手順、統制。これに含まれるものとしては、インシデントの事実、その影響、是正措置について記録したドキュメントや、社内インシデント管理システムでの情報の追跡と保存があります。

Microsoft は、所定のポリシーと手順に従ってすみやかにお客様に通知します。お客様から DPA への通知という要件を満たすために、Microsoft からは、個人データ侵害が発生したかどうかの判別に使用したプロセスの説明、侵害の性質に関する説明、および侵害の緩和のために行った措置についての説明を提供します。