データ保護影響評価 (DPIA)

GDPR データ保護影響評価を実行できるように Microsoft が管理者を支援する方法をご紹介します。

データ保護影響評価に関するサポート ドキュメント

Office 365

Dynamics 365

Microsoft Professional Services


データ保護影響評価についてよく寄せられる質問

以下では、GDPR の規定内容に関する重要な質問とその回答を一覧表示します。

|

GDPR では、管理者が、個人の権利および自由に対して高いリスクを生じさせるおそれのあるデータ処理 (特に、新しいテクノロジを利用した処理) を行う前に DPIA を実行することを義務付けています。GDPR には、DPIA を実行する必要があるケースの一覧が規定されていますが、この限りではありません。

  • プロファイリングを含めた自動処理に基づき、それがデータ主体に関する法的効果を生じさせるかまたは同様に重大な影響を与える場合
  • 特別な種類のデータ (人種または民族的な出自を明らかにするデータ)、または有罪判決および犯罪行為に関する個人データを大規模に処理する場合
  • 誰でも立ち入ることのできる場所において大規模な体系的監視を行う場合

GDPR ではさらに、データ主体に対する高いリスクを最小限に抑えられる十分な軽減策を特定できない場合、処理を開始する前にデータ保護機関 (DPA) と協議することも管理者に義務付けています。

Microsoft は、エンジニアリング部門および業務部門でプライバシー バイ デザインとプライバシー バイ デフォルトを実施しています。これらの取り組みの一環として、Microsoft はデータ主体の権利および自由に影響を与える可能性のあるデータ処理操作について、包括的なプライバシー レビューを実行しています。サービス グループにはプライバシー チームがあり、サービスの設計と実装をレビューして、個人データが国際法、ユーザーの期待、Microsoft の明示的なコミットメントに準拠した方法で処理されます。これらのプライバシー レビューは細分化される傾向が強く、1 つのサービスに対して数十または数百のレビューが実施される場合があります。Microsoft では、これらの詳細なプライバシー レビューを、処理グループの大半を網羅するデータ保護影響評価 (DPIA) にまとめて、それを Microsoft EU データ保護責任者 (DPO) がレビューします。DPO は、データ処理に関連するリスクを評価して、十分な軽減策が講じられるようにします。DPO は軽減されていないリスクを検出すると、エンジニアリング グループに変更を勧告します。データ保護のリスクが変化すると、DPIA がレビューされ、更新されます。

Microsoft には処理者として、GDPR に規定された DPIA 要件を確実に順守できるように管理者を支援する義務があります。

 

お客様をサポートするため、将来の更新では、このセクションで Microsoft の DPIA 関連セクションの要約が提供される予定です。その目的は、Microsoft サービスを利用している管理者が、提供された要約を活用して独自の DPIA を作成できるようにするためです。