GDPR についてよく寄せられる質問

GDPR への準拠プロセスでお客様とお客様の組織を支援するために、Microsoft では、よく寄せられる質問と、さらに重要なそれらに対する回答の一覧を作成しました。


|

はい。GDPR では、管理者 (Microsoft のエンタープライズ オンライン サービスを利用している組織など) に対し、GDPR の主要な要件を満たす上で十分な保証を提供する処理者 (Microsoft など) のみを採用することを義務付けています。Microsoft は、これらの義務をすべてのボリューム ライセンスをご利用のお客様に契約の一環として提供するために、積極的に取り組んでいます。

 

GDPR に関する Microsoft の契約上の責任については、GDPR の概要ページにお客様との契約として掲載されています。

 

Microsoft は、GDPR のアカウンタビリティをサポートするためのツールとドキュメントを用意しています。これには、データ主体の権利に関するサポートや、お客様のデータ保護影響評価の実施が含まれており、個人データ侵害が発生した場合は協力して解決に当たります。GDPR の概要ページをご覧ください。

 

Microsoft の GDPR 条件には、第 28 条で規定されている処理者の責任が反映されています。第 28 条では、処理者は次の責任を負うことが義務付けられています。

  • 副処理者を従事させる場合は、必ず管理者の承諾を得ること。また、その副処理者に対する責任を負うこと。
  • 個人データの処理は、移転に関する処理を含め、管理者からの指示に従って行うこと。
  • 個人データを処理する担当者に守秘義務を必ず遵守させること。
  • 個人データに関して、リスクに見合ったセキュリティ レベルを確保するために適切な技術的および組織的対策を実施すること。
  • 管理者がデータ主体からの GDPR 権利の行使に対応する義務を果たす際に、その管理者を支援すること。
  • 違反の通知とその支援に関する要件を満たすこと。
  • 管理者がデータ保護影響評価を実施する際、および監査機関と相談する際に、管理者を支援すること。
  • サービス提供の終了時に個人データを削除または返却すること。
  • GDPR への準拠の証拠に関して管理者を支援すること。

 

 

Microsoft では長年にわたり、企業向けオンライン サービスのデータ移転の基準として、標準契約条項 (モデル条項とも呼ばれる) に従っています。標準契約条項は、欧州委員会によって提供される標準的な条件であり、コンプライアンスに対応した方法でデータを欧州経済地域外に移転するために使用できます。Microsoft は、オンライン サービス使用条件を介して、この標準契約条項をすべてのボリューム ライセンス契約に採用しています。Microsoft による標準契約条項の実装は、第 29 条専門家会議により、規定への準拠が確認されています。

 

さらに、EU - US プライバシー シールドが発効されたときに最初に認定を取得した企業は、Microsoft です。プライバシー シールドについての Microsoft の認定をご覧ください。また、オンライン サービス使用条件もお読みください。EU - US プライバシー シールドは、データ保護上の義務に沿った方法で、データを米国に移転する必要があるお客様を支援します。

 

世界のほぼすべての国に顧客を擁するグローバル企業として、Microsoft はお客様を支援するための堅牢なコンプライアンス ポートフォリオを用意しています。FedRamp、HIPAA/HITECH、ISO 27001、ISO 27002、ISO 27018、NIST 800-171、UK G-Cloud をはじめとする Microsoft の全コンプライアンス サービスを確認するには、コンプライアンス認証の一覧にアクセスしてください。

|

 

GDPR の要件に対応するために使用される Microsoft サービスの機能については、www.microsoft.com/trust-center/privacy/gdpr-accountability-documentation をご覧ください。

 

GDPR は、個人データを収集または処理する組織に対して、幅広い要件を課しています。特に、次の 6 つの主要な原則に準拠することが求められます。

  • 透明性、公正性、合法性を個人データの処理と使用において確保すること。個人データの使用方法を個人に対して明確にする必要があり、そのデータを処理する "法的根拠" も必要です。
  • 個人データの処理を指定された明示的で正当な目的に制限すること。本来の収集目的と "合致" しない目的のために個人データを再利用または開示することはできません。
  • 個人データの収集と保管の範囲を最小限に抑えること。本来の目的から見て適切で関係のある範囲に限定する必要があります。
  • 個人データの正確性を確保し、削除または訂正を可能にすること。保持する個人データは正確性を確保して、誤りが発生した場合には訂正できるように対策を講じる必要があります。
  • 個人データの保管を制限すること。データ収集目的の達成に必要な期間のみ、個人データが保管されるようにする必要があります。
  • 個人データのセキュリティ、整合性、機密性を確保すること。組織は、個人データの安全性を維持するため、技術的および組織的なセキュリティ対策を講じる必要があります。

お客様は、GDPR に対応するための組織固有の義務と、その義務を果たす方法を理解する必要があります。Microsoft は、GDPR への準拠プロセスを支援します。

一般データ保護規則 (GDPR) の詳細については、www.microsoft.com/gdpr をご覧ください。このサイトの Azure、Dynamics 365、Enterprise Mobility + Security、Office 365、Windows 10 の各セクションにアクセスすると、特定の Microsoft 製品を利用して GDPR への準拠に備える方法についても調べることができます。

GDPR では、一連の「データ主体の権利」を規定することにより、EU 域内の居住者に自身の個人データを管理する権利が付与されています。これには、以下の権利が含まれます。

  • 個人データの使用方法に関する情報にアクセスする。
  • 組織が保有している個人データにアクセスする。
  • 誤った個人データを削除または訂正させる。
  • 特定の状況で個人データを修正および削除させる (「忘れられる権利」とも呼ばれます)。
  • 個人データの自動処理に対して制限または異議を申し立てる。
  • 個人データのコピーを受け取る。

管理者とは、単独でまたは他者と共同で個人データを処理する目的と手段を決定する、自然人、法人、公共機関、行政機関またはその他の団体を意味します。処理者とは、管理者の代わりに個人データを処理する、自然人、法人、公共機関、行政機関、またはその他の団体を意味します。

はい。GDPR は、管理者と処理者の両方に適用されます。管理者は、GDPR の要件を満たすための措置を講じる処理者のみを採用する必要があります。

 

GDPR では、管理者の指示に従わない行動または管理者の指示以外の行動に対して、データ保護指令にはない追加の責務を負います。処理者の責務には、次のものが含まれますが、この限りではありません。

  • 管理者による指示に従ってのみデータを処理する。
  • 個人データを保護するための適切な技術的および組織的な措置を講じる。
  • データ主体の要求に関して管理者を支援する。
  • 処理を委託する副処理者がこれらの要件を確実に満たすようにする。

企業は、特定の GDPR 要件を満たすことができなかった場合、2,000 万ユーロか年間売上高の 4% のいずれか大きい方の金額を上限とする制裁金を科せられることがあります。個別の救済策を追加すると、GDPR の要件を満たせなかった場合、お客様のリスクが高くなる可能性があります。

これは、GDPR 内で特定されているいくつかの要因によって決まります。GDPR の第 37 条では、次のいずれかの場合、管理者と処理者に対してデータ保護責任者を指名することを義務付けています。(a) 裁判所がその司法上の権限を行使する場合を除いて、処理が公的機関または公的組織によって行われる場合、(b) 管理者または処理者の中心的な行為が、その処理の性質、範囲または目的のために、データ主体の定期的かつ系統的な監視を大規模に必要とする処理業務で構成される場合、または (c) 管理者または処理者の中心的な行為が、第 9 条に基づく特別な種類のデータと、第 10 条で言及された有罪判決および犯罪に関連する個人データの大規模な処理で構成される場合。

ほとんどの組織では、GDPR のコンプライアンス要件を満たすために時間と費用が必要になります。ただし、適切に設計されたクラウド サービス モデルを運用し、効果的なデータ ガバナンス プログラムを実施している組織では、よりスムーズに実現できる可能性があります。

|

GDPR は、「個人データ」の収集、保管、使用、共有を規制しています。GDPR では、個人データは、識別されたまたは識別可能な自然人に関連するあらゆるデータであると、きわめて広く定義されています。

 

個人データには、オンライン識別子 (IP アドレスなど)、従業員情報、販売データベース、カスタマー サービス データ、カスタマー フィードバック フォーム、位置データ、生体認証データ、CCTV 映像、ロイヤルティ スキームの記録、医療情報および財務情報などが含まれますが、この限りではありません。一見すると個人データとは思えない情報も含まれる場合があります。たとえば、人物を含まない風景写真であっても、その情報が識別可能な個人の口座番号や一意のコードと関連付けられている場合は個人データとなります。また、仮名化された個人データであっても、その仮名が特定の個人に関連付けられている場合は、個人データと見なされます。

 

「特殊な」カテゴリの個人データの処理にも注意する必要があります。たとえば、人種的または民族的出自を明らかにする個人データや、健康状態や性的指向に関する個人データなどは、「通常」の個人データを処理する場合よりも厳格な規制の対象となります。

 

個人データに関するこのような評価は、事実に依存する部分が大きいため、具体的な状況の評価については、専門家への相談をおすすめします。

はい。規則は多少異なりますが、GDPR は自らの目的のためにデータを収集および処理する組織 (「管理者」) だけでなく、他の組織に代わってデータを処理する組織 (「処理者」) にも適用されます。この点が、管理者に適用されるこれまでのデータ保護指令とは異なる点です。

個人データとは、識別された人、または識別可能な人に関するあらゆる情報のことです。個人の私的、公的、または職業上の役割による区別はありません。個人データには、以下の情報が含まれます。

 

個人データの例:

 

ID

  • 名前
  • 自宅の住所
  • 勤務先の住所
  • 電話番号
  • 携帯電話番号
  • メール アドレス
  • パスポート番号
  • 国が発行する身分証明書
  • 社会保障番号 (またはこれに相当するもの)
  • 運転免許証
  • 身体的、生理学的、または遺伝学的な情報
  • 医療情報
  • 文化的アイデンティティ

財務

  • 銀行に関する詳細情報/口座番号
  • 納税者番号
  • 勤務先の住所
  • クレジット カード/デビット カードの番号
  • ソーシャル メディアの投稿

オンライン成果物

  • ソーシャル メディアの投稿
  • IP アドレス (EU 地域)
  • 位置/GPS データ
  • Cookie

はい。ただし、GDPR は、欧州居住者の個人データを欧州経済域外の場所に移転することを厳重に規制しています。このような移転を可能にするには、契約などの特定の法的メカニズムを構築するか、認証メカニズムに従う必要があります。Microsoft は、オンライン サービス使用条件内で、使用するメカニズムを詳細に規定しています。

継続的な処理とデータ保持の正当な理由がある場合、たとえば、「管理者が従うべき EU または加盟国の法律に基づく法的義務を遵守するためにデータの処理が必要である」(第 17 条 3 項 (b)) 場合、GDPR は、組織によるデータ保持の必要性を認めています。ただし、データ主体の権利と自由、データ収集時点でのデータ主体の期待などを十分に考慮するために、保持の根拠については、法律顧問に相談する必要があります。

GDPR では、暗号化を、侵害を受けたときに個人データを判読不能にする保護手段と見なしています。したがって、暗号化が使用されているかどうかは、個人データ侵害の通知要件に影響を与える可能性があります。GDPR では、暗号化を、一部のリスクに対処する適切な技術的または組織的手段としても挙げています。暗号化は、PCI データ セキュリティ スタンダードを通じた要件でもあり、金融サービス業界に固有の厳格なコンプライアンス ガイドラインの一部でもあります。Azure、Dynamics 365、Enterprise Mobility + Security、Office 365、SQL Server/Azure SQL データベース、Windows 10 などの Microsoft の製品とサービスでは、転送中のデータと保存中のデータに堅牢な暗号化を適用できます。

 

Microsoft の製品とサービスが GDPR 準拠の準備にどのように役立つかについての詳細は、Microsoft 製品を GDPR 要件の遵守に役立てる方法をご覧ください。

GDPR によりデータ保護の要件が変わり、処理者と管理者に対し、個人データ侵害の通知に関してより厳格な義務が課せられます。この新しい規制のもと、個人データ侵害に気付いた処理者は、過度の遅滞なく、データ管理者に通知する必要があります。管理者は、個人データ侵害に気付いた場合、72 時間以内に所定のデータ保護機関に通知する必要があります。データ侵害が個人の権利と自由に高いリスクをもたらす可能性がある場合、管理者は影響を受ける個人に対して、過度の遅滞なく、その旨を通知する必要があります。この項目に関する追加のガイダンスは、EU の第 29 条作業部会で策定中です。

 

Azure、Dynamics 365、Enterprise Mobility + Security、Office 365、Windows 10 などの Microsoft 製品およびサービスには、セキュリティの脅威と侵害を検出して評価し、GDPR のデータ侵害通知に関する義務を果たすために、今すぐ利用できるソリューションが揃っています。

|

Microsoft FastTrack とは、サービス特典*、つまり、Microsoft Cloud によってビジネス価値の実現を加速するカスタマー サクセス サービスです。FastTrack を利用すると、次の成果を得ることができます。

  • メールとコンテンツを移行し、Microsoft 365 サービスを有効にする。
  • デバイスをデプロイし、安全に管理する。
  • ビジネスを実現し、エンドユーザーによる導入を達成する。

Microsoft FastTrack は、お客様に継続的に何度でもご利用いただけるサービス特典です。お客様やパートナー様が自らのペースで自信を持ってクラウドの計画、オンボーディング、導入/利用、移行を行えるように、Microsoft のエンジニアやスペシャリストが支援します。

 

Microsoft FastTrack は、お客様による Microsoft オンライン サービスの展開と移行を支援すると同時に、2018 年 5 月 25 日の GDPR の施行開始までに GDPR に準拠することをお約束します。また、FastTrack プロフェッショナル サービス特典の一環として、展開と導入を支援するために、お客様の既存のパートナーとの連携やパートナーの派遣に取り組んでいます。

 

詳細については、https://FastTrack.Microsoft.com をご覧ください。

 

*「サービス特典」とは、OST と MBSA で規定されている「プロフェッショナル サービス」を指します。

FastTrack のエンジニアとスペシャリストは、お客様とパートナー様が目標とするシナリオとビジネス価値に向けて計画立案を行う業界の専門家です。お客様とパートナー様の目標達成を支援するために、製品とサービスの計画、展開、導入の促進に注力しています。Microsoft の製品やサービスが GDPR への準拠にどのように役立つかについての詳細は、トラスト センター Web サイトをご覧ください。GDPR については、法的資格を持つ専門家と協力して、お客様またはパートナー様の組織に即した適用方法を検討し、コンプライアンスのための最良の対策を講じることを推奨いたします。

暗号化に関する GDPR 要件と GDPR の要件全般の決定については、お客様ご自身の法務およびコンプライアンス チームで行うことをおすすめします。GDPR への準拠は、お客様の収集データ、使用シナリオ、業種または方向性によって異なるためです。

Microsoft FastTrack は、Microsoft の製品およびサービスの展開、収益化までの期間を短縮し、お客様の社員またはエンド ユーザーによる導入率向上に取り組むカスタマー サクセス サービスです。その点を考慮して、Microsoft FastTrack は、お客様またはパートナー様から支援要求を受け次第、Microsoft の製品およびサービスをお客様またはパートナー様に適切に展開するプロセスを開始します。

 

また、FastTrack プロフェッショナル サービス特典の一環として、展開と導入を支援するために、お客様の既存のパートナーとの連携やパートナーの派遣に取り組んでいます。GDPR 準拠に向けて Microsoft パートナーを支援できる GDPR 専門のパートナーの詳細については、こちらをご覧ください。信頼できるクラウド/GDPR Web ページでは、GDPR への準備状況を評価し、Microsoft Cloud を使って迅速に GDPR コンプライアンスを実現する方法について調べることができます。また、Microsoft FastTrack は、展開の支援にも利用できます。


その他のリソース

Graphic icon of two people with a plus sign representing partnerships

パートナーを探す

Microsoft ベースのソリューションを提供しているグローバル パートナーと協力して、GDPR に関するニーズに対応できます。

Graphic icon of two horizontal rectangles stacked with magnifying glass representing privacy policies

Microsoft のプライバシーに関する取り組み

Microsoft がお客様のデータをどのように管理し、データがどこに置かれ、だれがデータにアクセスできるか、用語などを説明しています。

Graphic icon of a shield with an exclamation point in the middle

EU - US プライバシー シールド

Microsoft が EU - US プライバシー シールド フレームワークの原則にどのように準拠しているかについて説明します。

Graphic icon representing an unlocked padlock with a white circle in the middle

データ侵害の通知

GDPR に従って、Microsoft が個人データの侵害を検出、対応、通知する方法について説明します。

GDPR への準備状況を今すぐ評価しましょう