アカウンタビリティ対応準備チェックリストを使用して GDPR プログラムをサポートする

一般データ保護規則 (GDPR) では、欧州連合 (EU) 内の人々に商品やサービスを提供する、または EU 居住者向けのデータの収集と分析を実行する会社に対して、新しい規則を導入します。GDPR は、個人やその企業がどの場所にあるかに関係なく適用されます。 詳細については、「GDPR 概要トピック」を参照してください。

アカウンタビリティ対応準備チェックリスト

Microsoft の製品とサービスを使用するときに GDPR をサポートするために必要な情報に簡単にアクセスできるよう、アカウンタビリティ対応準備チェックリストを提供します。 チェックリストには GDPR に基づく潜在的な義務が記載されており、組織のコンプライアンスをサポートするために使用できる情報を示しています。

次の Microsoft 製品およびサービス ファミリの特定のガイドがあります。

• Office 365
• Dynamics 365
• Azure
• Windows
• Microsoft サポート/プロフェッショナル サービス

コンプライアンス マネージャーで、GDPR タイル内の顧客管理コントロールの下にあるコントロール ID とコントロール タイトルを参照することによって、このチェックリストの項目を管理できます。

チェックリストには、GDPR をサポートするプライバシー プログラムに関する以下の 4 つのカテゴリの基本的な考慮事項と、要件の例が含まれています。

1. データの収集と処理の条件:

   • いつ同意を得ましたか?
   • 目的を特定して文書化する
   • プライバシー影響評価

2. データ主体の権利

   • PII プリンシパル (データ主体) に関する情報の判別
   • 同意を修正または撤回するメカニズムの提供

3. 意図的な既定のプライバシー

   • 収集の制限
   • 識別レベルへの準拠
   • 一時ファイル

4. データ保護とセキュリティ

   • 組織とそのコンテキストについての理解
   • 計画
   • 情報セキュリティ ポリシー

顧客契約

• オンライン サービス使用条件: GDPR に関する Microsoft の契約責任は、「オンライン サービス使用条件」に記載されています。
• Microsoft 製品使用条件: Microsoft では、ボリューム ライセンスのすべてのお客様に GDPR 使用条件の責任を拡張しています。
• Data Protection Addendum: Microsoft サービスは、Microsoft コンサルティング サービスのお客様やその他のお客様にまで責任を拡張しています。

GDPR コンプライアンスのコントロール

• コンプライアンス マネージャーの使用: コンプライアンス マネージャーを使用して、Microsoft が GDPR の義務をサポートするために使用しているコントロールをレビューし、組み込みます。
• GDPR コントロールのマッピング: GDPR の義務に対する Microsoft コントロールの総合的なマッピングにアクセスします。

プロセッサの処理のレコード

Microsoft がプロセッサとしてコントローラーの顧客に提供しているオンライン サービスの規模と幅の広さから、Microsoft では、顧客が処理のレコードを探しているサービスを特定し、Microsoft が提供するオンライン ツールで関連するログを取得することを期待しています。 一例としては、Azure の処理のレコードで、どういった種類の処理アクティビティのレコードを求めているかを特定するよう顧客は求められます。

Azure ログ

一般的に顧客はアクティビティ ログに、そして潜在的には診断ログに興味を持つでしょう。

• アクティビティ ログ: アクティビティ ログは、サブスクリプション内のリソースで実行された操作に関する分析情報を提供します。 アクティビティ ログは、操作の開始者、発生時刻、状態の特定に役立ちます。
• 診断ログ: 診断ログは、あらゆるリソースによって生成されたログのすべてです。 これらのログには、Windows イベント システム ログ、Azure Storage のログ、Key Vault の監査ログ、Application Gateway のアクセスとファイアウォールのログが含まれています。
• ログ アーカイブ: すべての診断ログは、一元化され、暗号化された Azure ストレージ アカウントにアーカイブ用として書き込まれます。 組織固有の保持要件を満たすために、最大で 730 日まで保持期間のユーザーによる構成が可能です。 これらのログは、処理、保存、ダッシュボード レポートの作成のために Azure Monitor のログに接続します。

その他のログ

さらに、このアーキテクチャの一部として、次の監視ソリューションがインストールされています。 FedRAMP のセキュリティ コントロールに合わせたこれらのソリューションの構成は、お客様の責任となります。

• AD 評価: Active Directory 正常性チェック ソリューションは、サーバー環境のリスクと正常性を定期的に評価し、展開されたサーバー インフラストラクチャに固有の推奨事項の優先付けされた一覧を提供します。
• マルウェア対策の評価: マルウェア対策ソリューションは、マルウェア、脅威、保護の状態を報告します。
• Azure Automation: Azure Automation ソリューションは、Runbook の保存、実行、管理を行います。
• セキュリティと監査: セキュリティと監査のダッシュボードでは、セキュリティ ドメイン、注目すべき問題、検出、脅威インテリジェンス、一般的なセキュリティ クエリに関するメトリクスを提供することで、リソースのセキュリティ状態についての高レベルの分析情報を提供します。
• SQL 評価: SQL 正常性チェック ソリューションは、サーバー環境のリスクと正常性を定期的に評価し、展開されたサーバー インフラストラクチャに固有の推奨事項の優先付けされた一覧を顧客に提供します。
• 更新プログラム管理: 更新プログラム管理ソリューションは、利用可能な更新プログラムの状態や必要な更新プログラムのインストール手順など、オペレーティング システムのセキュリティ更新プログラムを顧客が管理できるようにします。
• エージェントの正常性: エージェントの正常性ソリューションは、展開されているエージェントの数とその地理的分布を報告し、応答のないエージェントの数や運用データを送信しているエージェントの数も報告します。
• Azure アクティビティ ログ: アクティビティ ログ分析ソリューションは、顧客のすべての Azure サブスクリプション全体に渡る Azure アクティビティ ログの分析をサポートします。
• 変更履歴: 変更履歴ソリューションは、顧客が環境内の変更点を簡単に特定できるようにします。

Azure の技術的な情報やセキュリティ対策に関する情報については、コントローラーの顧客は「Azure のセキュリティに関するドキュメント」を参照してください。 Microsoft は顧客データが個人データかどうかを判別できないため、Azure はすべての顧客データが個人データであるものとして処理します。そのため、顧客はすべての素材が関連性のあるものとして考える可能性が高いです。

プロセッサ情報

また、顧客がプロセッサの処理情報のレコードを必要としている可能性があるもう 1 つの製品には、Office 365 があります。 Office 365 に関連する情報を表示するには、「セキュリティ/コンプライアンス センターで監査ログを検索する」の記事を参照してください。

また、セキュリティ/コンプライアンス センターを利用して Dynamics 365 の情報を表示することもできます。 セキュリティ/コンプライアンス センターのページを表示するには、正しいライセンスを取得していることをご確認ください。 ライセンスの詳細については、「Security & Compliance Center service description (セキュリティ/コンプライアンス センターのサービスの説明)」の記事を参照してください。 Dynamics 365 のイベントを検索するには、セキュリティ/コンプライアンス センターで統合監査ログにアクセスします。

プロフェッショナル サービスの情報

プロフェッショナル サービスに関して、プロフェッショナル サービスのサポート データは、顧客によって提供され、顧客の担当者を介してサポート エンジニアに提供されます。 これは、顧客がオンライン製品ポータル、サービス ハブ、スマートフォンを介してサービス要求を送信した場合に発生する場合があります。

情報は Microsoft の CRM システムに保存され、次の目的に対してのみ使用されます。

• テクニカル サポート、専門家による計画、アドバイス、ガイド、データの移行、展開、ソリューション/ソフトウェア開発サービスなど、専門的なサービスの提供。
• トラブルシューティング (セキュリティ インシデントを含む問題の防止、検出、調査、軽減、修復)。
• 継続的な改善 (最新の更新プログラムのインストール、信頼性、有効性、品質、セキュリティの改善などを含むプロフェッショナル サービスの維持)。

Microsoft では、サポート業務の規模により、製品グループベースでの CRM システムを運用しています。 処理のレコードは、それらのシステムに含まれています。 処理の履歴は、CRM システム内に維持されているレコードに反映されています。 ほとんどの場合、サービス要求の履歴はポータルまたはサービス ハブで利用可能です。 ポータルに記載されていない特定の詳細情報や、お客様のデータの処理に関連するその他のお問い合わせについては、お客様のテクニカル アカウント マネージャーにお問い合わせいただくか、Microsoft 技術サポートにお問い合わせください。

詳細情報

• Microsoft Trust Center