個人データ要求に対応する (Microsoft Entra ID)

欧州連合 (EU) の一般データ保護規則 (GDPR) は、データに関する重要な権利を個人に与えています。 GDPR の概要については、Microsoft Learn 一般データ保護規則の概要 を参照してください。これは、用語、アクション計画、準備チェックリストを含み、Microsoft の製品やサービスの使用にともなう GDPR に基づく義務を果たす際に役立ちます。

GDPR の概要と、それに Microsoft を活用して対応する方法、さらにその影響を受けるお客様への Microsoft のサポートについて解説します。

  • Microsoft セキュリティ センター は、データ保護影響評価、データ サブジェクト要求、データ侵害の通知など、GDPR の説明責任を果たすうえで役立つ一般情報、コンプライアンスのベスト プラクティス、ドキュメントを提供します。
  • サービス トラスト ポータル は、Microsoft サービスを活用して GDPR への準拠に対応する方法について、情報を提供します。

Power Automate は、Microsoft クラウドに存在する個人データの修正、エクスポート、または削除の要求に対応するのに役立つツールとリソースを提供します。 この記事は、Microsoft Entra IDを使用して認証するユーザーからの要求に応答するのに役立ちます。 Microsoft アカウントで認証したユーザーからのリクエストに対応する

前提条件

管理されていないテナント のメンバーで、グローバル管理者がいない場合、自分の個人データをエクスポートして削除することができます。 Microsoft Entra のアカウントで Power Automate のライセンス が必要となります。

Power Automate の顧客データに関するリクエストに対応する

データ サブジェクトからの要求には、要求に応じて次のアクションの 1 つ以上が必要です:

  1. 検出: 検索および発見ツールを使用して、アカウントやシステム生成ログなどのユーザーの個人データを見つけます。 要求が、個人データのリクエストに対応するための組織のガイドラインに合致しているかどうかを判断します。

  2. アクセス: Microsoft Cloud に存在する個人データを取得します。

  3. 正: 必要に応じて、要求に応じて個人データを変更します。

    Microsoft はデータ プロセッサとして、システム生成ログを編集する機能を提供していません。 これらのログは実際のアクティビティを反映し、サービス内のすべてのイベントの履歴を構成します。 Power Automate のシステムで生成されるログの詳細情報

  4. 制限する —さまざまなオンライン サービスのライセンスを削除するか、できれば、希望のサービスをオフにして、個人データの処理を限定的にします。 また、Microsoft クラウドからデータを削除しても、オンプレミスまたは別の場所で保持することができます。

  5. 削除: Microsoft のクラウドに存在する個人データを完全に削除します。

  6. エクスポート: データ サブジェクトに対して、機械可読形式の個人データの電子コピーを提供します。