GDPR のデータ保護影響評価

  • [アーティクル]

一般データ保護規則 (GDPR) では、欧州連合 (EU) 内の人々に商品やサービスを提供する、または EU 居住者向けのデータの収集と分析を実行する会社に対して、新しい規則を導入します。GDPR は、個人やその企業がどの場所にあるかに関係なく適用されます。 その他の詳細については、GDPR の概要に関する 記事を参照してください。 このドキュメントでは、Microsoft の製品とサービスを使用する際の GDPR に基づくデータ保護影響評価 (DPIA) に関する情報を提供します。

用語

このドキュメントで使用されている GDPR 用語の役に立つ定義:

  • データ コントローラー (コントローラー): 法人、公的機関、団体、その他の組織。単独または他者と協力して、個人データの処理の目的と方法を決定します。
  • 個人データデータ主体: 特定されたまたは特定可能な自然人 (データ主体) に関連するあらゆる情報。特定可能な自然人とは、直接または間接的に特定することができる者のことです。
  • 処理者: コントローラーに代わって個人データを処理する自然人または法人、公的機関、団体、その他の組織。
  • 顧客データ: ビジネス運営における日々の業務で作成および保存されるデータ。

DPIA とは?

GDPR では、管理者は、「自然人の権利と自由を危険にさらす可能性が高い」操作に関してデータ保護影響評価 (DPIA) を準備する必要があります。 DPIA の作成を必要とする Microsoft の製品やサービスには固有の何もありません。 ただし、Microsoft の製品とサービスは高度なカスタマイズが可能であるため、Microsoft の構成の詳細に応じて DPIA が必要になる場合があります。 Microsoft は、このような情報に関して制御することは一切なく、分析情報を得ることもほとんどありません。 お客様はデータ コントローラーとして、データの適切な使用を決定する必要があります。

実行中の DPIA

DPIA ガイダンスは、Office 365、Azure、Dynamics 365、Microsoft サポート/プロフェッショナル サービスに適用されます。 このガイダンスには、以下の考慮事項が含まれています。

いつ DPIA が必要ですか?

DPIA を完了するかどうかを検討する際には、以下にリストするリスク要因に対処する必要があります。 その他の潜在的要因と詳細については、各ガイドラインの第 1 部を参照してください。

  • 自動処理に基づく、データの体系的かつ広範囲な評価。
  • 特殊なカテゴリのデータ (自然人を一意に識別する情報が明らかになるデータ)、または有罪判決や違反に関する個人データを対象とした大規模な処理。
  • 公開アクセス可能な地域での体系的な大規模監視。

GDPR は、「個人データの処理が、個々の医師、他の医療専門家、または弁護士による患者またはクライアントからの個人データに関する場合、処理が大規模であると見なすべきではありません。 このような場合は、データ保護の影響評価を必須にしないでください。

DPIA の完了には何が必要ですか?

DPIA では、想定された処理作業に関する具体的な情報を提供する必要があります。これは、このガイダンスの第 2 部で詳細に説明します。 この情報には、次のものがあります。

  • DPIA の目的に関するデータ処理作業の必要性および比例性の評価。
  • 自然人の権利および自由に関するリスクの評価。
  • 個人データを確実に保護し、GDPR 準拠を実証するためのセーフガード、セキュリティ対策、メカニズムを含む、リスクに対処するための想定された対策。
  • 処理の目的
  • 処理される個人データのカテゴリ
  • データ保持
  • 個人データの保存場所と移転
  • 第三者の副処理者とのデータの共有
  • 独立した第三者とのデータの共有
  • データ主体の権利

その他の考慮事項

Microsoft 実装に関連する可能性がある具体的な詳細情報については、以下を参照してください。

  • Office 365: このドキュメントは、Exchange Online、SharePoint、Viva Engage、Skype for Business、Power BI など、Office 365アプリケーションとサービスに適用されます。 詳細については、表 12 を参照してください。
  • Azure: Microsoft Azure の使用に関しての DPIA の必要性および内容を判断するにあたり、お客様にはプライバシー責任者または弁護士と連携することをお勧めします。
  • Dynamics 365: DPIA の内容は、使用しているDynamics 365ツールによって異なる場合があります。 詳細については、「パート 2 - DPIA の内容」を参照してください。
  • Windows: このドキュメントは、Windows 診断データ処理者の構成に適用されます。 Windows 診断データ処理者の構成の使用に関しての DPIA の必要性および内容を判断するにあたり、お客様にはプライバシー責任者または弁護士と連携することをお勧めします。
  • Microsoft サポートおよびプロフェッショナル サービス: Professional Services は、特定のルーチンまたは自動化されたデータ処理を実行せず、特別なカテゴリを処理したり、パブリックにアクセス可能なデータの監視を容易にしたり必要とするタスクを実行したりすることを目的としていません。 詳細については、「パート 1 - DPIA が必要であるかどうかの判断」を参照してください。 コントローラーは、コントローラーによる特定の実装およびプロフェッショナル サービスの使用において、上記の DPIA 要素を他のすべての関連要因とともに考慮する必要があります。 プロフェッショナル サービス情報については、「パート 2 - DPIA の内容」を参照してください。

詳細情報