プライバシー リスク管理のデータ露出超過ポリシー
organizationには、パブリックにアクセスできる領域や制限されているその他の領域など、さまざまなレベルのアクセスでコンテンツが格納される場合があります。 データの露出超過ポリシーは、organizationによって保存されたデータが十分にセキュリティで保護されていない状況を検出して処理するのに役立ちます。 たとえば、内部サイトへのアクセスがあまりにも多くのユーザーに対して開かれている場合や、アクセス許可の設定が維持されていない場合、そのサイトに保存されている個人データは侵害に対して脆弱になる可能性があります。 データの露出超過ポリシーは、これらのリスクについてデータを評価し、潜在的な問題を警告することができます。
ポリシーの一致が検出されると、修復オプションを含むメール通知をユーザーに送信して問題を解決できます。 データの露出過多の場合は、コンテンツ アイテムの非公開化、コンテンツ所有者への通知、さらにレビューのためのアイテムのタグ付けが含まれます。
ポリシー設定プロセスを使用すると、ポリシー条件を簡単に設定できます。 ユーザーが安全なデータ処理プラクティスに注意を向ける電子メールのアラートのタイミングと頻度を完全に制御できます。
ポリシーを作成するには、 テンプレートからという 2 つの方法があります。これは、既定の設定を使用したクイック "すぐに使用できる" オプションです。または カスタム オプション。これは、条件、アラート、通知を設定するためのガイド付きプロセスです。
クイック セットアップ: 既定の設定でテンプレートを使用する
既定のデータ露出超過ポリシーでは、パブリック、外部、および内部の 3 つのアクセス レベルすべてで個人データが評価されます。
既定のデータ転送ポリシーを作成するには、次の手順に従います。
Microsoft Purview コンプライアンス ポータルで、左側のナビゲーションでPriva プライバシー リスク管理を見つけて、[ポリシー] を選択します。
画面の右上隅にある [ ポリシーの作成 ] を選択すると、すべてのポリシー作成オプションが一覧表示されたポップアップ ウィンドウが表示されます。
[ データの露出超過 ] ボックスで、[ 作成] を選択します。
ポップアップ ウィンドウには、ポリシーの詳細が含まれています。 [ 設定の表示 ] を選択すると、既定の設定が表示されます。 ここから設定を編集できます。これにより、以下に説明するガイド付きプロセスが表示されます。 既定の設定を使用して引き続きポリシーを作成するには、わかりやすい名前を入力し、[ ポリシーの作成] を選択します。
ポリシーが作成され、[ ポリシー ] ページに表示されます。 テスト モードで開始されるため、オンにする前に動作を監視できます。
既定のデータの露出超過ポリシー設定
テンプレートから作成されたデータの露出超過ポリシーによって、次の情報が検出されます。
- ユーザーが、organizationの OneDrive または SharePoint に格納されている個人データを含むアイテムに過度に広範なアクセスを提供する場合。 たとえば、ポリシーでは、次の方法で個人データの共有が検出されます。
- 一般のユーザーがアクセスできるリンクを介して
- リンクを介して、またはorganizationのすべてのユーザーがアクセスできるようにするアクセス許可のため
- OneDrive または SharePoint ファイルへの外部ユーザーまたはゲストへのアクセス権の付与
- 次の 分類グループに基づくデータ型:
- EU 一般データ保護規則 (GDPR)
- 米国の個人を特定できる情報
- 米国愛国者法
- 米国の州違反通知法
- US Gramm-Leach-Bliley Act (GLBA)
- 米国医療保険の移植性と説明責任に関する法律 (HIPAA)
- オーストラリア健康記録法 (HRIP)
- オーストラリアプライバシー法
- 日本の個人を特定できる情報
- 個人情報の保護について
カスタム セットアップ: ガイド付きポリシー作成プロセス
カスタム ポリシー オプションは、条件を設定し、アラートの重大度と頻度を指定し、ユーザーの電子メール通知を有効にすることで、新しいポリシーを作成するためのガイド付きプロセスです。
新しいデータの露出超過ポリシーを作成するには、次の手順を実行します。
Microsoft Purview コンプライアンス ポータルで、左側のナビゲーションでPriva プライバシー リスク管理を見つけて、[ポリシー] を選択します。
画面の右上にある [ ポリシーの作成 ] ボタンを選択すると、すべてのポリシー作成オプションが一覧表示されたポップアップ ウィンドウが表示されます。
[ カスタム ] ボックスで、[ 作成] を選択します。
[ 名前と種類 ] ページで、[ データの露出超過 ] ポリシー テンプレートを選択します。 [ポリシー ] ページの 一覧から簡単に識別できるポリシー名を入力し、オプションの説明を入力して、[ 次へ] を選択します。
[ 監視するデータ ] ページで、ポリシーで監視する個人データの種類を選択します。 次の 2 つのオプションがあります。
- 分類グループ: 個人データまたは特定の規制に関連するコンテンツを検出するために使用される機密情報の種類のグループ。 このオプションを選択した場合は、[ +分類グループの追加] を選択して、指定されたリストから 1 つ以上のグループを選択する必要があります。
- 個々の機密情報の種類: 個々の 機密情報の種類の一覧から選択するには、このオプションを選択します。
詳細については、 監視するデータの選択に関するページを参照してください。 監視するデータの選択が完了したら、[ 次へ] を選択します。
[ユーザーとグループ] ページで、ポリシーを適用するorganization内のユーザーを選択します。 個々のすべてのユーザーとすべてのOffice 365配布グループを選択することも、特定のユーザーとグループを選択することもできます。 ユーザーとグループの選択について詳しくは、こちらをご覧ください。 完了したら、[ 次へ] を選択します。
[ 場所 ] ページで、ポリシーでカバーする Microsoft 365 のすべてのデータの場所を選択します。 OneDrive アカウントと SharePoint サイトから選択します。
SharePoint 内では、すべてのサイトまたは特定のサイトを指定できます。 [特定の SharePoint サイト] を選択した場合は、[URL] フィールドにサイト URL を入力できます。 [+サイトの選択] を選択し、ポップアップ ウィンドウで、選択するサイト名の左側にあるボックスをチェックすることもできます。
場所の選択の詳細については、こちらをご覧ください。 場所の選択が完了したら、[ 次へ] を選択します。
[ 条件 ] ページで、ポリシーで検出されるデータの露出超過条件の種類を選択します。
- パブリック: リンクを持つすべてのユーザーがコンテンツにアクセスできます。
- 外部: organization外の特定のユーザーがアクセスできます。
- 内部: organization内のすべてのユーザーにアクセス権があります。
複数のレベルのアクセスを選択すると、データの範囲が広がり、大量のアラートやユーザー通知が生成される可能性があります。
選択項目の横にあるボックスにチェックを配置し、[次へ] を選択します。
[ 結果 ] ページで、ポリシーによって設定された条件に一致したときにユーザーに通知するかどうかを決定します。 [電子メール通知] ボックスをチェックすると、ユーザーのアクションがポリシー条件と一致すると、ユーザーに電子メール通知が送信されます。 電子メールには、メールから直接修復アクションを実行する手順と、プライバシー トレーニングへのリンクが含まれます。 メールの頻度と、優先するプライバシー トレーニングの URL を指定します。
詳細については、 ユーザー通知の設定に関するページを参照してください。 結果の選択が完了したら、[ 次へ] を選択します。
[アラート] ページで、トグル スイッチを使用して、プライバシー リスク管理の [ポリシー] セクションの [アラート] ページに管理者に表示されるアラートを有効にします。 アラートが生成される頻度、アラートが生成される前の一致のしきい値、アラートの重大度を指定します。 ポリシーの一致に対するアラートの設定について詳しくは、こちらをご覧ください。 完了したら、[ 次へ] を選択します。
[ モード ] ページで、ポリシーを配置するモードを選択します。 最初にテスト するか、 すぐにオンにします。 テスト モードでは、アラートや通知は送信されません。 推奨事項の詳細と、 ポリシーをテストするときに分析する内容について説明します。 完了したら、[ 次へ] を選択します。
[ 完了 ] ページで、選択内容を確認します。 設定を調整するには、いずれかのセクションの下にある [ 編集] を 選択します。 ポリシーの設定に問題がなければ、[ 送信] を選択してポリシーを作成します。
数秒後に、ポリシーが作成されたことを確認するメッセージが表示されます。 確認ページで [ 完了] を 選択すると、[ ポリシー] ページに移動し、テーブルの上部に新しいポリシーが表示されます。
次の手順
ポリシーを編集および管理する方法の詳細については、「 プライバシー リスク管理ポリシー 」を参照してください。
法的免責事項
フィードバック
https://aka.ms/ContentUserFeedback。
近日公開予定: 2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub イシューを段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、以下を参照してください:フィードバックの送信と表示