プライバシー リスク管理のデータ転送ポリシー

新機能

データ転送ポリシーでは、ユーザーのMicrosoft Entra属性に基づいて転送を検出し、異なる Microsoft 365 グループ内のユーザー間、および SharePoint サイト間の転送を検出することで、追加の柔軟な境界条件が提供されます。 ガイド付きポリシー作成プロセスの手順 8 を参照してください。

概要

個人データの転送は、特にorganizationの外部に転送された場合、またはorganization内の特定の部門または地理的な場所間で送信される場合、リスクを伴います。 たとえば、暗号化されていないメールや未承認の受信者にデータが送信された場合、データはセキュリティで保護されなくなる可能性があります。 このようなデータ転送アクティビティは、規制に影響を与えたり、確立された組織のプライバシープラクティスに違反したりする可能性があります。

プライバシー リスク管理のデータ転送ポリシーを使用すると、organization外での個人データ転送と、さまざまな部門または国または地域間の内部転送を監視できます。 ポリシーの一致が検出されると、ユーザーに電子メール通知を送信して、コンテンツアイテムを非公開にする、コンテンツ所有者に通知する、さらにレビューするアイテムにタグを付けるなど、電子メールで修正措置を講じることができるようにすることができます。

ポリシー設定プロセスを使用すると、ポリシー条件を簡単に設定できます。 Microsoft Teams では、ユーザーが安全なデータ処理プラクティスに注意を払うアラートのタイミングと頻度と、その時点のヒントを完全に制御できます。

ポリシーを作成するには、 テンプレートからという 2 つの方法があります。これは、既定の設定を使用したクイック "すぐに使用できる" オプションです。または カスタム オプション。これは、条件、アラート、通知を設定するためのガイド付きプロセスです。

クイック セットアップ: 既定の設定でテンプレートを使用する

既定のデータ転送ポリシーは、個人データがorganization外の受信者に送信されるタイミングを検出します。 たとえば、organizationのユーザーが[宛先]、[Cc]、または [Bcc] フィールドの外部受信者に Exchange メールを送信すると見なされます。

既定のデータ転送ポリシーを作成するには、次の手順に従います。

  1. Microsoft Purview コンプライアンス ポータルで、左側のナビゲーションでPriva プライバシー リスク管理を見つけて、[ポリシー] を選択します

  2. 画面の右上隅にある [ ポリシーの作成 ] を選択すると、すべてのポリシー作成オプションが一覧表示されたポップアップ ウィンドウが表示されます。

  3. [ データ転送 ] ボックスで、[ 作成] を選択します。

  4. ポップアップ ウィンドウには、ポリシーの詳細が含まれています。 [ 設定の表示 ] を選択すると、 既定の設定が表示されます。 ここから設定を編集できます。これにより、以下に説明するガイド付きプロセスが表示されます。 既定の設定を使用して引き続きポリシーを作成するには、わかりやすい名前を入力し、[ ポリシーの作成] を選択します。

ポリシーが作成され、[ ポリシー ] ページに表示されます。 テスト モードで開始されるため、オンにする前に動作を監視できます。

既定のデータ転送ポリシー設定

テンプレートから作成されたデータ転送ポリシーによって、次の情報が検出されます。

  • organization内の個人データが、organizationの外部の受信者または場所に転送または共有されている場合。
  • 個人データが、organization内の次のいずれかの場所から外部で共有されている場合:
    • Exchange。 例: 個人データを含むメールを、organizationの外部にある受信者のメール アドレスに送信する。
    • OneDriveSharePoint。 例: 個人データを含むファイルまたはサイトへのリンクをorganization外のユーザーに送信する、ファイルをコピーまたは移動して、organizationの外部にある OneDrive または SharePoint の場所に移動する。
    • Teams。 例: 個人データを含む Teams チャット メッセージを、organizationの外部にいる受信者に送信する。
  • 次の 分類グループに基づくデータの種類:
    • EU 一般データ保護規則 (GDPR)
    • 米国の個人を特定できる情報
    • 米国愛国者法
    • 米国の州違反通知法
    • US Gramm-Leach-Bliley Act (GLBA)
    • 米国医療保険の移植性と説明責任に関する法律 (HIPAA)
    • オーストラリア健康記録法 (HRIP)
    • オーストラリアプライバシー法
    • 日本の個人を特定できる情報
    • 個人情報の保護について

カスタム セットアップ: ガイド付きポリシー作成プロセス

カスタム ポリシー オプションは、条件を設定し、アラートの重大度と頻度を指定し、ユーザーの電子メール通知を有効にすることで、新しいポリシーを作成するためのガイド付きプロセスです。

新しいデータ転送ポリシーを作成するには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、左側のナビゲーションでPriva プライバシー リスク管理を見つけて、[ポリシー] を選択します

  2. 画面の右上にある [ ポリシーの作成 ] ボタンを選択すると、すべてのポリシー作成オプションが一覧表示されたポップアップ ウィンドウが表示されます。

  3. [ カスタム ] ボックスで、[ 作成] を選択します。

  4. [ 名前と種類 ] ページで、[ データ転送 ポリシー] テンプレートを選択します。 [ポリシー ] ページの 一覧から簡単に識別できるポリシー名を入力し、オプションの説明を入力して、[ 次へ] を選択します。

  5. [ 監視するデータ ] ページで、ポリシーで監視する個人データの種類を選択します。 次の 2 つのオプションがあります。

    • 分類グループ: 個人データまたは特定の規制に関連するコンテンツを検出するために使用される機密情報の種類のグループ。 このオプションを選択した場合は、[ +分類グループの追加] を選択して、指定されたリストから 1 つ以上のグループを選択する必要があります。
    • 個々の機密情報の種類: 個々の 機密情報の種類の一覧から選択するには、このオプションを選択します。

    詳細については、 監視するデータの選択に関するページを参照してください。 監視するデータの選択が完了したら、[ 次へ] を選択します。

  6. [ユーザーとグループ] ページで、ポリシーを適用するorganization内のユーザーを選択します。 個々のすべてのユーザーとすべてのOffice 365配布グループを選択することも、特定のユーザーとグループを選択することもできます。 ユーザーとグループの選択について詳しくは、こちらをご覧ください。 完了したら、[ 次へ] を選択します。

  7. [ 場所 ] ページで、ポリシーでカバーする Microsoft 365 のすべてのデータの場所を選択します。 Exchange メール アカウント、OneDrive アカウント、Teams チャットとチャネル メッセージ、SharePoint サイトから選択します。

    SharePoint 内では、すべてのサイトまたは特定のサイトを指定できます。 [特定の SharePoint サイト] を選択した場合は、[URL] フィールドにサイト URL を入力できます。 [+サイトの選択] を選択し、ポップアップ ウィンドウで、選択するサイト名の左側にあるボックスをチェックすることもできます。

    場所の選択の詳細については、こちらをご覧ください。 場所の選択が完了したら、[ 次へ] を選択します。

  8. [ 条件 ] ページで、ポリシーで検出されるデータ転送条件の種類を選択します。

    • organization外への転送: organization内のユーザーまたはグループから、organization外の外部またはゲスト ユーザーへの転送を検出します。
    • 国の境界またはリージョンを越えた転送: このオプションでは、送信者リージョンと受信者リージョンを選択します。 表示されるポップアップ ウィンドウから指定した国または地域を選択し、[ 追加] を選択します。
    • ユーザー間の転送: 部門、郵便番号、役職などのユーザーのMicrosoft Entra属性に基づいて転送を検出します。
    • Microsoft 365 グループ間の転送: 2 つの Microsoft 365 グループのユーザー間の転送を検出します。 これには、グループに関連付けられている Exchange メールボックスと SharePoint サイトが含まれます。
    • SharePoint サイト間の転送: 個人データを含むアイテムが、ある SharePoint サイトから別の SharePoint サイトにコピーまたは移動されたことを検出します。
  9. [ 結果 ] ページで、ポリシーによって設定された条件に一致したときにユーザーに通知するかどうかを決定します。 次のオプションの 1 つまたは両方を選択することも、チェックボックスを空白のままにしても選択できません。

    • Microsoft Teams で送信されるヒント: データ処理のヒントは、ポリシーの条件に一致するアクションを実行すると、ユーザーの Teams インスタンスに表示されます。 推奨されるプライバシー トレーニングの URL を追加する必要があります。これはヒントにも表示されます。
    • Email通知: アクションがポリシー条件と一致すると、ユーザーは電子メール通知を受け取ります。 電子メールには、メールから直接修復アクションを実行する手順と、プライバシー トレーニングへのリンクが含まれます。 メールの頻度と、優先するプライバシー トレーニングの URL を指定します。

    詳細については、 ユーザー通知の設定に関するページを参照してください。 結果の選択が完了したら、[ 次へ] を選択します。

  10. [アラート] ページで、トグル スイッチを使用して、プライバシー リスク管理の [ポリシー] セクションの [アラート] ページに管理者に表示されるアラートを有効にします。 アラートが生成される頻度、アラートが生成される前の一致のしきい値、アラートの重大度を指定します。 ポリシーの一致に対するアラートの設定について詳しくは、こちらをご覧ください。 完了したら、[ 次へ] を選択します。

  11. [ モード ] ページで、ポリシーを配置するモードを選択します。 最初にテスト するか、 すぐにオンにします。 テスト モードでは、アラートや通知は送信されません。 推奨事項の詳細と、 ポリシーをテストするときに分析する内容について説明します。 完了したら、[ 次へ] を選択します。

  12. [ 完了 ] ページで、選択内容を確認します。 設定を調整するには、いずれかのセクションの下にある [ 編集] を 選択します。 ポリシーの設定に問題がなければ、[ 送信] を選択してポリシーを作成します。

数秒後に、ポリシーが作成されたことを確認するメッセージが表示されます。 確認ページで [ 完了] を 選択すると、[ ポリシー] ページに移動し、テーブルの上部に新しいポリシーが表示されます。

次の手順

ポリシーを編集および管理する方法の詳細については、「 プライバシー リスク管理ポリシー 」を参照してください。

Microsoft Priva法的免責事項