Microsoft サポート/プロフェッショナル サービスと GDPR の下での違反の通知

Microsoft サポート/プロフェッショナル サービスでは、一般データ保護規則 (GDPR) の下での義務を重く受け止めています。

Microsoft プロフェッショナル サービスは、技術設計者、エンジニア、コンサルタント、サポート プロフェッショナルで構成されています。この多様性に溢れるグループが、お客様により多くの可能性を提供し、より多くの成果を達成していただくという Microsoft のミッションを果たすために取り組んでいます。191 か国で働く 21,000 人以上のコンサルタント、デジタル アドバイザー、Premier サポート、エンジニア、販売担当者が所属する Microsoft プロフェッショナル サービス チームは、46 か国語で対応し、毎月数百万回のエンゲージメントを提供しています。お客様やパートナーとのやり取りには、客先、電話、Web、コミュニティ、自動化されたツールで対応します。この組織は、大規模なパートナー ネットワーク、技術コミュニティ、ツール、診断、および企業のお客様と Microsoft とをつなげるチャネルを利用して、Microsoft ポートフォリオ全体にわたる幅広い専門知識を提供します。

Microsoft プロフェッショナル サービスのグローバル データ保護インシデント対応チームの目標は、(a) データ保護インシデントの発生を防ぐための厳格な業務とプロセスを採用すること、(b) データ保護インシデントの発生時には専門的かつ効果的にインシデントに対処すること、(c) 定期的な事後分析によってデータ保護インシデントから教訓を学び、プログラムを改善することにあります。Microsoft のプロフェッショナル サービス データ保護インシデント対応チームのプロセスおよび成果は、複数のコンプライアンス監査 (例: ISO/IEC 27001 など) によって審査され、証明されています。

データ保護インシデント対応の概要

お客様のセキュリティ保護に取り組む Microsoft プロフェッショナル サービスでは、お客様の信頼を維持する手段として、データ保護インシデントの発生を防止するためのかなりの数の対策をとっています。プロフェッショナル サービス組織はデータ保護インシデントを、Microsoft で処理中の個人データ、サポート データ、またはコンサルティング データに対する、データの損失、改ざん、許可されない開示につながる意図しない、または不正なアクセスとしてのセキュリティの侵害と定義しています。Premier サポート、統合サポート、または Microsoft コンサルティング サービスを購入したお客様は、https://aka.ms/professionalservicesdpa/ で Professional Services Data Protection Addendum に記載されているデータ保護インシデント対応言語を参照してください。

データ保護のインシデント対応プロセスの範囲と制限

個人データ漏洩の通知プロセスは、Microsoft が [個人データ漏洩] が発生したことを宣言した時点で開始されます。

これを宣言するには、Microsoft データ保護インシデント対応チームが、上述のように定義されているデータ保護インシデントが発生したと判断する必要があります。したがって、データ保護インシデントの発生を決定付ける関連情報をすべて入手した時点で、宣言が行われます。

プロフェッショナル サービスの性質上、Microsoft データ保護インシデントのように思えるイベントでも、お客様のアクションによって発生したか、お客様のシステム上で発生したことから、Microsoft データ保護インシデントとは見なされない場合があります。Microsoft はお客様の責任領域内のデータ保護インシデントを監視することも対応することもしません。ただし、Microsoft がお客様によるデータ保護インシデントを認識した場合は、それを顧客主導データ保護インシデント (データ保護インシデント対応チームが 「イベント」 と呼ぶインシデント) として分類し、お客様に Microsoft による調査結果を報告します。また、リクエストに応じて、Microsoft とのやり取りに必要となる範囲内でお客様のインシデント対応作業を支援します。顧客主導データ保護インシデントの例には、誤ってパスワードやその他の機密データを Microsoft に送信した場合、誤ってデータ削除の要求を送信した場合、詐欺の被害に遭った場合などが挙げられます。

一部のアクションは、完全にこのプロセスの対象外となります。たとえば、データ保護ポリシーや標準に関するお問い合わせ、データ主体の権利の要求、オプトアウト要求、データ保護に関係のない製品要望リストやバグ レポート、顧客データが関与しないデータ保護インシデント、Microsoft に対する詐欺は対象外です。

データ保護インシデントの種類

データ保護インシデント対応チームでは、プロフェッショナル サービスで取り組む可能性のある一連のシナリオを特定しています。基本的なデータ保護インシデント対応フレームワークに従って、対応プロセスを促進させるための手順も開発およびカスタマイズされています。たとえば、電子メールが誤った宛先に送信されたというインシデントについては、調査はほとんど必要ありません。その一方で、悪意のある個人を識別した場合、そのような違反者は本質的に秘密裏にアクティビティを行うことから、徹底的なフォレンジック調査が必要になります。こうした一連のシナリオにより、プロフェッショナル サービスのデータ保護インシデント対応プロセスに関する洞察がもたらされる場合もあります。

データ保護インシデント対応プロセス

Microsoft プロフェッショナル サービスは、データ保護インシデントを識別した時点で、トリアージ プロセスを開始します。このプロセスでは (a) イベントを評価し、(b) そのイベントがデータ保護インシデント対応プロセスの対象であるかどうかを判断し、(c) 悪意のあるイベントであるかどうかを判断し、(d) 事前調査を実施して重大度レベルを割り当て、(e) 警報を発して、Microsoft 内の該当する利害関係者との調整を取ります。また、チームは追跡目的および事後分析の実施に備えて詳細の記録を開始します。

検出

Microsoft プロフェッショナル サービスは、個人データが含まれるデータ ストア (オンラインとオフラインの両方) のすべてにわたり、継続的にデータ保護インシデントの発生を監視しています。データ保護インシデントを検出するために使用している手段は、自動アラート、顧客レポート、外部関係者からのレポート、異常の観測、悪意のあるアクティビティやハッカーのアクティビティの指標など、多岐にわたります。

Microsoft プロフェッショナル サービスで使用している検出プロセスは、データ保護インシデントを発見して調査を開始するように設計されています。たとえば、次のプロセスがあります。

  • セキュリティの脆弱性は照会対象として Microsoft 全体のレポート システムに報告されるか、プロフェッショナル サービス データ保護インシデント対応チームに直接報告されます。
  • お客様はカスタマー サポート ポータルを介して、不審なアクティビティについて説明するレポートを送信します。
  • プロフェッショナル サービスの担当者がエスカレーションを送信します。Microsoft スタッフは潜在的なセキュリティ問題を見分けてエスカレートできるように訓練を受けています。
  • プロフェッショナル サービスを提供するプロセスで使用するツールおよびシステムとして、運用チームは内部モニタリング/アラート フレームワークを介した自動システム警報を使用します。これらの警告はマルウェア対策や侵入検知などのシグネチャ ベースのアラームとして出されることも、予期されるアクティビティをプロファイル化して異常があればアラートを発するアルゴリズムを介して出されることもあります。

データ保護インシデント対応の訓練、データ保護インシデント対応計画のテスト

継続的なトレーニングに加え、プロフェッショナル サービスでは毎年、データ保護インシデントのエスカレーション手順、役割、責任を安定化チームのメンバー全員に伝えるために、該当する社内部署と連携して訓練を実施します。これにより、セキュリティ インシデント、物理的インシデント、プライバシー インシデントの別を問わず、主要な利害関係者が実際のデータ保護インシデントに対応できるよう準備します。訓練には、データ保護インシデント対応チーム、セキュリティ チーム、法務チーム、コミュニケーション チームそれぞれの代表者との演習も含まれます。

演習の完了後、その成果と、採用を決定した是正方法を文書化します。

データ保護インシデント対応のトレーニング

データ保護インシデント対応の重要な要素の 1 つは、担当者がデータ保護インシデントを特定して報告するトレーニングを行うことです。プロフェッショナル サービス組織内の担当者は、プライバシーの基本、GDPR 規制、そしてデータ保護インシデントを特定して報告する際のベスト プラクティスを網羅したトレーニングを受ける必要があります。

定期的なオンライン トレーニングが用意されていて、担当者全員にトレーニングの実施が義務付けられています。トレーニング プログラムには、トレーニングの内容が理解され記憶されるようにすることを目的としたテスト、継続的調査、啓蒙、およびフォローアップが取り入れられています。

プロセス

Microsoft プロフェッショナル サービス組織は、データ保護インシデントを識別すると、文書化された業界標準の対応計画に従って、まず、データ保護インシデントの基準に一致するかどうかを判断するための作業を開始します。データ保護インシデントが発生したと判断された場合、通常はトリアージの直後にそれが宣言されますが、インシデントの複雑さによっては、一定レベルの必要な情報を入手した時点 (調査ステージが完了した時点など) で宣言される場合もあります。その一方で、チームには合理的な疑いが生じているかどうかだけを基に宣言する権限があります。また、チームは調査の進捗に併せて、プロセスのさまざまなステージを入れ替える場合もあります。

重大度レベルに基づいて、Microsoft は、データ保護インシデントに関する社内の事後分析を完了します。その一環として、対応や運用手順が十分であったかどうか評価し、データ保護インシデント対応の標準運用手順、または認識され実装されている関連するプロセスに改善すべき点があれば、それを実施します。データ漏洩に関する社内事後分析の記録は高度な機密情報であり、お客様には開示できません。ただし、その要約がお客様へのイベント通知に含まれることがあります。社内事後分析プロセスは、フォローアップが必ず行われるよう、通常の監査サイクルの一環として外部監査者によってレビューされます。

通知

Microsoft プロフェッショナル サービスが GDPR に基づいてデータ保護インシデントを宣言した場合、Microsoft はその 72 時間以内にお客様に通知することを目標としています。

データ保護インシデントの宣言後は、速く進むセキュリティ リスクについても考慮しながら、できるだけ迅速に通知プロセスを開始します。通知が正常に配信されるよう、お客様の責任として、該当するアカウント、サブスクリプション、およびオンライン サービス ポータルに記録されている管理者の連絡先情報が正しいことを確認してください。目標は影響のあるお客様に正確で実用的な通知をタイムリーに行い、72 時間以内の通知コミットメントを達成することですが、データ保護インシデントの早期においてはすべての詳細情報を入手できない場合があるため、初期通知には完全な情報が含まれないこともあります。さらに、データ保護インシデントの状況により、Microsoft が一部の情報を伏せなければならないこともあります。たとえば、通知するという行動によって、他のお客様へのリスクが大きくなる場合や、Microsoft または法執行機関が悪用者を捉えられる可能性が低くなる場合は、情報の提供を差し控える必要があります。

Microsoft はデータ プロセッサとしての立場で、個人データ漏洩が発生した場合に法的資格を有するデータ保護機関 (Data Protection Authority) および該当するデータ主体にそれを通知することが適切であるかどうかを判断することは、お客様の責任であると認識しています。このような場合、Microsoft プロフェッショナル サービスは、通知を進めるにあたって必要な情報をお客様に提供するよう努めます。

個人データ漏洩をお客様に通知する際、Microsoft は必要に応じて、既知となっている場合は次の情報を通知に含めます。

  • 侵害の性質
  • Microsoft が講じる、または提案する軽減対策
  • 関与する製品、サービス、アプリケーション
  • 個人データが公開された期間 (既知の場合)
  • 影響が及んだ、または公開された個人データ レコードの量 (既知の場合)
  • サブプロセッサ/サプライヤーの詳細 (漏洩に関与する場合)

詳細情報

Microsoft プロフェッショナル サービス (https://aka.ms/pstrust) の詳細をご確認ください。