GDPR に基づく違反の通知

Office 365 は、データプロセッサとして、お客様がデータ管理者として GDPR の違反通知要件を満たすことができるようにします。 そのために、私たちは以下の行動に取り組んでいます。

  • セキュリティ違反が発生した場合に通知を受ける、専用のプライバシー連絡先を指定する機能を顧客に提供します。 顧客は、メッセージ センターのプライバシー閲覧者の役割設定を使用してこの連絡先を指定できます。
  • セキュリティ違反が明らかになってから 72 時間以内に、個人データの漏洩を顧客に通知します。 通知はメッセージ センターに発行され、Microsoft 365 管理センターからアクセスできます。 続いて、指定した連絡先に、メッセージ センターの新しい投稿が公開されたことを示すメール通知が送信されます。
  • 最初の通知では少なくとも、違反の性質の説明上、ユーザーへの影響の見積もり、軽減手順 (該当する場合) をお知らせします。最初の通知の時点で Microsoft による調査が完了していない場合は、その最初の通知で次の手順とその後の通信のタイムラインを示します。

Microsoft は、データ管理者がリスク評価を実施し、違反が顧客の DPA の通知を必要とするかどうかを判断する責任があることを認識しており、顧客への通知はその評価を行うために必要な情報を提供します。 したがって、Microsoft は、個人データが理解できないことが確認された場合(たとえば、キーの整合性が確認された暗号化データ)を除き、個人データの侵害についてお客様に通知します。

Office 365 におけるデータ セキュリティに対する投資

違反に対するタイムリーな通知の提供に取り組むことに加え、個人データ漏洩の可能性を低く抑え、迅速に検出し、違反が生じた場合はその結果を軽減するため、Office 365 ではシステム、プロセス、担当者に大きく投資しています。

この領域での投資の一部を以下で説明します。

  • アクセス制御システム。 Office 365 は「ゼロ スタンディング アクセス」ポリシーを維持します。これは、アクセス権の昇格が必要な特定のインシデントに対してサービスへのアクセス権が付与されない限り、エンジニアはアクセス権を持たないことを意味します。アクセス権が付与される場合は必ず、最小権限の原則に従って行われます。最小権限の原則とは、特定の要求に対しては、その要求の処理に必要な最小限のアクション一式のみのアクセス許可を付与するというものです。これを実現するため、Office 365 は「昇格ロール」間を厳密に区別し、各ロールには特定の事前定義アクションの実行のみを許可します。「顧客データへのアクセス」ロールは、サービス管理に広範に使用される他のロールとは区別され、承認前に精査されます。アクセス制御システムをこのように管理することで、エンジニアが Office 365 で顧客データに不適切なアクセスをする可能性は大幅に削減されます。

  • セキュリティ監視システムと自動化: Office 365 は、堅牢でリアルタイムのセキュリティ監視システムを維持しています。このシステムでは、特に顧客データへの不正アクセスやサービスから外部への不正なデータ転送が行われようとしたとき、警告を通知します。前述のアクセス制御に関するポイントと関連して、セキュリティ監視システムは昇格要求の詳細なレコード、および指定された昇格要求に対して実行されるアクションを維持します。Office 365 では、検出された問題に対応して脅威を軽減するために自動的に適用される投資をし、自動的に解決できない通知に応答するための専門チームも管理しています。セキュリティ監視システムを検証するため、Office 365 では、内部の侵入テスト チームが運用環境に対する攻撃者の動作をシミュレートするレッドチーム演習を定期的に行っています。これらの演習により、セキュリティの監視と対応機能は定期的に改善されています。

  • スタッフとプロセス: 前述の自動化に加え、Office 365 では、プライバシーとインシデント管理プロセスに関する広範な組織教育を行い、違反発生時にはそのプロセスを実行する責任を持つプロセスとチームを管理しています。たとえば、詳細なプライバシー侵害の標準運用手順 (SOP) が組織全体のチームで維持され共有されています。この SOP は、Office 365 内の個々のチームと一元的なセキュリティ インシデント対応チームの両方の役割と責任について詳述しています。この責任には、セキュリティに対する姿勢を改善するためにチームが行う必要のある事柄 (セキュリティ レビューの実施、一元的なセキュリティ監視システムとの統合、その他のベスト プラクティス) と、実際の違反が発生した場合に行う必要のある事柄 (インシデント対応の迅速なエスカレーション、特定のデータ ソースの維持と提供) の両方が含まれます。さらに、チームはデータを分類し、個人データを正しい手順で処理と保存を行うために定期的なトレーニングを受けます。

主要な論点は、Office 365 は、お客様に影響を与える個人データ侵害の可能性と結果を減らすため大きな投資を行っていることです。個人データが侵害された場合でも、その違反が確認されたら、お客様に迅速に通知するよう取り組みます。

違反が発生した場合に想定される動作

上記のセクションでは、データ侵害の可能性を減らすために Office365 が行う投資について説明します。 万一違反が発生した場合、お客様は次の対応に関して予測可能なエクスペリエンスを期待できます。

  • Office 365 の一貫性のあるインシデント対応ライフ サイクル。前述のように、Office 365 はチームが違反に備え、違反が発生した場合の動作を説明する詳細なインシデント対応 SOP を維持しています。これにより、保護とプロセスがサービス全体にわたって適用されることが保証されます。

  • 顧客通知のための一貫した基準。通知基準は、顧客データの機密性、整合性、可用性に焦点を合わせています。Office 365 では、顧客データの整合性と機密性のいずれかに影響が及ぶ場合、お客様に直接通知します。つまり、適切な承認なしにデータがアクセスされる場合、またはデータの不適切な破棄や損失がある場合、お客様に通知します。Office 365 ではデータの可用性に影響する問題も報告します。これは通常、サービス正常性ダッシュボード (SHD) で報告されます。

  • 一貫性のある通知の詳細。Office 365 がデータ漏洩に関する通信を行う際、お客様は具体的な詳細情報を期待します。Office 365 では少なくとも次の詳細を提供します。

    • 違反のタイミングと違反の認識のタイミング
    • 影響を受けるユーザー数の概算
    • 侵害されたユーザー データの種類
    • コント ローラーまたはプロセッサのいずれかによる、違反を軽減するために必要なアクション

Office 365 はデータ プロセッサとしてデータ侵害のリスクを判断しないことにご注意ください。個人データ侵害が検出された場合は常に、お客様に通知し、影響を受けるユーザーへのリスクを正確に判断し、規制当局へさらに報告が必要かどうかを決定するために必要な詳細情報を提供します。そのため、データ 管理者にはインシデントについて次の判断が求められます。

  • 違反の重大度 (つまり、リスクの判断)
  • エンドユーザーに通知する必要があるかどうか
  • 規制機関 (DPA) に通知する必要があるかどうか
  • 違反の結果を軽減するためにコント ローラーが実行する具体的な手順

Microsoft へのお問い合わせ

状況によっては、お客様が違反を認識し、Microsoft に通知を希望する場合があります。現状の取り決めでは、お客様が Microsoft サポートに通知してから、詳細についてエンジニアリング チームと連携します。このシナリオでは、Microsoft のエンジニアリング チームも、お客様が必要とする情報を適切なタイミングで、サポート連絡先経由で提供するために取り組みます。

お客様のためのコール トゥ アクション

前述のように、Office 365 は違反が明らかになってから 72 時間以内にお客様に通知するよう取り組んでいます。通知はお客様のテナント管理者に送られます。さらに、Office 365 では、お客様がグローバル プライバシー連絡先のエイリアスを指定することをお勧めします。エイリアスは Azure Active Directory ポータルで指定できます。個人データ漏洩が発生した場合、管理者に送信される通知に加え、このエイリアスに電子メールで送信できます。

お客様のプライバシーの連絡先は、組織内の個人、配布リスト (DL)、または組織外部のユーザーにすることができます。Office 365 からはお客様にこの連絡先の電子メール アドレスの指定のみをお願いします。これは Azure Active Directory ポータルの [グローバル プライバシー連絡先] フィールドで指定できます。このフィールドは、Azure Active Directory の既存の [技術部連絡先] フィールドと関連していますが、異なるものであることに注意してください。お客様がこの連絡先に DL を指定する場合は、外部の送信者からのメッセージを受信できるように DL を構成してください。

要約すると、Office 365 は、違反通知プロセスの恩恵を受けるため、お客様に次の操作をお願いします。

  • 個人データ漏洩に関する電子メール通知を受信する連絡先を決定してください。この連絡先は、GDPR に基づくコント ローラーの要件を認識し、通知受信直後に組織の DPO および場合によっては DPA と連絡を取れるように準備しておく必要があります。テナント管理者も違反の通知を受信し、同様に GDPR に基づくコント ローラーの要件を認識する必要があります。
  • Azure Active Directory ポータルでプライバシーに関する連絡先の電子メール アドレスを入力してください。[グローバル プライバシー連絡先] 情報が指定されていない場合、Microsoft はテナント管理者のみに通知します。