GDPR 違反の通知

一般データ保護規則 (GDPR) では、欧州連合 (EU) 内の人々に商品やサービスを提供する、または EU 居住者向けのデータの収集と分析を実行する会社に対して、新しい規則を導入します。GDPR は、個人やその企業がどの場所にあるかに関係なく適用されます。 詳細については、「GDPR 概要トピック」を参照してください。 このドキュメントは、Microsoft の製品とサービスの使用における、GDPR に基づく違反の通知の完了に関する情報を提供します。

GDPR における個人データ侵害とは?

個人データは、個人に関連する情報のうち、直接的または間接的に個人を特定するために使用できるものを意味します。 個人データ違反とは、「送信、保管またはその他の方法で処理される個人データに対して偶発的または違法な破壊、消失、改変、無断公開、またはアクセスを引き起こすセキュリティ違反」のことです。

用語

このドキュメントで使用されている GDPR 用語の役に立つ定義:

  • データ コントローラー (コントローラー): 法人、公的機関、団体、その他の組織。単独または他者と協力して、個人データの処理の目的と方法を決定します。
  • 個人データデータ主体: 特定されたまたは特定可能な自然人 (データ主体) に関連するあらゆる情報。特定可能な自然人とは、直接または間接的に特定することができる者のことです。
  • 処理者: コントローラーに代わって個人データを処理する自然人または法人、公的機関、団体、その他の組織。
  • 顧客データ: ビジネス運営における日々の業務で作成および保存されるデータ。

Microsoft と違反の通知

Microsoft では、一般データ保護規則 (GDPR) の下での義務を重く受け止めています。 セキュリティ インシデント/データ侵害とは、Microsoft の機器あるいは Microsoft の施設に保存されている顧客のデータへの違法なアクセス、または顧客データの損失、漏洩、改変を引き起こす可能性のあるものへの不正アクセスなどのイベントを指します。

データ処理者として、Microsoft は必ずお客様がデータ管理者として GDPR の違反通知要求を満たせるようにしています。 Microsoft からの通知は、その評価に必要な情報を提供しています。 Microsoft は、個人データが判読不能であると確認された場合 (たとえば、キーの整合性が確認された、暗号化されたデータ) を除き、お客様に個人データ侵害に関する通知を行います。

データ管理者は、データ プライバシーに対するリスクを評価し、お客様の DPA に通知する必要がある違反かどうかを判断する責任があります。 Microsoft は、GDPR コンプライアンス ポリシーに沿って、その評価を行うために必要な情報を提供します。

最初の通知には、侵害の種類、ユーザーへのおおよその影響、緩和手順 (該当する場合) の説明が記載されています。 最初の通知の時点で Microsoft の調査が完了していない場合は、今後の連絡のための次の手順とスケジュールをお知らせします。 マイクロソフトが個人データの侵害を検出して対応する方法の詳細については、Service Trust Portal の GDPR の下でのデータ侵害の通知を参照してください。

特定の Microsoft 製品およびサービスに関する侵害の通知の詳細は、以下の通りです。

  1. Office 365
    Microsoft は、個人データ漏洩の可能性を低く抑え、侵害が生じた場合は迅速に検出して被害を軽減するために、システム、プロセス、担当者に対する大きな投資を行っています。 詳細については、「Office 365 におけるデータ セキュリティに対する投資」を参照してください。

    お客様が侵害に気付いた場合は、Microsoft に問い合わせることができます。 その場合は、Microsoft サポートに連絡してください。Microsoft サポートが、エンジニアリング チームと連携して詳細を確認します。

  2. Azure、Dynamics 365 と Windows Microsoft には、Microsoft Azure、Dynamics 365、および Windows 診断データ プロセッサ構成に対する攻撃の影響緩和を目的とした、24 時間 365 日体制のインシデント対応サービスがあります。

    • 侵害の検出: Microsoft とお客様の両方にセキュリティに関する義務があるため、Azure サービスでは、セキュリティと運用の説明責任を定義した共有責任モデルが導入されています。 Microsoft は、お客様の責任範囲内にあるセキュリティ インシデントの監視または対応は行いません。 適切なサービス契約であれば、お客様のインシデントの場合には、Azure カスタマー サポートと共同で対応することができます。 また、Microsoft Azure には、お客様がセキュリティ インシデント対応の開発と管理に活用できる、さまざまなサービス (Azure Security Center など) が用意されています。

      Microsoft Azure で侵害の調査をトリガーするイベントの一覧については、「潜在的なデータ侵害の検出」を参照してください。 「Azure と GDPR の下での違反の通知」では、Azure 内で発生するセキュリティ インシデントをどのように Microsoft が調査、管理、対応するかを詳しく述べています。

    • データ侵害への対応: Microsoft は、インシデントの機能的影響、回復性、情報の影響を調査し、その侵害の適切な優先度と重大度を判別します。 優先度と重大度は、新しい調査結果と判定に基づき、調査の過程で変わる場合があります。 法的義務およびお客様へのコミットメントに基づいた調査が確実に行われるように、Microsoft のセキュリティ レスポンス チームが世界各国の法律顧問と緊密に連携します。 これらのプロセスの詳細については、「Azure のデータ侵害対応」を参照してください。

    • お客様への通知: Microsoft Azure は、必要に応じてデータ侵害をお客様と規制当局に通知します。 次の場合を除き、お客様への通知は、侵害の発生を認識してから 72 時間以内に行われます。

      • Microsoft が、通知を実行すると他のユーザーにとってリスクが増大する判断した場合。
      • 72 時間以内にインシデントの詳細がいくつか分かりそうな場合。 これらの詳細は、調査が進むにつれて入手できます。

      詳細については、「お客様への通知」を参照してください。

  3. Microsoft サポート/プロフェッショナル サービス
    プロフェッショナル サービスの性質上、一部のデータ保護のインシデントについてはお客様の責任の範囲内に含まれる場合があります。 Microsoft Professional Services によってデータ保護のインシデントと判断された場合は、「データ保護のインシデント対応プロセスの範囲と制限」で説明されている文書化された業界標準対応計画に基づいて、インシデント対応が行われます。

違反の通知管理ツール

  • 組織のプライバシー連絡先の設定: テナント管理者は Azure Active Directory 管理ポータルを使用して、Microsoft が連絡を取る必要がある組織のプライバシー連絡先を定義できます。

詳細情報