データ対象要求と GDPR および CCPA

一般データ保護規則 (GDPR) では、欧州連合 (EU) 内の人々に商品やサービスを提供する、または EU 居住者向けのデータの収集と分析を実行する会社に対して、新しい規則を導入します。GDPR は、個人やその企業がどの場所にあるかに関係なく適用されます。 詳細については、「GDPR 概要トピック」を参照してください。

同様に、カリフォルニア州消費者プライバシー法 (CCPA) では、個人情報の削除、アクセスおよび受信 (移植性) など、GDPR のデータ主体の権利に類似している権利を含む、カリフォルニア州の消費者のプライバシーの権利および義務を規定します。 また、CCPA では、特定の開示、権利の行使を選択する際の差別に対する保護、"売上" として分類された特定のデータ転送の "オプトアウト/オプトイン" 要件を規定します。 このドキュメントは、Microsoft の製品とサービスの使用における、GDPR および CCPA に基づくデータ主体の要求 (DSR) の完了に関する情報を提供します。

用語

このドキュメントで使用されている GDPR 用語の役に立つ定義:

  • データ コントローラー (コントローラー): 法人、公的機関、団体、その他の組織。単独または他者と協力して、個人データの処理の目的と方法を決定します。
  • 個人データデータ主体: 特定されたまたは特定可能な自然人 (データ主体) に関連するあらゆる情報。特定可能な自然人とは、直接または間接的に特定することができる者のことです。
  • 処理者: コントローラーに代わって個人データを処理する自然人または法人、公的機関、団体、その他の組織。
  • 顧客データ: ビジネス運営における日々の業務で作成および保存されるデータ。

DSR とは?

一般データ保護規則 (GDPR) は、雇用主またはその他の種類の機関または組織 (データ 管理者または単なる管理者と呼ばれます) によって収集された個人データを管理する権利をユーザーに与えます (当該規制では「データ主体」と呼ばれます)。GDPR は、データ主体に個人データに対する特定の権利を与えています。これらの権利には、コピーの取得、変更の要求、処理の制限、削除、または別のコントローラーに移動できるように電子形式で受け取ることが含まれます。

カリフォルニア州消費者プライバシー法 (CCPA) では、個人情報の削除、アクセスおよび受信 (移植性) など、GDPR のデータ主体の権利に類似している権利を含む、カリフォルニア州の消費者のプライバシーの権利および義務を規定します。

管理者は、要求されたアクションを実行するか、または管理者が DSR に対応できない理由についての説明を提供することで、各 DSR を速やかに検討し、実質的な対応を提供する必要があります。 コントローラーは、特定の DSR の適切な処理について自身の法律またはコンプライアンスのアドバイザーに相談する必要があります。

DSR の完了には、組織の GDPR コンプライアンス規則に従って、いくつかのプロセスが必要になる場合があります。

  • 検出。 DSR を完了するために必要なデータを特定するプロセス。
  • アクセス。 検出された情報の取得とデータ主体への潜在的な伝送。
  • 修正。 変更またはその他の要求された個人データの変更を実施します。
  • 制限。 アクセスを制限する、または Microsoft クラウドからデータを削除することにより、個人データのアクセスまたは処理を変更します。
  • エクスポート。 GDPR の「データの移植の権利」で規定されているように、「構造化された一般的に使用されているコンピューターが読み取り可能な形式」の個人データをデータ主体に提供します。
  • Delete Microsoft クラウドから個人データを完全に削除します。

特定の DSR に関する考慮事項

Microsoft の製品またはサービスにより生成された分析情報

分析情報はサービス (MyAnalytics など) によって生成される場合があります。Office 365 には、分析情報を使用するユーザーと組織にこの情報を提供するオンライン サービスが含まれています。 これらのサービスによって生成されたデータによって、DSR に関連する個人データが生成される場合あります。 サービス固有の DSR プロセスに関する詳細については、以下のリストにあるリンクを参照してください。

システム生成ログに関する DSR

Microsoft によって生成されたログと関連データには、"個人データ" の GDPR 定義に基づき個人に関するものとしてみなされるデータが含まれる場合があります。 システム生成ログのデータの制限または修正はサポートされていません。 システム生成ログのデータは、Microsoft のクラウド内で実行された実際のアクションや診断データを構成しているため、変更すると、アクションの履歴記録が損なわれ、詐欺やセキュリティのリスクが増大します。 Microsoft は、DSR の完了に必要となる可能性があるシステム生成ログに対するアクセス、エクスポート、削除の各機能を提供します。 該当するデータには次のようなものがあります。

  • 製品およびサービスの利用状況データ (ユーザー アクティビティ ログなど)
  • ユーザー検索要求およびクエリ データ
  • ユーザーまたはその他のシステムによるシステム機能および相互作用の結果として、製品およびサービスによって生成されたデータ。

Yammer と Kaizala

ユーザー アカウントを削除しても、Yammer と Kaizala でシステム生成されたログは削除されません。これらのアプリケーションからデータを削除するには、次のいずれかの資料を参照してください:

国内クラウド

一部の国内クラウドでは、グローバル IT 管理者がシステム生成ログを削除する必要があります。

Microsoft サービス

お客様の組織またはユーザーが Microsoft の製品とサービスに関連するサポートを受けるために Microsoft と連携している場合、このデータの一部に個人データが含まれる可能性があります。 詳細については、「GDPR のための Microsoft サポート/プロフェッショナル サービス データ主体の要求」を参照してください。

Microsoft コントローラー製品

状況によっては、組織のユーザーは Microsoft がデータ コントローラーである Microsoft の製品またはサービスにアクセスすることもあります。 このような場合、ユーザーは自分自身の DSR を Microsoft に対して直接開始する必要があります。また、Microsoft はユーザーに対する要求を直接満たします。

サード パーティ製品

Microsoft アカウント認証を介してアクセスしたサード パーティの製品とサービスの場合、すべてのデータ主体の要求は該当するサード パーティに送信される必要があります。

データ主体の要求の管理ツール

詳細情報