Microsoft Dataverse 顧客データに対するデータ主体の権利 (DSR) 要求への応答

DSR 要求への概要

欧州連合 (EU) の一般データ保護規則 (GDPR) は、雇用主またはその他の種類の機関や組織 (データ処理者 または単に 処理者 と呼ばれる) によって収集された個人データを管理するユーザー (規則では データ主体 として知られる) に権利を与えます。 個人データは、識別される、または識別可能な自然人に関連した任意のデータとして GDPR に属し、非常に広く定義されます。 GDPRは、個人データに関係するため、データ主体に以下を行う権利を付与します。

  • コピーの取得
  • 訂正の要求
  • 処理の制限
  • 削除
  • 別のコントローラーに移動できるように電子形式で受信する

個人データに関するアクションを起こす目的で、データ主体が管理者に正規の要求をすることを、データ主体の権利 (DSR) 要求と呼びます。

この記事では、Microsoft が GDPR を準備する方法について説明し、Power Apps、Power Automate、Dataverse を使用するときに GDPR コンプライアンスのサポートを実行する手順の例も提供します 。 コントローラーである顧客が DSR 要求に応じて Microsoft クラウド内の個人データを検索、アクセスして、操作できるように、 Microsoft 製品、サービス、および管理ツールを使用する方法を学習します。

以下のアクションについては、この記事に記載されています:

  • 検出 — 検索および検出ツールを使用することによって、DSR 要求の主体になる可能性がある顧客のデータを簡単に検索できます。 応答性を高める可能性のあるドキュメントが収集されたら、次の 1 つ以上の DSR アクションを実行して要求に応答してください。 あるいは、当該要求が DSR の要求に対応するにあたっての組織のガイドラインに適合していないと判断することもできます。

  • アクセス — Microsoft クラウドに存在する個人データを取得し、必要に応じてデータ主体が使用できるようにデータのコピーを作成します。

  • 修正 — 必要に応じて、個人データに変更を加えたり、他に必要なアクションを実行したりします。

  • 制限する —さまざまなオンライン サービスのライセンスを削除するか、できれば、希望のサービスをオフにして、個人データの処理を限定的にします。 また、Microsoft クラウドからデータを削除しても、オンプレミスまたは別の場所で保持することができます。

  • 削除 — Microsoft クラウドに有る個人データを完全に削除します。

  • エクスポート —データ主体に、個人データの電子コピー (機械可読フォーム) を提供します。

Dataverse 顧客データ

重要

Dataverse と Dataverse の以前のバージョンの両方に適用されます。

Dataverse および以前のバージョンの Dataverse には、個人データを操作する別々のプロセスがあります。

Power Apps にログインし、それらの手順に従うことによって、お使いの Dataverse 環境の種類を特定できます。

  1. 環境 ドロップダウン リストで、環境を選択します。

  2. ナビゲーション ウィンドウで、データ を選択し、テーブル を選択します。

    次のテーブルが一覧表示されている場合、ご利用の環境は Dataverse です:

    Power Apps テーブルの一覧。

    次のテーブルが一覧表示されている場合、ご利用の環境は旧バージョンの Dataverse です:

    Power Apps レガシ テーブルの一覧。

お使いの Dataverse 環境の種類を確定したら、次のセクションの手順に従って個人データを識別します。

注意

一部は Dataverse の環境で、その他は以前のバージョンの Dataverse の環境で使用している場合、各環境ごとに以下に説明するプロセスを組織で繰り返す必要があります。

Dataverse の個人データ

前提条件

Dataverse アクセスして使用する前に、Microsoft 365 管理センターでユーザーを作成し、適切なユーザー ライセンスとセキュリティ ロールを割り当てる必要があります。

標準ユーザーの個人データ (たとえば、ユーザー名、ユーザー ID、電話、メール アドレスを含む) は、Microsoft 365 管理センターで保管および管理されます。 システム管理者は Microsoft 365 管理センターでのみこの個人データを更新でき、データはすべての環境において Dataverse システムのユーザー テーブルに自動的に同期されます。 また、システム管理者は、カスタム属性を作成して、Dataverse システムのユーザー テーブル内で追加のユーザー個人データをキャプチャし、これらの属性を手動で維持および管理することもできます。

組織の運用にとって重要なビジネス アプリケーションが中断しないようにするため、ユーザーが Microsoft 365 管理センターから削除された場合でも、Dataverse システムのユーザー テーブルからユーザーの行が自動的に削除されることはありません。 Dataverse でユーザーの状態は「無効」に設定されていますが、Dataverse のシステム管理者は、アプリケーション内の Dataverse からユーザーの個人データを探し出して削除する必要があります。

グローバル管理者と Dataverse のシステム管理者は、以下に示す検出、修正、エクスポート、および削除アクションを実行できます。

検出

システム管理者は Dataverse 環境を複数構築できます 。 これらの環境は、試用、開発、または実稼働の目的で使用できます。 これらの各環境には、システム管理者によって追加されたカスタム属性、および Microsoft 365 管理センターから同期されたユーザー個人データを含む、システム ユーザー テーブルのコピーがあります。

システム管理者は、Microsoft Power Platform 管理センターに移動して、すべての Dataverse 環境のリストを見つけることができます。

以下のリソース内で Dataverse ユーザーの個人データが見つかります:

リソース 目的 Web サイト アクセス プログラムでアクセス
テーブルの行 システム ユーザー テーブルと呼ばれ、ユーザーの個人データを格納します。 Power Platform 管理センター Web APIを使用する
監査履歴 ユーザーがテーブル レベルで作成、アクセス、変更、または削除したリソースを、顧客が識別できるようにします。 Power Platform 管理センター Web APIを使用する

ユーザー

ユーザーの個人データは Azure Active Directory に格納され、すべての Dataverse 環境に自動的に同期されます。 システム管理者は、ユーザーがアクティブになっている間、この個人情報を直接 Dataverse で更新することはできないため、— Microsoft 365 管理センター内から更新する必要があります。 システム管理者は、個人データ (たとえば、ユーザー定義属性) を Dataverse に直接追加できますが、このデータを手動で管理する必要があります。

ユーザーが自分の個人データを確認するには、Power Platform 管理センター にアクセスして、次の手順を実行します:

  1. 環境 を選び、リストから環境を選択します。

  2. 環境を開く を選択します。

  3. 設定 > セキュリティ > ユーザー の順に移動します。

  4. 検索 ボックスにユーザーの名前を入力し、検索 を選択します。

  5. ユーザーの個人データを表示するには、ユーザーの名前をダブル クリックまたはダブル タップします。

    Power Apps ユーザー フォーム。

監査履歴

Dataverse でテーブルの 監査追跡 が有効になっている場合は、ユーザーの個人データはユーザーが実行するアクションと共に監査履歴に記録されます。

修正

データの対象者が組織のデータに存在する個人データの修正を依頼した場合、その依頼を受け入れることが適切であるかどうかは、あなたとあなたの組織が判断しなければなりません。 データの修正には、ドキュメントまたはその他の種類のアイテムの個人データを編集、編纂、または削除することが含まれます。

Azure Active Directory を使用して、Dataverse 内のユーザーの ID (個人データ) を管理できます。 企業のお客様は、特定の Microsoft サービスの性質に応じて、限定的な編集機能を使用して DSR の修正要求を管理します。 Microsoft はデータ処理の提供者として、ログを修正する機能を実装してしていません。これらのログは事実に基づいた処理を反映するものであり、Microsoft サービス内におけるイベントの履歴記録を構成しているためです。 詳細については、GDPR: データ サブジェクト要求 (DSR) を参照してください。

Azure Active Directory からユーザー行が削除されると、システム管理者はすべての環境からそのユーザーに関連する残りの個人データ (カスタム属性など) を削除できます。

エクスポート

システム ユーザー

管理センター内のユーザー一覧から Excel にシステムのユーザー テーブルに格納されているユーザーの個人データをエクスポートすることができます。

Power Platform 管理センター から、以下のことができます:

  1. 環境 を選び、リストから環境を選択します。

  2. 環境を開く を選択します。

  3. 設定 > セキュリティ に移動し、有効なユーザー ビュー を選択します。

  4. Excel にエクスポート を選択します。

監査履歴

監査履歴のスクリーンショットは、管理センターから取得することができます。

Power Platform 管理センター から、以下のことができます:

  1. 環境 を選び、リストから環境を選択します。

  2. 環境を開く を選択します。

  3. 設定 > 監査とログ へと移動し、続いて 監査の概要ビュー を選択します。

    Power Apps 監査履歴メニュー。

  4. ユーザー監査レコードを特定して、[Alt + Prt Sc] を押してスクリーンショットを撮ります。

    Power Apps 監査履歴の詳細。

  5. スクリーンショットをファイルに保存し、DSR 要求者に送信します。

削除

User

組織の運用にとって重要なビジネス アプリケーションが中断しないようにするため、ユーザーが Microsoft 365 管理センターから削除された場合でも、Dataverse システムのユーザー テーブルからユーザーのレコードが自動的に削除されることはありません。 Dataverse でユーザーの状態は「無効」に設定されていますが、Dataverse のシステム管理者は、アプリケーション内の Dataverse からユーザーの個人データを探し出して削除する必要があります。

[ユーザーの概要] ページからユーザーの個人データを削除する

ユーザー レコードが Azure Active Directory から削除される場合、次のメッセージが [ユーザーの概要] ページに表示されます。

このユーザーの情報は Office 365 によって管理されなくなりました。このユーザーに関連付けられているすべての個人データを削除または置換することで、このレコードを更新して DSR 要求に対応することができます。

Power Platform 管理センター から、以下のことができます:

  1. 環境 を選び、リストから環境を選択します。

  2. 環境を開く を選択します。

  3. 設定 > セキュリティ > ユーザー に移動し、無効なユーザー ビュー を選択します。

  4. 検索 ボックスにユーザーの名前を入力し、検索 を選択します。

  5. 検索結果の一覧でユーザー名をダブルクリックします。

  6. ユーザーの概要ページですべての個人データを削除し、保存 を選択します。

Excel を使用してユーザーの個人データを削除する

Power Platform 管理センター から、以下のことができます:

  1. 環境 を選び、リストから環境を選択します。

  2. 環境を開く を選択します。

  3. 設定 > セキュリティ > ユーザー に移動し、無効なユーザー ビュー を選択します。

  4. ユーザーの個人データから Excel テンプレート ファイルを作成してダウンロードします。 手順については、新しい Excel テンプレートを作成するをご覧ください。

  5. ダウンロードした Excel テンプレートファイルを開き、ユーザーの個人データを削除して、ファイルを保存します。

  6. 無効なユーザー ビュー ページに戻り、データのインポート を選択します。

  7. データ ファイルのアップロード ダイアログ ボックスの Excel テンプレート ファイル を選択し、フィールドのマップ ウィンドウですべての必要な変更を加えます。

  8. 次へ を選択し、続いて 送信 を選択します。

[監査概要ビュー] ページで監査履歴を削除する

Power Platform 管理センター から、以下のことができます:

  1. 環境 を選び、リストから環境を選択します。

  2. 環境を開く を選択します。

  3. 設定 > 監査とログ へと移動し、続いて 監査の概要ビュー を選択します。

  4. ユーザーの変更履歴を検索し、行の横にあるチェック ボックスを選び、変更履歴を削除 を選択します。

Dataverse のデータベースに格納されている個人データ

前提条件

Dataverse テーブル内の個人 (顧客など) からの個人データを格納している可能性があります。

Dataverse システム管理者は、DSR の要求に応答してデータを特定できるように、各個人のさまざまなテーブル内で個人データが格納されている場所のインベントリを管理する責任があります。

そうすれば、製品内の機能を使って、テーブルの個人データをエクスポート、修正、削除することができます。

検出

Dataverse のシステム管理者が個人からの DSR 要求を受信した場合は、該当するユーザーの個人データがどの環境または Dataverse 環境に含まれているかを特定する必要があります。 通常、個人データは主要なテーブル (アカウント、連絡先、リード、営業案件など) に格納されますが、DSR 要求に応答できるように、各ユーザーの個人データが格納されている場所のインベントリを維持するためのポリシーと手順を作成するのはユーザーの責任です。

インベントリを使用することで、Dataverse のシステム管理者は、検索テーブルとフィールドを構成し、Dataverse 環境にアクセスして個人データを検出することができます。 詳細については、関連性検索の構成を参照してください。

Power Platform 管理センター から、以下のことができます:

  1. 環境 を選び、リストから環境を選択します。

  2. 環境を開く を選択します。

  3. Dataverse 検索 を選択します。

    Power Apps Dataverse 検索メニュー。

  4. 検索ボックスにユーザーの個人データを入力して、検索 を選択します。

    Power Apps Dataverse 検索結果。

修正

Dataverse システム管理者は、Dataverse 検索の結果のリストを使用して、ユーザーの個人データを更新できます。 ただし、ユーザーの個人データは他のカスタム テーブルに格納されている場合もあります。 Dataverse システム管理者は、これらの他のカスタム テーブルのインベントリを維持し、ユーザーの個人データを適切に更新する責任があります。

Dataverse 検索結果から、次のようにします。

  1. ユーザーの個人データが含まれる項目を選択します。

  2. 必要に応じて、ユーザーの個人データを更新し、保存 を選択します。

    Power Apps アカウントの詳細。

Export

データのスクリーンショットを取得し、DSR 要求者と共有できます。

Power Platform 管理センター から、以下のことができます:

  1. 環境 を選び、リストから環境を選択します。

  2. 環境を開く を選択します。

  3. Dataverse 検索 を選択します。

    Power Apps Dataverse 検索メニュー。

  4. 検索ボックスにユーザーの個人データを入力して、検索 を選択します。

    Power Apps Dataverse 検索結果。

  5. 検索結果の一覧でアイテムをダブルクリックします。

  6. [Alt + Prt Sc] を押してスクリーンショットを撮ります。

  7. スクリーンショットをファイルに保存し、DSR 要求者に送信します。

削除

Dataverse システム管理者は、当該データが保存されているレコードからユーザーの個人データを削除できます。 Dataverse システム管理者は、個人データが格納されているレコードを削除するか、レコードから個人データの内容を削除するかを選択できます。

注意

Dataverse 管理者は、レコードがテーブルから削除されないように、環境をカスタマイズできます。 このように構成されている場合、レコード自体を削除するのではなく、レコードから個人データの内容を削除するようにしてください。

Dataverse 検索結果から、次のようにします。

  1. ユーザーの個人データが含まれる項目を選択します。

  2. リボンで、削除 を選択します。 (レコードが削除できない場合、削除 が無効になります)。

    Power Apps アカウントの削除。

以前のバージョンの Dataverse のデータベースに格納された個人データ

前提条件

Dataverse テーブル内の個人 (顧客など) からの個人データを格納している可能性があります。

Dataverse システム管理者は、DSR の要求に応答してデータを特定できるように、各個人のさまざまなテーブル内で個人データが格納されている場所のインベントリを管理する責任があります。

そうすれば、製品内の機能を使って、テーブルの個人データをエクスポート、修正、削除することができます。

検出

Dataverse のシステム管理者が個人からの DSR 要求を受信した場合は、該当するユーザーの個人データがどの環境または Dataverse 環境に含まれているかを特定する必要があります。 通常、個人データは主要なテーブル (アカウント、連絡先、リード、営業案件など) に格納されますが、DSR 要求に応答できるように、各ユーザーの個人データが格納されている場所のインベントリを維持するためのポリシーと手順を作成するのはユーザーの責任です。

以下のリソース内で、以前のバージョンの Dataverse のユーザーの個人データを見つけることができます。

リソース 目的 Web サイト アクセス プログラムでアクセス
テーブルの行 それぞれのビジネス テーブルでビジネス トランザクションをキャプチャします。 Power Apps 無効

テーブルの行

ユーザーの個人データは、任意のビジネス テーブルに格納できます。

このバージョンの Dataverse には、独自のデータベース スキーマとインフラストラクチャが含まれます。 独自のテーブルがあり、これらのテーブルを Power Apps で管理します。

テーブルの一覧を表示するには、次のようにします:

  1. 環境 ドロップダウン リストで、環境を選択します。

  2. ナビゲーション ウィンドウで、データ を選択し、テーブル を選択します。

    Power Apps レガシ テーブル。

  3. 以下に示すように、テーブルの一覧からテーブル (たとえば、アカウント テーブル) を選択します。

    Power Apps レガシ テーブルの詳細一覧。

  4. データ タブを選択します。テーブルの行の一覧が表示されます。

    Power Apps レガシ アカウント データ。

  5. データのエクスポート を選択します。

  6. エクスポートが完了したら、Excel で開く を選び、編集を有効にする を選択します。

  7. 検索ボタンを選び、検索ボックスに個人データを入力して、検索 を選択します。

  8. インベントリ リストを使用し、ビジネス テーブルごとに上記の手順を繰り返して、ユーザーの個人データをすべて検出します。

修正

データの対象者が組織のデータに存在する個人データの修正を依頼した場合、その依頼を受け入れることが適切であるかどうかは、あなたとあなたの組織が判断しなければなりません。 データの修正には、ドキュメントまたはその他の種類のアイテムの個人データを編集、編纂、または削除することが含まれます。

Azure Active Directory を使用して、以前のバージョンの Dataverse 内のユーザーの ID (個人データ) を管理できます。 企業のお客様は、特定の Microsoft サービスの性質に応じて、限定的な編集機能を使用して DSR の修正要求を管理します。 Microsoft はデータ処理の提供者として、ログを修正する機能を実装してしていません。これらのログは事実に基づいた処理を反映するものであり、Microsoft サービス内におけるイベントの履歴記録を構成しているためです。 詳細については、GDPR: データ サブジェクト要求 (DSR) を参照してください。

Dataverse 環境に存在する個人データを修正するには、テーブル データを Excel スプレッドシートにエクスポートし、更新した後、更新内容をデータベースにインポートし直すことができます。

Dataverse のシステム管理者は、ユーザーの個人データを含むすべてのテーブルを識別し、各テーブルに対して以下の手順を繰り返す責任があります。

Power Apps で次の手順を実行します。

  1. ナビゲーション ウィンドウで、データ を選択し、テーブル を選択します。

    Power Apps レガシ テーブル。

  2. 以下に示すように、テーブルの一覧からテーブル (たとえば、アカウント テーブル) を選択します。

    Power Apps レガシ テーブルの詳細一覧。

  3. データ タブを選択します。テーブルの行の一覧が表示されます。

    Power Apps レガシ アカウント データ。

  4. データのエクスポート を選択します。

  5. エクスポートが完了したら、Excel で開く を選び、編集を有効にする を選択します。

  6. メニュー バーで ファイル から 名前を付けて保存 を選び、ファイルを保存する場所を選択します。

  7. 必要な個人データの更新し、スプレッドシートを保存します。

  8. Power Apps で テーブルの データ タブに戻り、データのインポート を選択します。

  9. 検索 を選び、更新した Excel スプレッドシートを選択して開きます。

  10. インポート を選択します。

Export

各テーブルの個人データを Excel スプレッドシートにエクスポートして表示できます。

Power Apps で次の手順を実行します。

  1. ナビゲーション ウィンドウで、データ を選択し、テーブル を選択します。

    Power Apps レガシ テーブル。

  2. 次に示すように、テーブルの一覧でエクスポートして表示するテーブル (たとえば、アカウント テーブル) を選択します。

    Power Apps レガシ テーブルの詳細一覧。

  3. データ タブを選択します。テーブルの行の一覧が表示されます。

    Power Apps レガシ アカウント データ。

  4. データのエクスポート を選択します。

    エクスポート操作はバックグラウンドで実行され、完了後に通知されます。

  5. エクスポートされたデータを表示するには、Excel で開く を選択します。

DELETE

データのエクスポート/インポート機能を使って、テーブルに格納されている個人データを削除できます。

Dataverse のシステム管理者は、ユーザーの個人データを含むすべてのテーブルを識別し、各テーブルに対して以下の手順を繰り返す責任があります。

Power Apps で次の手順を実行します。

  1. ナビゲーション ウィンドウで、データ を選択し、テーブル を選択します。

    Power Apps レガシ テーブル。

  2. 次に示すように、テーブルの一覧で、個人データを削除するテーブル (たとえば、アカウント テーブル) を選択します。

    Power Apps レガシ テーブルの詳細一覧。

  3. データ タブを選択します。テーブルの行の一覧が表示されます。

    Power Apps レガシ アカウント データ。

  4. データのエクスポート を選択します。

  5. エクスポートが完了したら、Excel で開く を選び、編集を有効にする を選択します。

  6. メニュー バーで ファイル から 名前を付けて保存 を選び、ファイルを保存する場所を選択します。

  7. テーブルから削除する個人データを含む行を削除し、スプレッドシートを保存します。

  8. Power Apps で テーブルの データ タブに戻り、データのインポート を選択します。

  9. 検索 を選び、更新した Excel スプレッドシートを選択して開きます。

  10. インポート を選択します。