Azure Information Protection の個人データの管理Manage personal data for Azure Information Protection

Azure Information Protection を構成して使用すると、Azure Information Protection サービスによって電子メール アドレスと IP アドレスが格納され、使用されます。When you configure and use Azure Information Protection, email addresses and IP addresses are stored and used by the Azure Information Protection service. これらの個人データは、次の項目に使用されます。This personal data can be found in the following items:

  • Azure Information Protection ポリシーThe Azure Information Protection policy

  • 保護サービスのテンプレートTemplates for the protection service

  • 保護サービスのスーパーユーザーと代理管理者Super users and delegated administrators for the protection service

  • 保護サービスの管理ログAdministration logs for the protection service

  • 保護サービスの使用状況ログUsage logs for the protection service

  • ドキュメント追跡ログDocument tracking logs

  • Azure Information Protection クライアントと RMS クライアントの使用状況ログUsage logs for the Azure Information Protection clients and RMS client

注意

この記事では、個人データをデバイスやサービスから削除するための手順を示します。この記事は、GDPR 下でのユーザーの義務をサポートするために使用できます。This article provides steps for how to delete personal data from the device or service and can be used to support your obligations under the GDPR. GDPR に関する一般的な情報については、Service Trust Portal の GDPR セクションをご覧ください。If you’re looking for general info about GDPR, see the GDPR section of the Service Trust portal.

Azure Information Protection によって使用される個人データの表示Viewing personal data that Azure Information Protection uses

管理者は Azure を使用して、スコープ付きポリシーや、ラベル構成内での保護設定の電子メール アドレスを指定できます。Using the Azure portal, an administrator can specify email addresses for scoped policies and for protection settings within a label configuration. 詳しくは、「スコープ ポリシーを使用して特定のユーザーの Azure Information Protection ポリシーを構成する方法」および「Rights Management による保護でラベルを構成する方法」をご覧ください。For more information, see How to configure the Azure Information Protection policy for specific users by using scoped policies and How to configure a label for Rights Management protection.

Azure Rights Management サービスから保護を適用するように構成されているラベルについては、 Aipservice モジュールの PowerShell コマンドレットを使用して、保護テンプレートに電子メールアドレスを指定することもできます。For labels that are configured to apply protection from the Azure Rights Management service, email address can also be found in protection templates, by using PowerShell cmdlets from the AIPService module. この PowerShell モジュールでは、スーパー ユーザーになるユーザーや、Azure Rights Management サービスの管理者になるユーザーを電子メール アドレスで指定することもできます。This PowerShell module also lets an administrator specify users by email address to be a super user, or an administrator for the Azure Rights Management service.

Azure Information Protection を使用してドキュメントや電子メールを分類し、保護した場合、電子メール アドレスとユーザーの IP アドレスがログ ファイルに保存される可能性があります。When Azure Information Protection is used to classify and protect documents and emails, email addresses and the users' IP addresses might be saved in log files.

保護テンプレートProtection templates

Get AipServiceTemplateコマンドレットを実行して、保護テンプレートの一覧を取得します。Run the Get-AipServiceTemplate cmdlet to get a list of protection templates. テンプレート ID を使用すると、特定のテンプレートの詳細を取得できます。You can use the template ID to get details of a specific template. RightsDefinitions オブジェクトは個人データを表示します (存在する場合)。The RightsDefinitions object displays the personal data, if any.

次に例を示します。Example:

PS C:\Users> Get-AipServiceTemplate -TemplateId fcdbbc36-1f48-48ca-887f-265ee1268f51 | select *


TemplateId              : fcdbbc36-1f48-48ca-887f-265ee1268f51
Names                   : {1033 -> Confidential}
Descriptions            : {1033 -> This data includes sensitive business information. Exposing this data to
                          unauthorized users may cause damage to the business. Examples for Confidential information
                          are employee information, individual customer projects or contracts and sales account data.}
Status                  : Archived
RightsDefinitions       : {admin@aip500.onmicrosoft.com -> VIEW, VIEWRIGHTSDATA, EDIT, DOCEDIT, PRINT, EXTRACT,
                          REPLY, REPLYALL, FORWARD, EXPORT, EDITRIGHTSDATA, OBJMODEL, OWNER,
                          AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@aip500.onmicrosoft.com -> VIEW,
                          VIEWRIGHTSDATA, EDIT, DOCEDIT, PRINT, EXTRACT, REPLY, REPLYALL, FORWARD, EXPORT,
                          EDITRIGHTSDATA, OBJMODEL, OWNER, admin2@aip500.onmicrosoft.com -> VIEW, VIEWRIGHTSDATA, EDIT,
                          DOCEDIT, PRINT, EXTRACT, REPLY, REPLYALL, FORWARD, EXPORT, EDITRIGHTSDATA, OBJMODEL, OWNER}
ContentExpirationDate   : 1/1/0001 12:00:00 AM
ContentValidityDuration : 0
ContentExpirationOption : Never
LicenseValidityDuration : 7
ReadOnly                : False
LastModifiedTimeStamp   : 1/26/2018 6:17:00 PM
ScopedIdentities        : {}
EnableInLegacyApps      : False
LabelId                 :

保護サービスのスーパーユーザーと代理管理者Super users and delegated administrators for the protection service

AipServiceSuperUserコマンドレットを実行し、 -aipserviceroleベースの管理者コマンドレットを実行して、azure から保護サービス (azure Rights Management) のスーパーユーザーロールまたは全体管理者ロールが割り当てられているユーザーを確認します。Information Protection。Run the Get-AipServiceSuperUser cmdlet and get-aipservicerolebasedadministrator cmdlet to see which users have been assigned the super user role or global administrator role for the protection service (Azure Rights Management) from Azure Information Protection. これらいずれかのロールが割り当てられているユーザーについては、電子メール アドレスが表示されます。For users who have been assigned either of these roles, their email addresses are displayed.

保護サービスの管理ログAdministration logs for the protection service

Get-AipServiceAdminLogコマンドレットを実行して、Azure Information Protection から保護サービス (Azure Rights Management) の管理操作のログを取得します。Run the Get-AipServiceAdminLog cmdlet to get a log of admin actions for the protection service (Azure Rights Management) from Azure Information Protection. このログには、個人データが電子メール アドレスと IP アドレスの形式で記録されます。This log includes personal data in the form of email addresses and IP addresses. ログはプレーン テキストで、ダウンロード後は特定の管理者の詳細をオフラインで検索できます。The log is in plaintext and after it is downloaded, the details of a specific administrator can be searched offline.

たとえば、次のようになります。For example:

PS C:\Users> Get-AipServiceAdminLog -Path '.\Desktop\admin.log' -FromTime 4/1/2018 -ToTime 4/30/2018 -Verbose
The Rights Management administration log was successfully generated and can be found at .\Desktop\admin.log.

保護サービスの使用状況ログUsage logs for the protection service

Get-AipServiceUserLogコマンドレットを実行して、Azure Information Protection から保護サービスを使用するエンドユーザーの操作のログを取得します。Run the Get-AipServiceUserLog cmdlet to retrieve a log of end-user actions that use the protection service from Azure Information Protection. ログには、個人データが電子メール アドレスと IP アドレスの形式で記録される場合があります。The log could include personal data in the form of email addresses and IP addresses. ログはプレーン テキストで、ダウンロード後は特定の管理者の詳細をオフラインで検索できます。The log is in plaintext and after it is downloaded, the details of a specific administrator can be searched offline.

たとえば、次のようになります。For example:

PS C:\Users> Get-AipServiceUserLog -Path '.\Desktop\' -FromDate 4/1/2018 -ToDate 4/30/2018 -NumberOfThreads 10
Acquiring access to your user log…
Downloading the log for 2018-04-01.
Downloading the log for 2018-04-03.
Downloading the log for 2018-04-06.
Downloading the log for 2018-04-09.
Downloading the log for 2018-04-10.
Downloaded the log for 2018-04-01. The log is available at .\Desktop\rmslog-2018-04-01.log.
Downloaded the log for 2018-04-03. The log is available at .\Desktop\rmslog-2018-04-03.log.
Downloaded the log for 2018-04-06. The log is available at .\Desktop\rmslog-2018-04-06.log.
Downloaded the log for 2018-04-09. The log is available at .\Desktop\rmslog-2018-04-09.log.
Downloaded the log for 2018-04-10. The log is available at .\Desktop\rmslog-2018-04-10.log.
Downloading the log for 2018-04-12.
Downloading the log for 2018-04-13.
Downloading the log for 2018-04-14.
Downloading the log for 2018-04-16.
Downloading the log for 2018-04-18.
Downloaded the log for 2018-04-12. The log is available at .\Desktop\rmslog-2018-04-12.log.
Downloaded the log for 2018-04-13. The log is available at .\Desktop\rmslog-2018-04-13.log.
Downloaded the log for 2018-04-14. The log is available at .\Desktop\rmslog-2018-04-14.log.
Downloaded the log for 2018-04-16. The log is available at .\Desktop\rmslog-2018-04-16.log.
Downloaded the log for 2018-04-18. The log is available at .\Desktop\rmslog-2018-04-18.log.
Downloading the log for 2018-04-24.
Downloaded the log for 2018-04-24. The log is available at .\Desktop\rmslog-2018-04-24.log.

ドキュメント追跡ログDocument tracking logs

Get-AipServiceDocumentLogコマンドレットを実行して、特定のユーザーに関するドキュメント追跡サイトから情報を取得します。Run the Get-AipServiceDocumentLog cmdlet to retrieve information from the document tracking site about a specific user. ドキュメントログに関連付けられている追跡情報を取得するには、 Get AipServiceTrackingLogコマンドレットを使用します。To get tracking information associated with the document logs, use the Get-AipServiceTrackingLog cmdlet.

たとえば、次のようになります。For example:

PS C:\Users> Get-AipServiceDocumentLog -UserEmail "admin@aip500.onmicrosoft.com"


ContentId             : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer                : admin@aip500.onmicrosoft.com
Owner                 : admin@aip500.onmicrosoft.com
ContentName           :
CreatedTime           : 3/6/2018 10:24:00 PM
Recipients            : {
                        PrimaryEmail: johndoe@contoso.com
                        DisplayName: JOHNDOE@CONTOSO.COM
                        UserType: External,
                        PrimaryEmail: alice@contoso0110.onmicrosoft.com
                        DisplayName: ALICE@CONTOSO0110.ONMICROSOFT.COM
                        UserType: External
                        }
TemplateId            :
PolicyExpires         :
EULDuration           :
SendRegistrationEmail : True
NotificationInfo      : Enabled: False
                        DeniedOnly: False
                        Culture:
                        TimeZoneId:
                        TimeZoneOffset: 0
                        TimeZoneDaylightName:
                        TimeZoneStandardName:

RevocationInfo        : Revoked: False
                        RevokedTime:
                        RevokedBy:


PS C:\Users> Get-AipServiceTrackingLog -UserEmail "admin@aip500.onmicrosoft.com"

ContentId            : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer               : admin@aip500.onmicrosoft.com
RequestTime          : 3/6/2018 10:45:57 PM
RequesterType        : External
RequesterEmail       : johndoe@contoso.com
RequesterDisplayName : johndoe@contoso.com
RequesterLocation    : IP: 167.220.1.54
                       Country: US
                       City: redmond
                       Position: 47.6812453974602,-122.120736471666

Rights               : {VIEW,OBJMODEL}
Successful           : False
IsHiddenInfo         : False

ObjectID による検索はできません。There is no search by ObjectID. ただし、-UserEmail パラメーターによる制限はなく、指定する電子メール アドレスがテナントの一部である必要はありません。However, you are not restricted by the -UserEmail parameter and the email address you provide doesn't need to be part of your tenant. 指定した電子メール アドレスがドキュメント追跡ログ内のどこかに保存されている場合は、コマンドレットの出力にドキュメント追跡エントリが返されます。If the email address provided is stored anywhere in the document tracking logs, the document tracking entry is returned in the cmdlet output.

Azure Information Protection クライアントと RMS クライアントの使用状況ログUsage logs for the Azure Information Protection clients and RMS client

ドキュメントと電子メールにラベルと保護が適用されている場合、電子メール アドレスと IP アドレスは、ユーザーのコンピューター上の次の場所にあるログ ファイルに格納される可能性があります。When labels and protection are applied to documents and emails, email addresses and IP addresses can be stored in log files on a user's computer in the following locations:

  • Azure Information Protection 統合されたラベル付けクライアントと Azure Information Protection クライアントの場合:%localappdata%\Microsoft\MSIP\LogsFor the Azure Information Protection unified labeling client and the Azure Information Protection client: %localappdata%\Microsoft\MSIP\Logs

  • RMS クライアントの場合: %localappdata%\Microsoft\MSIPC\msip\LogsFor the RMS client: %localappdata%\Microsoft\MSIPC\msip\Logs

また、Azure Information Protection クライアントは、この個人データをローカル Windows イベント ログの [アプリケーションとサービス ログ] > [Azure Information Protection] に記録します。In addition, the Azure Information Protection client logs this personal data to the local Windows event log Applications and Services Logs > Azure Information Protection.

Azure Information Protection クライアントがスキャナーを実行した場合、個人データは、スキャナーを実行する Windows Server コンピューター上の %localappdata%\Microsoft\MSIP\Scanner\Reports に保存されます。When the Azure Information Protection client runs the scanner, personal data is saved to %localappdata%\Microsoft\MSIP\Scanner\Reports on the Windows Server computer that runs the scanner.

Azure Information Protection のクライアントとスキャナーに関する情報のログ記録をオフにするには、次の構成を使います。You can turn off logging information for the Azure Information Protection client and the scanner by using the following configurations:

  • Azure Information Protection クライアントの場合: LogLevelOffに構成する高度なクライアント設定を作成します。For the Azure Information Protection client: Create an advanced client setting that configures the LogLevel to Off.

  • Azure Information Protection スキャナーの場合: set-Aipscanの configurationコマンドレットを使用して、 ReportlevelパラメーターをOffに設定します。For the Azure Information Protection scanner: Use the Set-AIPScannerConfiguration cmdlet to set the ReportLevel parameter to Off.

注意

個人データの表示または削除に関心がある場合は、Microsoft Compliance Manager および Microsoft 365 Enterprise コンプライアンス サイトの GDPR セクションで、Microsoft のガイダンスをご覧ください。If you’re interested in viewing or deleting personal data, please review Microsoft's guidance in the Microsoft Compliance Manager and in the GDPR section of the Microsoft 365 Enterprise Compliance site. GDPR に関する一般情報については、Service Trust Portal の GDPR セクションをご覧ください。If you’re looking for general information about GDPR, see the GDPR section of the Service Trust portal.

個人情報のセキュリティ保護とアクセス制御Securing and controlling access to personal information

Azure Portal で表示および指定する個人データは、次のいずれかの Azure Active Directory 管理者ロールを割り当てられたユーザーだけがアクセスできます。Personal data that you view and specify in the Azure portal is accessible only to users who have been assigned one of the following administrator roles from Azure Active Directory:

  • Azure Information Protection 管理者Azure Information Protection administrator

  • コンプライアンス管理者Compliance administrator

  • コンプライアンスデータ管理者Compliance data administrator

  • セキュリティ管理者Security administrator

  • セキュリティ閲覧者Security reader

  • グローバル管理者Global administrator

  • グローバルリーダーGlobal reader

AIPService モジュール (または以前のモジュール AADRM) を使用して表示および指定した個人データは、 Azure Information Protection 管理者コンプライアンス管理者コンプライアンス対応に割り当てられているユーザーのみがアクセスできます。データ管理者、または Azure Active Directory からのグローバル管理者ロール、または保護サービスのグローバル管理者ロール。Personal data that you view and specify by using the AIPService module (or the older module, AADRM) is accessible only to users who have been assigned the Azure Information Protection administrator, Compliance administrator, Compliance data administrator, or Global Administrator roles from Azure Active Directory, or the global administrator role for the protection service.

個人データの更新Updating personal data

Azure Information Protection ポリシーのスコープ付きポリシーと保護設定の電子メール アドレスは更新することができます。You can update email addresses for scoped policies and protection settings in the Azure Information Protection policy. 詳しくは、「スコープ ポリシーを使用して特定のユーザーの Azure Information Protection ポリシーを構成する方法」および「Rights Management による保護でラベルを構成する方法」をご覧ください。For more information, see How to configure the Azure Information Protection policy for specific users by using scoped policies and How to configure a label for Rights Management protection.

保護設定では、 Aipservice モジュールの PowerShell コマンドレットを使用して、同じ情報を更新できます。For the protection settings, you can update the same information by using PowerShell cmdlets from the AIPService module.

スーパー ユーザーと代理管理者の電子メール アドレスを更新することはできません。You cannot update email addresses for the super users and delegated administrators. 代わりに、指定されたユーザー アカウントを削除し、更新後の電子メール アドレスを使ったユーザー アカウントを追加します。Instead, remove the specified user account, and add the user account with the updated email address.

保護テンプレートProtection templates

Set-AipServiceTemplatePropertyコマンドレットを実行して、保護テンプレートを更新します。Run the Set-AipServiceTemplateProperty cmdlet to update the protection template. 個人データは RightsDefinitions プロパティ内にあるため、 AipServiceRightsDefinitionコマンドレットを使用して、更新された情報を含む権限定義オブジェクトを作成し、と Set-AipServiceTemplateProperty 共に権限定義オブジェクトを使用する必要もあります。コマンドレット.Because the personal data is within the RightsDefinitions property, you will also need to use the New-AipServiceRightsDefinition cmdlet to create a rights definitions object with the updated information, and use the rights definitions object with the Set-AipServiceTemplateProperty cmdlet.

保護サービスのスーパーユーザーと代理管理者Super users and delegated administrators for the protection service

スーパー ユーザーの電子メール アドレスを更新する必要がある場合には、次の操作を行います。When you need update an email address for a super user:

  1. ユーザーと古いメールアドレスを削除するには、 AipServiceSuperUserを使用します。Use Remove-AipServiceSuperUser to remove the user and old email address.

  2. ユーザーと新しい電子メールアドレスを追加するには、 AipServiceSuperUserを使用します。Use Add-AipServiceSuperUser to add the user and new email address.

代理管理者の電子メール アドレスを更新する必要がある場合には、次の操作を行います。When you need update an email address for a delegated administrator:

  1. ユーザーと古いメールアドレスを削除するには、[削除] を使用します。Use Remove-AipServiceRoleBasedAdministrator to remove the user and old email address.

  2. ユーザーと新しい電子メールアドレスを追加するには、[追加] を使用します。Use Add-AipServiceRoleBasedAdministrator to add the user and new email address.

個人データの削除Deleting personal data

Azure Information Protection ポリシーのスコープ付きポリシーと保護設定の電子メール アドレスは削除することができます。You can delete email addresses for scoped policies and protection settings in the Azure Information Protection policy. 詳しくは、「スコープ ポリシーを使用して特定のユーザーの Azure Information Protection ポリシーを構成する方法」および「Rights Management による保護でラベルを構成する方法」をご覧ください。For more information, see How to configure the Azure Information Protection policy for specific users by using scoped policies and How to configure a label for Rights Management protection.

保護設定では、 Aipservice モジュールの PowerShell コマンドレットを使用して、同じ情報を削除できます。For the protection settings, you can delete the same information by using PowerShell cmdlets from the AIPService module.

スーパーユーザーと代理管理者の電子メールアドレスを削除するには、 AipServiceSuperUserコマンドレットを使用してこれらのユーザーを削除し、 -Aipservicerole を削除します。To delete email addresses for super users and delegated administrators, remove these users by using the Remove-AipServiceSuperUser cmdlet and Remove-AipServiceRoleBasedAdministrator.

ドキュメント追跡ログ、管理ログ、または保護サービスの使用状況ログで個人データを削除するには、次のセクションを使用して Microsoft サポートで要求を発生させます。To delete personal data in document tracking logs, administration logs, or usage logs for the protection service, use the following section to raise a request with Microsoft Support.

コンピューターに保存されているクライアント ログ ファイルとスキャナー ログ内の個人データを削除するには、標準の Windows ツールを使用して、ファイルやファイル内の個人データを削除します。To delete personal data in the client log files and scanner logs that are stored on computers, use any standard Windows tools to delete the files or personal data within the files.

Microsoft サポートを通じて個人データを削除するにはTo delete personal data with Microsoft Support

次の3つの手順を使用して、保護サービスのドキュメント追跡ログ、管理ログ、または使用状況ログで個人データを削除するように要求します。Use the following three steps to request that Microsoft deletes personal data in document tracking logs, administration logs, or usage logs for the protection service.

手順 1: 削除リクエストを開始する Microsoft サポートに連絡して Azure Information Protection のサポート ケースを開き、テナントからデータを削除するよう要請します。Step 1: Initiate delete request Contact Microsoft Support to open an Azure Information Protection support case with a request for deleting data from your tenant. 自分が Azure Information Protection テナントの管理者であることを証明する必要があります。また、このプロセスの確認には数日かかることを承知しておく必要があります。You must prove that you are an administrator for your Azure Information Protection tenant and understand that this process takes several days to confirm. リクエストを発行する際には、削除するデータの種類に応じて、追加情報を提供する必要があります。While submitting your request, you will need to provide additional information, depending on the data that needs to be deleted.

  • 管理ログを削除するには、終了日を指定します。To delete the administration log, provide the end date. その終了日までのすべての管理者ログが削除されます。All admin logs until that end date will be deleted.
  • 使用状況ログを削除するには、終了日を指定します。To delete the usage logs, provide the end date. その終了日までのすべての使用状況ログが削除されます。All usage logs until that end date will be deleted.
  • ドキュメント追跡ログを削除するには、UserEmail を指定します。To delete the document tracking logs, provide the UserEmail. その UserEmail に関連するすべてのドキュメント追跡情報が削除されます。All document tracking information relating to the UserEmail will be deleted.

これらのデータの削除は永続的な操作です。Deleting this data is a permanent action. 削除リクエストが処理された後にデータを回復する手段はありません。There is no means to recover the data after a delete request has been processed. 管理者におかれては、削除リクエストを発行する前に、必要なデータをエクスポートすることをお勧めします。It is recommended that administrators export the required data before submitting a delete request.

手順 2: 確認を待つ Microsoft は、1 つ以上のログの削除を求めるお客様のリクエストが正当なものであることを確認します。Step 2: Wait for verification Microsoft will verify that your request to delete one or more logs is legitimate. このプロセスには、最大で 5 営業日を要することがあります。This process can take up to five working days.

手順 3: 削除の確認を受け取る データが削除されたことを知らせる確認メールが、Microsoft カスタマー サポート サービス (CSS) から送信されます。Step 3: Get confirmation of the deletion Microsoft Customer Support Services (CSS) will send you a confirmation email that the data has been deleted.

個人データのエクスポートExporting personal data

AIPService または AADRM PowerShell コマンドレットを使用すると、個人データを PowerShell オブジェクトとして検索およびエクスポートできるようになります。When you use the AIPService or AADRM PowerShell cmdlets, the personal data is made available for search and export as a PowerShell object. ConvertTo-Json コマンドレットを使用すると、PowerShell オブジェクトを JSON に変換して保存できます。The PowerShell object can be converted into JSON and saved by using the ConvertTo-Json cmdlet.

Azure Information Protection では、個人データに基くプロファイリングやマーケティングに関して、Microsoft のプライバシー条項が適用されます。Azure Information Protection follows Microsoft's privacy terms for profiling or marketing based on personal data.

監査とレポートAuditing and reporting

管理者権限が割り当てられているユーザーのみが、AIPService または addrm モジュールを使用して、個人データの検索とエクスポートを行うことができます。Only users who have been assigned administrator permissions can use the AIPService or ADDRM module for search and export of personal data. これらの操作は、ダウンロード可能な管理ログに記録されます。These operations are recorded in the administration log that can be downloaded.

削除操作の場合、サポート リクエストは Microsoft によって実行された操作の監査およびレポート記録として機能します。For delete actions, the support request acts as the auditing and reporting trail for the actions performed by Microsoft. 削除後、削除されたデータは検索およびエクスポートに使用できなくなり、管理者は AIPService モジュールの Get コマンドレットを使用してこれを確認できます。After deletion, the deleted data will not be available for search and export, and the administrator can verify this using the Get cmdlets from the AIPService module.