一般データ保護規則の概要General Data Protection Regulation (GDPR).

一般データ保護規則 (GDPR) では、欧州連合 (EU) 内の人々に商品やサービスを提供する、または EU 居住者向けのデータの収集と分析を実行する会社に対して、新しい規則を導入します。GDPR は、個人やその企業がどの場所にあるかに関係なく適用されます。The GDPR introduces new rules for companies, government agencies, non-profits, and other organizations that offer goods and services to people in the European Union (EU), or that collect and analyze data for EU residents. The GDPR applies no matter where you or your enterprise are located.

このドキュメントでは、Microsoft の製品とサービスを使用する際の GDPR に基づく権利の尊重と義務の履行に役立つ情報を提供します。This document guides you to information to help you honor rights and fulfill obligations under the GDPR when using Microsoft products and services. GDPR の推奨アクション プラン」および「アカウンタビリティ対応準備チェックリスト」では、GDPR コンプライアンスの評価と実装のための追加リソースを参照できます。A Recommended action plan for GDPR and Accountability Readiness Checklists provide additional resources for assessing and implementing GDPR compliance.

用語Terminology

このドキュメントで使用されている GDPR 用語の役に立つ定義:Helpful definitions for GDPR terms used in this document:

  • データ コントローラー (コントローラー): 法人、公的機関、団体、その他の組織。単独または他者と協力して、個人データの処理の目的と方法を決定します。Data Controller (Controller): A legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data.
  • 個人データデータ主体: 特定されたまたは特定可能な自然人 (データ主体) に関連するあらゆる情報。特定可能な自然人とは、直接または間接的に特定することができる者のことです。Personal data and data subject: Any information relating to an identified or identifiable natural person (data subject); an identifiable natural person is one who can be identified, directly or indirectly.
  • 処理者: コントローラーに代わって個人データを処理する自然人または法人、公的機関、団体、その他の組織。Processor: A natural or legal person, public authority, agency, or other body, which processes personal data on behalf of the controller.
  • 顧客データ: ビジネス運営における日々の業務で作成および保存されるデータ。Customer Data: Data produced and stored in the day-to-day operations of running your business.

GDPR とは?What is the Toolbox?

GDPR では、組織によって収集された個人データを管理する権利が人々に付与されます。The GDPR gives rights to people to manage personal data collected by an organization. これらの権利は、データ主体の要求 (DSR) 経由で行使できます。These rights can be exercised through a Data Subject Request (DSR). 組織は、DSR およびデータ違反に関する情報をタイムリーに提供し、データ保護影響評価 (DPIA) を実行する必要があります。The organization is required to provide timely information regarding DSRs and data breaches, and perform Data Protection Impact Assessments (DPIAs).

GDPR 要件を実装または評価する場合は、いくつかの点を考慮する必要があります。Several points should be considered when implementing or assessing GDPR requirements.

  • GDPR コンプライアンスのデータ プライバシー ポリシーの開発または評価。Developing or evaluating your GDPR-compliance data privacy policy.
  • 組織のデータ セキュリティの評価。Assessing the data security of your organization.
  • データ コントローラーとなる人は?Who is your data controller?
  • どのようなデータ セキュリティ プロセスを実行する必要があるか?What data security processes may you have to perform?

GDPR の推奨アクション プラン」と「アカウンタビリティ対応準備チェックリスト」では、考慮するポイントがさらに示される場合があります。The Recommended action plan for GDPR and Accountability Readiness Checklists may prompt additional thinking points.

GDPR 基準を満たすには、次のタスクが必要です。The following tasks are involved to meet GDPR standards. 実装に関する詳細については、リスト内のリンクを参照してください。Follow the links in the list for details regarding your implementation.

  • データ主体の要求 (DSR)Data subject requests (DSR). 個人データに関するアクション (変更、制限、アクセス) を実行するように、データ主体がコントローラーに対して行う正式な要求。A formal request by a data subject to a controller to take an action on their personal data is called a Data Subject Request or DSR.
  • 違反の通知Breach Notification GDPR では、個人データ違反とは、「送信、保存、またはその他の方法で処理される個人データの偶発的または違法の破損、損失、改変、不正漏洩、またはアクセスを引き起こすセキュリティ違反」です。Under GDPR, a personal data breach is “a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored, or otherwise processed.”
  • データ保護影響評価 (DPIA)Data protection impact assessment (DPIA). データ コントローラーは、GDPR に基づき、「自然人の権利と自由を危険にさらす可能性が高い」データ操作に関して DPIA を準備する必要があります。Data controllers are required under GDPR to prepare a DPIA for data operations that are “likely to result in a high risk to the rights and freedoms of natural persons.”

上記で説明したように、GDPR の推奨アクション プランとアカウンタビリティ対応準備チェックリストでは、Microsoft の製品とサービスの使用において GDPR 準拠を実装または評価するためのガイドが提供されています。As mentioned above, the Recommended action plan for GDPR and Accountability Readiness Checklists provide a guide to implementing or assessing GDPR conformance using Microsoft products and services.

実行中の GDPRThe GDPR in action

このセクションでは、前述の GDPR タスクの完了に関する概要と考慮するポイントについて説明します。This section provides an outline and thinking points on completing the GDPR tasks mentioned above. これらのタスクの完了は、Microsoft の構成によって異なる場合があります。Completing these tasks may vary depending on your Microsoft configuration.

データ主体の要求 (DSR)Manage Data Subject Request.

データ主体の要求は、GDPR に基づきデータ主体が権限を行使する手段を提供します。Data Subject Requests provide a means for data subjects to exercise their rights under GDPR. コントローラーには、タイムリーで一貫性のある GDPR 応答を提供する責任があります。The controller is responsible for providing a timely, GDPR consistent reply. 検討する必要がある質問については、以下を参照してください。Questions you should consider are addressed below. 技術的な詳細については、「データ主体の要求」を参照してください。For technical details, refer to Data subject requests.

  • DSR を完了するにはどのようなアクションが必要か?: DSR には、検出、アクセス、修正、制限、エクスポート、削除の 6 つのアクティビティが含まれています。What actions will be required to complete a DSR?: DSRs involve six activities: Discovery, Access, Rectification, Restriction, Export, and Deletion.
  • データ ソースとは?: 組織のデータの大部分は、Excel や Outlook などの Office アプリケーションで生成されます。What are your data sources?: A large fraction of an organization’s data is generated in Office applications such as Excel and Outlook. また、DSR に関連するデータは、Microsoft の製品とサービスによって生成された分析情報、およびシステム生成ログでも検索することもできます。You may also find data relevant to a DSR in Insights generated by Microsoft products and services, and system-generated logs.
  • どのような種類のデータを検索する必要があるか?: 個人データは、顧客データ、Microsoft の製品とサービスによって生成された分析情報、システム生成ログに含まれていることがあります。What kinds of data need to be searched?: Personal data may be found in customer data, insights generated by Microsoft products and services, and system-generated logs.
  • 個人データの検索方法は?: 個人データの検索は、Microsoft の製品とサービスによって異なる場合があります。How will personal data be searched?: Searching for personal data may vary across Microsoft products and services. 検索ツールには、コンテンツ検索、またはアプリ内検索能力が用意されています。Search tools include Content Search, or in-app search capacity. 管理者は、ユーザーのアクティビティに関連するシステム生成ログにアクセスできます。Administrators may access system-generated logs associated with a user’s activity.
  • どのような形式で個人データを利用できるようにする必要があるか?: GDPR の「データの移植の権利」により、データ主体は、「構造化された一般的に使用されているコンピューターが読み取り可能な形式」で個人データのコピーを要求できます。また、そうしたファイルを別のデータ コントローラーに送信するように組織に要求することもできます。The “right of data portability” allows a data subject to request an electronic copy of personal data that’s in a “structured, commonly used, machine-readable format”, and to request that your organization transmit these electronic files to another data controller. Microsoft supports this right in two ways:

データ保護影響評価Data Protection Impact Assessments

GDPR では、データ コントローラーは「自然人の権利と自由を危険にさらす可能性が高い」操作処理に関してデータ保護影響評価 (DPIA) を準備する必要があります。Under GDPR, data controllers are required to prepare a Data Protection Impact Assessment (DPIA) for processing operations that are “likely to result in a high risk to the rights and freedoms of natural persons.” DPIA の作成を必要とする Microsoft の製品とサービスに固有のものはありません。There is nothing inherent in Microsoft products and services that need the creation of a DPIA. むしろ、Microsoft 構成の詳細に依存しています。Rather, it depends on the details of your Microsoft configuration.

以下に、DPIA に関するいくつかの考慮事項について説明します。Some considerations regarding DPIA are given below. Office での考慮事項に関する詳細のリストは、「DPIA の内容」を参照してください。A list of details that must be considered in Office can be found in Contents of DPIA.

  • 組織内のどのようなデータ アクティビティが個人データのセキュリティを侵害する可能性があるか?What data activities in your organization may compromise your personal data security?

  • Microsoft の製品とサービスの構成がデータ侵害に対して脆弱である可能性があるか?Could your configuration of Microsoft products and services be vulnerable to data breach?

  • DPIA はいつ実行する必要があるか?When should you conduct a DPIA?

    • コントローラーは、個人データのセキュリティに対するリスク、またはデータ侵害から生じるリスクに対処する DPIA を実行する必要があります。Controllers are required to perform a DPIA addressing risks to personal data security or as a result of a data breach. Office のリスク要因の具体例は、「DPIA が必要であるかどうかの判断」で説明されています。Specific examples of risk factors in Office are addressed in Determining Whether a DPIA is Needed.
  • DPIA を完了するために何が必要か?What is required to complete a DPIA?

    GDPR では、DPIA に次の事項を含めるよう規定されています。The GDPR mandates that a DPIA includes:

    • DPIA の目的に関するデータ処理作業の必要性および比例性の評価。Assessment of the necessity, and proportionality of data processing in relation to the DPIA’s purpose.
    • データ主体の権利および自由に関するリスクの評価。An assessment of the risks to the rights and freedoms of data subjects
    • リスク、セーフガード、セキュリティ対策、メカニズムに対処して、個人データを確実に保護し、GDPR 準拠を実証するための想定された対策。The measures envisaged to address the risks, including safeguards, security measures, and mechanisms to ensure the protection of personal data and to demonstrate compliance with the GDPR taking into account the rights and legitimate interests of data subjects and other persons concerned

違反の通知Breach Notification

データ処理者として、Microsoft は、必ずお客様が GDPR の違反通知要件を満たせるようにしています。As a data processor, Microsoft ensures that customers are able to meet the GDPR’s breach notification requirements. データ コントローラーは、データ プライバシーに対するリスクを評価し、お客様の DPA に通知する必要がある違反かどうかを判断する責任があります。Data controllers are responsible for assessing risks to data privacy and determining whether a breach requires notification of a customer’s DPA. Microsoft は、その評価に必要な情報を提供しています。Microsoft provides the information needed to make that assessment. Microsoft が個人データの侵害を検出して対応する方法の詳細については、「GDPR の下での違反の通知」を参照してください。For more information about how Microsoft detects and responds to a breach of personal data, see Data Breach Notification Under the GDPR in the Service Trust Portal. 違反の通知に関する質問には、次のようなものがあります。Some breach notification questions are:

  • データ主体に、違反についてどのような情報を伝える必要があるか?What information about a breach should be communicated to data subjects
  • データ主体にどのような方法 (メール、書面による通知など) で伝えるか?How will you communicate to your data subjects (email, written notification, etc.)?

GDPR に関するアカウンタビリティ対応準備チェックリストAccountability readiness checklists for the GDPR

これらのチェックリストは、Microsoft 製品の使用において、GDPR をサポートしなければならない可能性のある情報にアクセスする便利な方法を提供します。These accountability readiness checklists provide a convenient way to access information you may need to support the General Data Protection Regulation (GDPR) when using Microsoft products and services. コンプライアンス マネージャーで、GDPR タイル内の顧客管理コントロールの下にあるコントロール ID とコントロール タイトルを参照することによって、チェックリスト項目を管理できます。You can manage the items in this checklist with the Compliance Manager [15] by referencing the Control ID and Control Title under Customer Managed Controls in the GDPR tile.

詳細情報Learn more