Office 365 GDPR の下での違反の通知

データ プロセッサとして、Office 365は、お客様がデータ コントローラーとして GDPR の違反通知要件を満たすことができるようにします。 そのために、次のアクションにコミットします。

  • セキュリティ違反が発生した場合に通知を受ける、専用のプライバシー連絡先を指定する機能を顧客に提供します。 顧客は、メッセージ センターのプライバシー閲覧者の役割設定を使用してこの連絡先を指定できます。
  • セキュリティ違反が明らかになってから 72 時間以内に、個人データの漏洩を顧客に通知します。 通知はメッセージ センターに発行され、Microsoft 365 管理センターからアクセスできます。 続いて、指定した連絡先に、メッセージ センターの新しい投稿が公開されたことを示すメール通知が送信されます。
  • 最初の通知には、少なくとも、侵害の性質の説明、ユーザーへの影響の近似、軽減手順 (該当する場合) が含まれます。 最初の通知時に調査が完了していない場合は、最初の通知で後続のコミュニケーションの次の手順とタイムラインを示します

Microsoft は、データ コントローラーがリスク評価を実施し、侵害が顧客の DPA の通知を必要とするかどうかを判断する責任があることを認識し、お客様への通知により、その評価を行うために必要な情報が提供されます。 したがって、Microsoft は、個人データが判読不可能であることが確認された場合 (キーの整合性が確認された暗号化されたデータなど) を除き、個人データの侵害についてお客様に通知します。

Office 365 におけるデータ セキュリティに対する投資

違反に対するタイムリーな通知の提供に取り組むことに加え、個人データ漏洩の可能性を低く抑え、迅速に検出し、違反が生じた場合はその結果を軽減するため、Office 365 ではシステム、プロセス、担当者に大きく投資しています。

この領域への投資の一部を次に示します。

  • Access Control システム。 Office 365は"ゼロスタンディング アクセス" ポリシーを維持します。つまり、アクセス権の昇格を必要とする特定のインシデントに対して明示的に付与されない限り、エンジニアはサービスにアクセスできません。 アクセスが付与されるたびに、最小限の特権の原則の下で実行されます。特定の要求に対して付与されるアクセス許可は、その要求にサービスを提供するために必要な最小限のアクションセットのみを許可します。 これを行うために、Office 365では"昇格ロール" を厳密に分離し、各ロールでは特定の定義済みのアクションのみを実行できます。 "顧客データへのアクセス" ロールは、サービスの管理に一般的に使用される他のロールとは異なり、承認前に最も注意深く調査されます。 これらのアクセス制御への投資をまとめると、Office 365のエンジニアが顧客データに不適切にアクセスする可能性が大幅に低下します。

  • セキュリティ監視システムと自動化: Office 365は、堅牢でリアルタイムのセキュリティ監視システムを維持します。 特に、これらのシステムは、顧客データに不正にアクセスしようとしたり、サービスからデータを不正に転送しようとしたりした場合にアラートを生成します。 前述のアクセス制御に関するポイントに関連して、セキュリティ監視システムは、行われた昇格要求と、特定の昇格要求に対して実行されたアクションの詳細な記録を保持します。 Office 365では、検出された問題に対応するために脅威を軽減するために自動的に機能する自動解決投資と、自動的に解決できないアラートに対応するための専用チームも維持されます。 セキュリティ監視システムを検証するために、Office 365では、内部侵入テスト チームがライブ環境に対する攻撃者の動作をシミュレートするレッド チーム演習を定期的に実施しています。 これらの演習により、セキュリティの監視と対応機能が定期的に改善されます。

  • 担当者とプロセス:前述の自動化に加えて、Office 365は、プライバシーとインシデント管理プロセスに関する広範な組織の教育と、侵害時のプロセスの実行の両方を担当するプロセスとチームを維持します。 たとえば、詳細なプライバシー侵害 Standard Operating Procedure (SOP) は、組織全体のチームと管理および共有されます。 この SOP では、Office 365および一元化されたセキュリティ インシデント対応チーム内の個々のチームの役割と責任について詳しく説明します。 これらの責任は、チームが独自のセキュリティ体制を改善するために必要なもの (セキュリティ レビューの実施、中央のセキュリティ監視システムとの統合、およびその他のベスト プラクティス) と、実際の侵害 (インシデント対応への迅速なエスカレーション、対応プロセスの迅速化に使用される特定のデータ ソースの維持と提供) の両方に及びます。 また、Teams は定期的にデータ分類に関するトレーニングを受け、個人データの適切な処理と保管手順を行います。

主な取り組みは、Office 365お客様に影響を与える個人データ侵害の可能性と結果を減らすことに強く投資することです。 個人データの侵害が発生した場合、その侵害が確認されたら、お客様に迅速に通知するよう努めます。

違反が発生した場合に想定される動作

上記のセクションでは、データ侵害の可能性を減らすためにOffice 365投資について説明します。 万が一、侵害が発生した場合、顧客は次の応答の観点から予測可能なエクスペリエンスを期待する必要があります。

  • Office 365内の一貫したインシデント対応ライフサイクル。 前述のように、Office 365では、チームが侵害に備える方法と、侵害が発生した場合の運用方法を説明する詳細なインシデント対応 SOP が保持されます。 これにより、サービス全体で保護とプロセスが確実に適用されます。

  • 顧客に通知するための一貫した基準。 通知基準は、顧客データの機密性、整合性、可用性に焦点を当てています。 Office 365は、顧客データの機密性または整合性が影響を受けた場合、顧客に直接通知します。 つまり、適切な承認なしにデータにアクセスされた場合、または不適切なデータの破棄や損失が発生した場合は、お客様に通知します。 Office 365では、データの可用性に影響を与える問題も報告されますが、このアクションは通常、Service Health ダッシュボード (SHD) を通じて行われます。

  • 一貫性のある通知の詳細。 Office 365がデータ侵害に関して通信する場合、お客様は特定の詳細が伝えられると予想できます。少なくとも、次の詳細を提供します。

    • 違反のタイミングと違反の認識のタイミング
    • 影響を受けるユーザー数の概算
    • 侵害されたユーザー データの種類
    • コント ローラーまたはプロセッサのいずれかによる、違反を軽減するために必要なアクション

また、データ プロセッサとしてのOffice 365は、データ侵害のリスクを判断できないことにも注意する必要があります。 個人データの侵害が検出されるたびに、影響を受けるユーザーに対するリスクを正確に判断し、さらに規制当局に報告する必要があるかどうかを判断するために必要な詳細をお客様に通知し、その詳細を提供します。 そのため、データ コントローラーはインシデントに関する次の決定を行うことが期待されます。

  • 違反の重大度 (つまり、リスクの判断)
  • エンドユーザーに通知する必要があるかどうか
  • 規制機関 (DPA) に通知する必要があるかどうか
  • 違反の結果を軽減するためにコント ローラーが実行する具体的な手順

Microsoft へのお問い合わせ

一部のシナリオでは、お客様が侵害に気付き、Microsoft に通知したい場合があります。 現在のプロトコルは、お客様がMicrosoft サポートに通知し、エンジニアリング チームと連絡を取って詳細を確認することです。 このシナリオでは、Microsoft エンジニアリング チームも同様に、サポート担当者を通じて、お客様が必要とする情報をタイムリーに提供することに取り組んでいます。

お客様のためのコール トゥ アクション

前に説明したように、Microsoft 365 は、侵害宣言から 72 時間以内に顧客に通知することにコミットしています。 顧客のテナント管理者に通知されます。 さらに、Microsoft 365 では、1 人または複数の個人をメッセージ センターのプライバシー 閲覧者として指定することをお勧めします。これは、Microsoft 365 管理センターで実行できます。 個人データが侵害された場合、Message Center プライバシー閲覧者ロールが割り当てられたリソースは、関連するプライバシー通知を表示するためにメッセージ センターにアクセスでき、メッセージ センターの設定に応じて、関連する電子メールを受信する場合があります。

詳細については、以下を参照してください: