GDPR および CCPA のための Azure DevOps Services データ サブジェクト要求

  • [アーティクル]

欧州連合 一般データ保護規則 (GDPR) は、データ管理者によって収集された個人データを管理する権限を、 データ主体として規制で知られているユーザーに付与 します。 データ コントローラーまたは単なるコントローラーは、雇用主またはその他の種類の代理店またはorganizationです。 GDPR における個人データは、特定された自然人または特定可能な自然人に関連するすべてのデータとして広範囲に定義されています。 GDPR は、データ主体に個人データに対する特定の権利を付与します。 これらの権利には、個人データのコピーの取得、修正の要求、処理の制限、削除、または別の管理者に移動できるように電子形式で受け取ることが含まれます。 コントローラーの個人データに対してアクションを実行するデータ主体による正式な要求は、 データ主体要求 (DSR) と呼ばれます。

同様に、カリフォルニア州消費者プライバシー法 (CCPA) では、個人情報の削除、アクセスおよび受信 (移植性) など、GDPR のデータ主体の権利に類似している権利を含む、カリフォルニア州の消費者のプライバシーの権利および義務を規定します。 また、CCPA では、特定の開示、権利の行使を選択する際の差別に対する保護、"売上" として分類された特定のデータ転送の "オプトアウト/オプトイン" 要件を規定します。 「販売」は広く定義されており、有価約因に関するデータの共有を含みます。 CCPA の詳細については、「カリフォルニア州消費者プライバシー法」と「カリフォルニア州消費者プライバシー法に関する FAQ」を参照してください。

GDPR の一般的な情報については、Service Trust Portal の GDPR セクションを参照してください。

このガイドでは、Microsoft のツールを使用して、認証済みの (サインイン済みの) Azure DevOps Services (旧 Visual Studio Team Services) セッション中に収集された個人データをエクスポートまたは削除する方法について説明します。

その他のプライバシー情報

Microsoft のプライバシーに関する声明オンライン サービス使用条件 (OST)、および Microsoft の GDPR コミットメントの記事では、弊社のデータ処理方法について説明しています。

Microsoft が収集する個人データ

Microsoft では、Azure DevOps Services の運用および向上のために、ユーザーのデータを収集します。 Azure DevOps Services では、2 つのカテゴリのデータを収集します。つまり、顧客データとシステム生成ログです。 顧客データには、サービスを運用するために Azure DevOps Services で必要とされる、特定のユーザーを識別可能なトラザクション データおよび相互作用的データが含まれます。 システム生成ログには、各製品領域と機能について集計されたサービスの利用状況データが含まれます。

Azure DevOps データの削除

Azure DevOps は、変更を管理するためのシステムとして、データの整合性、追跡可能性、および監査に関する厳格な規則に準拠している必要があります。 これらの義務は、GDPR に基づくデータの削除と保持に対する当社の責任に影響を及ぼし、このため、匿名性または削除に対する個々の要求を満たしていません。 Azure DevOps から個人データを削除する唯一の方法は、organizationを完全に削除することです。 Microsoft Entra ID または Microsoft アカウント (MSA) ID アカウントを終了しても、Azure DevOps organization内の個々の ID に関連付けられている成果物やレコード (プル要求や作業項目など) は変更または削除されません。 Azure DevOps organizationを削除すると、関連付けられているすべての個人データが削除され、システム生成ログは強制 30 日間の論理的な削除期間の後に匿名化されます。

Azure DevOps データのエクスポート

コントローラーは、Azure DevOps サービスへのサインインに使用される ID プロバイダー (MSA または Microsoft Entra ID) に応じて、データ主体から収集された顧客データとシステム生成ログを 2 つの方法のいずれかでエクスポートできます。

  • Azure テナントによってサポートされているアカウント (Azure サブスクリプションに関連付けられている Microsoft Entraアカウントや MSA アカウントなど) を使用して認証するユーザーは、「GDPR の Azure データ主体要求」の手順に従うことができます。

  • MSA ID を使用して認証するユーザーは、この プライバシー要求サイト を使用して、複数の Microsoft サービス間で MSA ID に関連付けられているアクティビティ データを表示できます。 このシナリオでは、ユーザーは個人データのコントローラーです。

エクスポートまたは削除の問題

Microsoft Entra ID の場合、Azure portalからのデータのエクスポートまたは削除中に問題が発生した場合は、[Azure portal ヘルプとサポート] ブレードに移動し、[サブスクリプション>管理>のプライバシーとコンプライアンスの要求]ブレードと GDPR 要求の下に新しいチケットを送信します。

MSA ID の場合、プライバシー要求サイトからデータをエクスポートする際に問題が発生したときは、プライバシー要求サイトにログオンし、要求 Web フォームを介して Microsoft プライバシー チームからのヘルプへの要求を送信します。

詳細の表示

Microsoft は、お客様のAzure DevOps Services データがセキュリティで保護され、プライベートな状態を維持できるよう、例外なく取り組んでいます。 Azure DevOps Services データを保護する方法の詳細については、「Azure DevOps Services データ保護の概要」ホワイト ペーパーを参照してください。

関連項目