Microsoft 365 でデータプライバシーリスクを評価し、機密性の高いアイテムを特定するAssess data privacy risks and identify sensitive items with Microsoft 365

Microsoft 365 の機能とサービスで達成可能な機能を含む、関連する改善アクションを実装する前に、組織が対象となるデータプライバシー規制とリスクを評価する重要な最初のステップです。Assessing the data privacy regulations and risks that your organization is subject to is a key first step before implementing any related improvement actions, including those achievable with Microsoft 365 features and services.

潜在的に適用可能なデータプライバシー規制Potentially applicable data privacy regulations

データ プライバシー規制に関するより広範な規制フレームワークについては 、Microsoft Services Trust Portal および一般データ保護規則 (GDPR)規制に関する一連の記事、および業界または地域で適用される可能性がある規制に関するその他の資料を参照してください。For a good reference on the broader regulatory framework for data privacy regulations, see the Microsoft Services Trust Portal and the series of articles on the General Data Protection Regulation (GDPR) regulation, as well as other materials on the regulations you may be subject to in your industry or region.

GDPRGDPR

データプライバシー規制で最も有名で引用されている GDPR は、欧州連合 (EU) の居住者である特定または特定可能な自然人に関連する個人データの収集、保存、処理、および共有を規制します。The GDPR, the most well-known and cited of the data privacy regulations, regulates the collection, storage, processing, and sharing of any personal data that relates to an identified or identifiable natural person that is a resident of the European Union (EU).

GDPR 第 4 条に従って、According to GDPR Article 4:

  • 「個人データ」とは、特定または特定可能な自然人 ('データ主体') に関連する情報を意味します。識別可能な自然人とは、直接または間接的に、特に、名前、識別番号、場所データ、オンライン識別子などの識別子、またはその自然人の物理的、生理学的、遺伝的、精神的、経済的、文化的、社会的な識別に固有の 1 つ以上の要因を参照して識別できる人物です。‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.

ISO 27001ISO 27001

ISO 27001 などの他の標準への準拠は、複数のヨーロッパの監督当局によって、人、プロセス、およびテクノロジの範囲にわたる有効な意図の代理として認識されています。Adherence to other standards like ISO 27001 has also been recognized by several European supervisory authorities as a valid proxy of intent across the people, process, and technology spectrum. ISO-27001 駆動型保護メカニズムに対する重複と遵守を指定する基準は、特定の状況でプライバシー義務を果たすプロキシと見なされる場合があります。The standards it specifies overlap and adherence to ISO-27001-driven protection mechanisms may be considered a proxy fulfilling some privacy obligations in certain circumstances.

その他のデータプライバシーに関する規制Other data privacy regulations

その他の重要なデータプライバシー規制では、個人データの取り扱いに関する要件も指定されています。Other prominent data privacy regulations also specify requirements for the handling of personal data.

米国では、カリフォルニア州消費者保護法 (CCPA)、HIPAA-HITECH (米国の医療プライバシー法)、グラハム リーチ ブライリー法 (GLBA) が含まれます。In the United States, these include the California Consumer Protection Act (CCPA), HIPAA-HITECH (United States health care privacy act), and the Graham Leach Bliley Act (GLBA). 追加の州固有の規制もインプレイスまたは開発中です。Additional state-specific regulations are also in-place or in development.

世界中で、ドイツの国内 GDPR 実施法 (BDSG)、ブラジルデータ保護法 (LGPD)、その他多くの例が含まれます。Around the world, additional examples include Germany's National GDPR Implementation Act (BDSG), the Brazil Data Protection Act (LGPD), and many others.

Microsoft 365 技術制御カテゴリへの規制マッピングRegulation mapping to Microsoft 365 technical control categories

データプライバシー関連の規制の多くは、要件が重なっていますので、技術的な管理スキームを開発する前に、対象となる規制を理解する必要があります。Many of the data privacy-related regulations have overlapping requirements, so you should understand which regulations they are subject to prior to developing any technical control scheme.

この全体的なソリューションの記事の後で参照するには、次の表に、データプライバシー規制のサンプルからの抜粋を示します。For later reference in the articles of this overall solution, this table provides excerpts from a sampling of data privacy regulations.

規制Regulation 記事/セクションArticle/section 抜粋Excerpt 適用可能な技術制御カテゴリApplicable technical control categories
GDPRGDPR 記事 5(1)(f)Article 5(1)(f) 個人データは、不正または違法な処理に対する保護、偶発的な損失、破壊または損害に対する保護を含む、個人データの適切なセキュリティを確保する方法で、適切な技術的または組織的手段 ('整合性と機密性') を使用して処理されます。Personal data shall be processed in a manner that ensures appropriate security of the personal data, including protection against unauthorized or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organizational measures ('integrity and confidentiality'. (すべて)(All)
IDIdentity
DeviceDevice
脅威の防止Threat Protection
情報を保護するProtect information
情報を管理するGovern information
検出と対応Discover and respond
記事 (32)(1)(a)Article (32)(1)(a) 最新の技術、実装のコスト、処理の性質、範囲、コンテキスト、および目的、および自然人の権利と自由に対する可能性と重大度が異なるリスクを考慮して、管理者とプロセッサは、リスクに適したレベルのセキュリティを確保するための適切な技術的および組織的措置を実施する必要があります。(a) 個人データの仮名化と暗号化を含む。Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organizational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate: (a) the pseudonymization and encryption of personal data. 情報を保護するProtect information
記事 (13)(2)(a)Article (13)(2)(a) "...管理者は、個人データが取得された時点で、(a) 個人データが保存される期間、またはそれができない場合は、その期間を決定するために使用される条件という、公正で透明な処理を確保するために必要な次の情報をデータ主体に提供します。"…the controller shall, at the time when personal data are obtained, provide the data subject with the following further information necessary to ensure fair and transparent processing: (a) the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period. 情報を管理するGovern information
記事 (15)(1)(e)Article (15)(1)(e) データ主体は、管理者の確認から、自分に関する個人データが処理されているかどうかを確認する権利を有し、その場合、個人データへのアクセスおよび次の情報:(e)個人データの削除または消去を要求する権利の存在、またはデータ主体に関する個人データの処理の制限、またはそのような処理に対するオブジェクトの権利。The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and where that is the case, access to the personal data and the following information: (e) the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing 検出と対応Discover and respond
LGPDLGPD 第 46 条Article 46 処理エージェントは、個人データを不正アクセスや偶発的または違法な破壊、紛失、改ざん、通信、または不適切または違法な処理から保護できるセキュリティ、技術的、管理的な手段を採用します。Processing agents shall adopt security, technical and administrative measures able to protect personal data from unauthorized accesses and accidental or unlawful situations of destruction, loss, alteration, communication, or any type of improper or unlawful processing. 情報を保護するProtect information
情報を管理するGovern information
検出と対応Discover and respond
第 48 条Article 48 管理者は、データ主体にリスクや関連する損害を与える可能性のあるセキュリティ インシデントが発生した場合、国の機関とデータ主体に通信する必要があります。The controller must communicate to the national authority and to the data subject the occurrence of a security incident that may create risk or relevant damage to the data subjects. 検出と対応Discover and respond
HIPPA-HITECHHIPPA-HITECH 45 CFR 164.312(e)(1)45 CFR 164.312(e)(1) 電子通信ネットワーク経由で送信される電子保護された正常性情報への不正アクセスを防ぐ技術的なセキュリティ対策を実装します。Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network. 情報を保護するProtect information
45 C.F.R.45 C.F.R. 164.312(e)(2)(ii)164.312(e)(2)(ii) 電子的に保護された正常性情報を適切と判断した場合は必ず暗号化するメカニズムを実装します。Implement a mechanism to encrypt electronic protected health information whenever deemed appropriate. 情報を保護するProtect information
45 CFR 164.312(c)(2)45 CFR 164.312(c)(2) 電子的に保護された健康情報が不正な方法で変更または破壊されていないと確認するための電子メカニズムを実装します。Implement electronic mechanisms to corroborate that electronic protected health information has not been altered or destroyed in an unauthorized manner. 情報を管理するGovern information
45 CFR 164.316(b)(1)(i)45 CFR 164.316(b)(1)(i) このサブパートでアクション、アクティビティ、または評価を文書化する必要がある場合は、アクション、アクティビティ、または評価の書面による (電子的な) レコードを維持します。If an action, activity, or assessment is required by this subpart to be documented, maintain a written (which may be electronic) record of the action, activity, or assessment 情報を管理するGovern information
45 CFR 164.316(b)(1)(ii)45 CFR 164.316(b)(1)(ii) このセクションの段落 (b)(1) で必要なドキュメントは、作成日から 6 年間、または最後に有効だった日付から、後の方に保持します。Retain the documentation required by paragraph (b)(1) of this section for 6 years from the date of its creation or the date when it last was in effect, whichever is later. 情報を管理するGovern information
45 C.F.R.45 C.F.R. 164.308(a)(1)(ii)(D)164.308(a)(1)(ii)(D) 監査ログ、アクセス レポート、セキュリティ インシデント追跡レポートなど、情報システムアクティビティのレコードを定期的に確認する手順を実装するImplement procedures to regularly review records of information system activity, such as audit logs, access reports, and security incident tracking reports 検出と対応Discover and respond
45 C.F.R.45 C.F.R. 164.308(a)(6)(ii)164.308(a)(6)(ii) 疑わしいまたは既知のセキュリティ インシデントを特定して対応する。対象のエンティティまたはビジネス アソシエイトに知られているセキュリティ インシデントの実用的で有害な影響を軽減する。セキュリティ インシデントとその結果を文書化します。Identify and respond to suspected or known security incidents; mitigate, to the extent practicable, harmful effects of security incidents that are known to the covered entity or business associate; and document security incidents and their outcomes. 検出と対応Discover and respond
45 C.F.R.45 C.F.R. 164.312(b)164.312(b) 電子保護された正常性情報を含む、または使用する情報システムのアクティビティを記録および検査するハードウェア、ソフトウェア、および手続き型メカニズムを実装します。Implement hardware, software, and procedural mechanisms that record and examine activity in information systems that contain or use electronic protected health information. 検出と対応Discover and respond
CCPACCPA 1798.105(c)1798.105(c) このセクションのサブディビジョン (a) に従って消費者の個人情報を削除する検証可能な要求を消費者から受け取った企業は、そのレコードから消費者の個人情報を削除し、すべてのサービス プロバイダーに対して、消費者の個人情報をレコードから削除する指示を行います。A business that receives a verifiable request from a consumer to delete the consumer’s personal information pursuant to subdivision (a) of this section shall delete the consumer’s personal information from its records and direct any service providers to delete the consumer’s personal information from their records 検出と対応Discover and respond
1798.105(d)1798.105(d) (1798.105(c) の例外(exceptions to 1798.105(c)
企業またはサービス プロバイダーは、次の目的で消費者の個人情報を維持するために企業またはサービス プロバイダーが消費者の個人情報を維持する必要がある場合は、消費者の個人情報の削除要求に従う必要はありません (追加情報については、現在の規制を参照してください)。A business or a service provider shall not be required to comply with a consumer’s request to delete the consumer’s personal information if it is necessary for the business or service provider to maintain the consumer’s personal information in order to: (refer to the current regulation for additional information).
検出と対応Discover and respond

重要

これは、網羅的なリストを目的としたものではありません。This is not intended to be an exhaustive list. 引用された セクションの 一覧に記載されている技術的な管理カテゴリへの適用性の詳細については、コンプライアンス マネージャーまたは法務またはコンプライアンス アドバイザーを参照してください。Refer to Compliance Manager or your legal or compliance advisor for further information on the applicability of the cited sections to the technical control categories listed.

データを知るKnowing your data

対象となる規制に関係なく、組織の内部と外部の異なるユーザー データ型がシステムとやり取りする場合は、組織に適用される業界および政府機関の規制に従って、個人データ保護戦略全体に影響を与える可能性がある重要な要素です。Regardless of the regulations you are subject to, where different user data types inside and outside your organization interact with your systems are all important factors that may impact your overall personal data protection strategy, subject to the industry and government regulations that apply to your organization. これには、個人データの保存場所、データの種類、そのデータの量、収集された状況が含まれます。This includes where personal data is stored, what type it is, and how much of it there is, and under what circumstances it was collected.

データを知る: データの種類とデータの量、および収集された状況

データの移植性Data portability

データは、処理、絞り込み、その他のバージョンがそこから派生する場合に、時間の間に移動します。Data also moves around over time as it is processed, refined, and other versions are derived from it. 初期スナップショットでは十分ではありません。An initial snapshot is never enough. データを知るプロセスが進行中である必要があります。There needs to be an ongoing process for knowing your data. これは、大量の個人データを処理する大規模な組織にとって最大の課題の 1 つを表しています。This represents one of the biggest challenges for large organizations that handle significant volumes of personal data. 「データを知る」問題に対処しない組織は、潜在的に非常に高いリスクと規制機関からの罰金の可能性があります。Organizations that don't address the "know your data" problem could potentially end up with very high risk and possible fines from regulatory agencies.

データ ライフサイクル

個人データの場所Where the personal data is

データプライバシー規制に対処するために、個人データが現在または将来存在する可能性があるという一般的な概念に頼る必要はありません。To address data privacy regulations, you can’t rely on general notions of where you think personal data might exist, either now or in the future. データのプライバシーに関する規制では、組織は個人データが継続的にどこにあるか知っていることを証明する必要があります。Data privacy regulations require that organizations prove that they know where personal data is on an ongoing basis. これにより、Microsoft 365 環境を含む個人情報を保存するために、すべてのデータ ソースの初期スナップショットを作成し、継続的な監視と検出のためのメカニズムを確立することが重要になります。This makes it important to take an initial snapshot of all your data sources for possible storage of personal information, including your Microsoft 365 environment, and establish mechanisms for ongoing monitoring and detection.

データ プライバシー規制に関連する全体的な準備状況とリスクをまだ評価していない場合は、次の 3 段階のフレームワークを使用して開始してください。If you have not already assessed your overall readiness and risk associated with data privacy regulations, use the following 3-step framework to get started.

データプライバシー規制に関連する全体的な準備状況とリスクを評価する手順

注意

この記事とそのコンテンツは、法律アドバイザリー サービスの場所を取る目的ではありません。This article and its content are not meant to take the place of legal advisory services. 基本的なガイダンスと、評価の初期段階で役立つ可能性があるツールへのリンクを提供します。It just provides some basic guidance and links to tools that may be of assistance in the early stages of your assessment.

手順 1: 組織の個人データシナリオに関する基礎知識を開発するStep 1: Develop a foundational understanding of your organization's personal data scenarios

現在管理している個人データの種類、保存場所、保護コントロールの配置、ライフサイクルの管理方法、アクセス権を持つユーザーに基づいて、データプライバシーリスクへの暴露を測定する必要があります。You need to gauge exposure to data privacy risk based on the type of personal data it currently manages, where it is stored, what protective controls are placed on it, how it's lifecycle is managed, and who has access to it.

開始点として、Microsoft 365 環境に存在する個人データの種類をインベントリすることが重要です。As a starting point, it's important to inventory what types of personal data exist in your Microsoft 365 environment. 次のカテゴリを使用します。Use these categories:

  • 毎日の業務機能を実行するために必要な従業員データEmployee data required to carry out day-to-day business functions
  • 企業間 (B2B) シナリオのビジネス顧客、パートナー、その他の関係に関する組織のデータData the organization has about its business customers, partners, and other relationships in the business-to-business (B2B) scenario
  • 企業が企業間 (B2C) シナリオで管理するオンライン サービスに情報を提供する消費者に関する組織のデータData the organization has about consumers who provide information to online services that the organization manages in the business-to-customer (B2C) scenario

組織の一般的な部署のデータの種類の例を次に示します。Here is an example of the different types of data for typical departments of an organization.

個人データの種類

通常、データ プライバシー規制の対象となる個人データの多くが収集され、Microsoft 365 の外部に保存されます。Much of the personal data that is subject to data privacy regulation is typically collected and stored outside of Microsoft 365. Microsoft 365 内のデータ プライバシーの調査の対象となるには、コンシューマー向け Web アプリケーションまたはモバイル アプリケーションからの個人データを、そのようなアプリケーションから Microsoft 365 にエクスポートする必要があります。Any personal data from consumer-facing web or mobile applications would need to have been exported from such applications to Microsoft 365 in order to be subject to data privacy scrutiny within Microsoft 365.

Microsoft 365 でのデータプライバシーの露出は、Web アプリケーションや CRM システムに比して制限される可能性があります。このソリューションでは対処されません。Your data privacy exposure in Microsoft 365 may be more limited relative to your web applications and CRM systems, which this solution does not address.

また、リスク プロファイルを評価する際には、次の一般的なデータ プライバシー コンプライアンスの課題について考える必要があります。It's also important to think about the following common data privacy compliance challenges when evaluating your risk profile:

  • 個人データの配布。Personal data distribution. 特定の件名に関する情報は、どのように分散していますか?How scattered is information about a given subject? 規制機関に適切なコントロールが設定されているのを確信させるのに十分なほどよく知られていますか?Is it known well enough to convince regulatory bodies that proper controls are in place? 必要に応じて調査および修復できますか?Can it be investigated and remediated if needed?
  • 外への侵入を防ぎます。Protecting against exfiltration. 特定の種類またはソースの個人データが侵害されるのを保護する方法と、それが侵害された場合の対応方法How do you protect personal data of a given type or source from being compromised and how to respond if it was?
  • 保護とリスク。Protection vs. risk. リスクに対して適切な情報保護メカニズムと、ビジネスの継続性と生産性を維持し、エンドユーザーの介入が必要な場合のエンドユーザーへの影響を最小限に抑える方法What information protection mechanisms are appropriate relative to the risk and how to maintain business continuity and productivity and minimize end-user impact if end-user intervention is required? たとえば、手動による分類または暗号化を使用する必要がありますか?For example, should manual classification or encryption be used?
  • 個人データの保持。Personal data retention. 有効なビジネス上の理由から、個人データを含む情報を保持する必要がある期間と、ビジネス継続性の保持ニーズとバランスを取った過去のキープ it-forever プラクティスを回避する方法How long does information containing personal data need to be kept around for valid business reasons and how to avoid past keep-it-forever practices, balanced with retention needs for business continuity?
  • データ主体要求の処理。Handling data subject requests. データ主体要求 (DSR) と、匿名化、やり直し、削除などの修復アクションを処理するために必要なメカニズムは何ですか?What mechanisms will be needed to handle data subject requests (DSRs) and any remedial actions, such as anonymization, redaction, and deletion?
  • 継続的な監視とレポート。Ongoing monitoring and reporting. さまざまなデータ型とソースで使用できる、毎日の監視、調査、およびレポートの手法の種類。What sort of day-to-day monitoring, investigative, and reporting techniques are available for the different data types and sources?
  • データ処理の制限。Limitations on data processing. 組織がプライバシー管理に反映する必要があるこれらの方法で収集または保存される情報に対するデータの使用に制限はありますか?Are there limitations on data use for information collected or stored through these methods that the organization must reflect in privacy controls? たとえば、営業担当者が個人データを使用しないというコミットメントでは、組織が、その情報を販売組織に関連付けられたシステムに転送または保存したりしないメカニズムを設定する必要がある場合があります。For example, commitments that personal data will not be used by sales personnel may require your organization to put mechanisms in place to prevent transfer or storage of that information in systems associated with the sales organization.

毎日の業務機能を実行するために必要な従業員データEmployee data required to carry out day-to-day business functions

組織は、従業員契約に同意する内容に応じて、電子 ID と人事の目的で従業員に関するデータを収集する必要があります。Organizations by nature need to collect data on employees for electronic identity and HR purposes, subject to what they agree to in their employee agreements. 人が会社で働く限り、これは通常問題ではありません。As long as a person works for a company, this is typically not an issue. 組織は、悪意のあるアクターが従業員の個人データを流出または漏洩するのを防ぐためのメカニズムを設定する必要がある場合があります。The organization may want to put mechanisms in place to prevent malicious actors from exfiltration or leaking employee personal data.

人が会社を離れる場合、組織には通常、ユーザー アカウントの削除、メールボックスや個人用ドライブの使用停止、人事システムなどにおける従業員の状態の変更のためのプロセス、手順、保持と削除のスケジュールがあります。If a person leaves a company, organizations typically have processes, procedures, and retention and deletion schedules for removing user accounts, decommissioning mailboxes and personal drives, and changing the employee status in things like human resources systems. 訴訟が発生した場合、従業員または法的調査の他の当事者は、組織のシステムに格納されている個人データに関する情報を取得する有効な理由がある可能性があります。For situations where litigation is involved, an employee or another party to a legal investigation may have valid reasons for obtaining information about personal data stored in the organization's systems. 場合によっては、その当事者はそのようなデータの削除または匿名化を要求する場合があります。On some occasions, that party may request that such data be removed or anonymized.

このようなニーズに対応するために、組織は、従業員に関する情報の一部がビジネスの継続性にとって合理的に重要であると考えられる可能性があるとして、そのような要求を容易にする必要がある予防、探偵、修復に対応するプロセスと手順を実施する必要があります。To address such needs, organizations should have processes and procedures in place that address preventative, detective, and remedial needs to facilitate such requests, noting that some information about an employee may be reasonably considered crucial for business continuity. たとえば、個人がファイルを作成した、または関数を実行した情報などです。For example, information that an individual authored a file or performed a function.

注意

Microsoft 365 の個人データの調査と修復の手法については、モニターと応答の記事 を参照してくださいFor investigative and remediation techniques for personal data in Microsoft 365, see the monitor and respond article. また、組織の内部で個人データを制御し、悪意のあるアクターの状況で組織から離れるのを防ぐために、自動分類と保護スキームを使用することもできます。You may also want to employ automated classification and protection schemes to make sure that personal data is controlled while inside the organization, as well as prevent it from leaving the organization in malicious actor situations. 詳細については 、保護情報の記事 を参照してください。See the protect information article for more information.

B2B シナリオのビジネス顧客に関する組織のデータData the organization has about its business customers in the B2B scenario

B2B 情報の収集は、ビジネスの継続性を目的として顧客名とトランザクションの記録をさまざまなシステムに保持する必要がある一方で、その情報を不注意または悪意のある侵入から保護する必要がある場合があります。Collection of B2B information is also a challenge because your organization might need to keep records of customer names and transactions in its various systems for business continuity purposes yet protect that information from inadvertent or malicious exfiltration. 従業員データと同様に、組織は、このようなデータを保護するためにポリシー、手順、および技術的な制御を実施し、定義された保持および削除スケジュールに従ってそれを年齢を変更する必要があります。Like employee data, organizations must have policies, procedures, and technical controls in place to protect such data, as well as age it out according to defined retention and deletion schedules.

通常、外部の顧客、パートナー、および組織がビジネスを行う他のエンティティとの契約には、エンティティが組織との関係を持つ間と後の両方で、保護、保持、削除などのデータの処理に対処する言語が含まれます。Typically, contracts with external customers, partners, and the other entities with which the organization does business will have language addressing the handling of such data, including protection, retention, and deletion both during and after the entity has a relationship with the organization.

B2C シナリオで組織が管理するオンライン サービスに情報を提供する消費者に関する組織のデータData the organization has about consumers who provide information to online services that the organization manages in the B2C scenario

このカテゴリは、顧客データ漏洩の多くのパブリック インスタンスが原因で、ほとんどのユーザーがデータのプライバシーについて考える 1 つです。This category is the one most people think about for data privacy, due to many public instances of customer data leakage. これは、プロバイダーとの契約を結んだ第三者などの意図的なものや、悪意のあるアクターによる外用など、意図しない場合があります。This can be intentional, such as a third party under contract to the provider, or unintentional, such as exfiltration by a malicious actor. 消費者データ保護は、EU などがこれらの規制を制定した主な理由の 1 つです。Consumer data protection is one of the primary reasons the EU and others enacted these regulations. GDPR や CCPA のようなデータ プライバシー規制では、以下の計画を立てる必要があります。Data privacy regulations like GDPR and CCPA require you to do planning for:

組織が直接消費者からのデータ収集をあまり行ってない場合は、このカテゴリの問題が少ない可能性があります。If your organization does not do a lot of direct-from-consumer data collection, this category may be less of an issue. ただし、コンプライアンスを実現するには、これらの記事で説明されているプロセスを実行する必要がある場合があります。However, you may still need to go through the processes outlined in these articles to achieve compliance.

手順 1 の概要Step 1 summary

リスクとデータプライバシー規制への露出を理解することが、組織の個人データシナリオに関する基礎知識に基づく重要な第一歩です。Understanding your exposure to risk and data privacy regulation is an important first step that is based on a foundational understanding of your organization's personal data scenarios.

Microsoft 365 環境で消費者からの個人データを持ってない場合、または環境の特定の部分に限定され、技術的な制御の必要性が消費者型データの露出が存在する前提である場合、その技術的な制御は、環境の危険度の高い部分でのみ使用する必要があります。すべての場所ではありません。If you don't have personal data from consumers in your Microsoft 365 environment or it is confined to certain parts of the environment and the need for a technical control is predicated on there being consumer-type data exposure, then that technical control may only need to be employed in high risk parts of the environment, not everywhere.

Microsoft 365 のコンプライアンス マネージャーなど、外部組織または標準コントロール セットの推奨事項は、制御戦略を通知するのに役立ちますが、実際のリスクの露出を定量化するために、データ インベントリの認識によって実装の選択を推進する必要があります。While an external organization or standard control set recommendation, such as from Compliance Manager in Microsoft 365, may help inform your control strategy, your choice of implementation should be driven by data inventory awareness to quantify your real risk exposure.

ほとんどの組織では、上記のシナリオの 1 つが影響を受け取る可能性があります。Most organizations will have some exposure to one of the above scenarios. 評価に対する全体的なアプローチの取り組みは重要です。Taking a holistic approach to assessment is important.

手順 2: データプライバシー規制に準拠するための準備状況を評価するStep 2: Assess your readiness for complying with data privacy regulations

GDPR に固有の質問ですが、 無料の Microsoft GDPR 評価ツールで示された質問は、全体的なデータ プライバシーの準備状況を理解する上での良いスタートを提供します。Although specific to GDPR, the questions posed in the free Microsoft GDPR assessment tool provide a good start towards understanding your overall data privacy readiness.

米国の CCPA やブラジルの LGPD など、他のデータ プライバシー規制の対象となる組織は、GDPR との条項が重複する原因で、このツールの準備状況のインベントリの恩恵を受ける可能性があります。Organizations subject to other data privacy regulations, such as CCPA in the United States or Brazil’s LGPD, may also benefit from this tool’s inventory of readiness due overlapping provisions with the GDPR.

GDPR 評価は、次のセクションで構成されます。GDPR assessment consists of these sections:

セクションSection 説明Description
ガバナンスGovernance
  1. プライバシー ポリシーには、処理されるデータ情報が明示的に示されていますか?Does your privacy policy explicitly state what data information is being processed?
  2. プライバシー影響評価 (PIA) を定期的に実行していますか?Do you regularly run Privacy Impact Assessments (PIAs)?
  3. ツールを使用して個人情報 (PI) を管理していますか?Do you use a tool to manage personal information (PI)?
  4. 特定の個人の PI データを使用してビジネスを行う法的権限はありますか?Do you have legal authority to conduct business using PI data on any given individual? データに対する同意を追跡しますか?Do you track consent for data?
  5. 監査コントロールを追跡、実装、および管理しますか?Do you track, implement, and manage audit controls? データリークを監視しますか?Do you monitor for data leaks?
削除と通知Deletion and notification
  1. ユーザーのデータにアクセスする方法について明示的に指示しますか?Do you give explicit instructions on how users' data can be accessed?
  2. オプトアウトの同意を処理するプロセスを文書化していますか?Do you have documented processes in place for handling opt out consent?
  3. データの自動削除プロセスはありますか?Do you have an Automated Deletion process for data?
  4. 顧客と関わりを持つ際に ID を検証するプロセスはありますか?Do you have a process to validate identity when engaging with a customer?
リスク軽減と情報セキュリティRisk mitigation and information security
  1. ツールを使用して非構造化データをスキャンしますか?Do you use tools to scan unstructured data?
  2. すべてのサーバーは最新の情報であり、ファイアウォールを利用して保護しますか?Are all servers up to date, and do you leverage firewalls to protect them?
  3. サーバーの定期的なバックアップを実行しますか?Do you run regular backups of your servers?
  4. データ 漏えいを積極的に監視していますか?Do you actively monitor for data leaks?
  5. 保存中と送信時にデータを暗号化しますか?Do you encrypt your data at rest and in transmission?
ポリシー管理Policy management
  1. Binding Corporate Rules (BRS) の管理方法How do you manage your Binding Corporate Rules (BCRs)?
  2. データに対する同意を追跡しますか?Do you track consent for data?
  3. 1 ~ 5 の規模で、5 が完全にカバーされている場合、契約はデータ分類と処理要件をカバーしていますか?On a scale of 1 to 5, 5 being completely covered, do your contracts cover data classifications and handling requirements?
  4. インシデント対応計画を持ち、定期的にテストしていますか?Do you have and regularly test an incident response plan?
  5. アクセスの管理に使用するポリシーWhat policy do you use to manage access?

手順 3: Microsoft 365 環境で発生する機密情報の種類を特定します。Step 3: Identify sensitive information types that occur in your Microsoft 365 environment.

この手順では、特定の規制規制の対象となる特定の機密情報の種類の識別と、Microsoft 365 環境での機密情報の発生について説明します。This step involves identification of particular sensitive information types that are subject to specific regulatory controls, as well as the occurrence of them in your Microsoft 365 environment.

個人を含む環境内のコンテンツを検索すると、コンプライアンス検索、電子情報開示、高度な電子情報開示、DLP、監査の組み合わせが含まれる、複雑な作業になります。Finding content in your environment containing personal can be a formidable task, formerly involving a combination of using Compliance Search, eDiscovery, Advanced eDiscovery, DLP, and auditing.

Microsoft Compliance管理センターの新しいデータ分類ソリューションでは、これは、個人データに関連する機密情報の種類を含む組み込みまたはカスタムの機密情報の種類で動作するコンテンツ エクスプローラー機能ではるかに簡単になりました。With the new Data Classification solution in the Microsoft Compliance admin center, this has become much easier with the Content Explorer capability, which works with either built-in or custom sensitive information types, including those related to personal data.

機密情報の種類Sensitive information types

Microsoft Compliance 管理センターには、100 を超える機密情報の種類が事前に読み込まれ、そのほとんどが個人データの特定と検索に関連しています。The Microsoft Compliance admin center comes pre-loaded with over 100 sensitive information types, most of them related to identifying and locating personal data. これらの組み込みの機密情報の種類は、正規表現 (regex) または関数によって定義されるパターンに基づいて、クレジット カード番号、銀行口座番号、パスポート番号などの識別と保護に役立ちます。These built-in sensitive information types can help identify and protect credit card numbers, bank account numbers, passport numbers, and more, based on patterns that are defined by a regular expression (regex) or a function. 詳細については、「機密情報の種類で検索される情報」を参照してください。To learn more, see What the sensitive information types look for.

組織固有または地域別の種類の機密アイテム (従業員のユーザー設定の形式など) や、組み込みの機密情報の種類でまだカバーされていないその他の個人情報を特定して保護する必要がある場合は、次の方法でカスタム機密情報の種類を作成できます。If you need to identify and protect an organization-specific or regional type of sensitive items, such as a custom format for employee IDs, or other personal information not already covered by a built-in sensitive information type, you can create a custom sensitive information type with these methods:

  • PowerShellPowerShell
  • 完全なデータ一致を持つカスタム ルール (EDM)Custom rules with exact data match (EDM)
  • コンプライアンス センターの管理 UI を使用して、コンプライアンス スコアとコンプライアンス マネージャーの使用に関する記事 で強調表示されているThrough the Compliance Center admin UI, as highlighted in the Use Compliance Score and Compliance Manager article

また、組み込みの既存の機密情報の種類をカスタマイズできます。You can also customize an existing, built-in sensitive information type.

詳細については、次の記事を参照してください。See these articles for more information:

コンテンツ エクスプローラーContent Explorer

環境内の機密性の高いアイテムの発生を特定するための重要なツールは、Microsoft 365 コンプライアンス管理センターの新しいコンテンツ エクスプローラーです。An important tool that for determining the occurrence of sensitive items in your environment is the new Content Explorer in the Microsoft 365 Compliance admin center. これは、機密情報の種類の発生と結果の表示のために、Microsoft 365 サブスクリプション全体の初期および継続的なスキャンのための自動化されたツールです。It's an automated tool for initial and ongoing scanning of your entire Microsoft 365 subscription for the occurrence of sensitive information types and display of the results.

新しいコンテンツ エクスプローラー ツールを使用すると、組み込みの機密情報の種類またはカスタムアイテムを使用して、環境内の機密アイテムの場所をすばやく特定できます。The new Content Explorer tool allows you to quickly identify the locations of sensitive items in your environment, using either built-in sensitive information types or custom ones. これには、プロセスを確立し、機密性の高いアイテムの存在と場所を定期的に調査する責任が割り当てられている場合があります。This may involve establishing a process and assigned responsibility to regularly investigate the presence and location of sensitive items.

この記事で強調表示されている他の手順と共に、計画された Microsoft 365 の構成と監視を通じて保護する機密アイテムの全体的なリスクエクスポージャー、準備、および場所を特定するための開始点を提供します。Along with the other steps highlighted in this article, this provides a starting point for identifying your overall risk exposure, readiness, and location of sensitive items to protect through planned Microsoft 365 configuration and monitoring.

環境内の個人データを識別するその他の方法Other methods to identify personal data in your environment

コンテンツ エクスプローラーに加えて、組織はコンテンツ検索機能にアクセスして、高度な検索条件とカスタム フィルターを使用して、環境内の個人データを検索するカスタム検索を作成できます。In addition to the Content Explorer, organizations have access to the Content Search capability to produce custom searches to find personal data in their environment, using advanced search criteria and custom filters.

個人データの検出のためのコンテンツ検索の使用に関する詳細なガイダンスについては、この記事で 説明しますDetailed guidance on the use of Content Search for discovery of personal data is provided in this article. コンテンツ検索などの検出手法は、GDPR および CCPA の DSR でも説明されていますContent Search and other discovery techniques are also explored in DSRs for the GDPR and CCPA.

Microsoft 365 の個人データの調査および修復手法に関するその他の分析情報は、モニターおよび応答の記事 で提供されていますAdditional insights on investigative and remediation techniques for personal data in Microsoft 365 are provided in the monitor and respond article.

注意

オンプレミスに保存されているファイルに含む機密情報の詳細については 、「Azure Information Protection」を参照してくださいTo Find what sensitive information you have in files stored on-premises, please refer to Azure Information Protection.