データプライバシー規制の対象となる情報を管理するGovern information subject to data privacy regulation

情報ガバナンス管理は、一般データ保護規則 (GDPR)、HIPAA-HITECH (米国の医療プライバシー法)、カリフォルニア州消費者保護法 (CCPA)、およびブラジルデータ保護法 (LGPD) に固有の番号を含む、データ プライバシーコンプライアンスのニーズに対応するために使用できます。Information governance controls can be employed in your environment to help address data privacy compliance needs, including a number that are specific to General Data Protection Regulation (GDPR), HIPAA-HITECH (the United States health care privacy act), California Consumer Protection Act (CCPA), and the Brazil Data Protection Act (LGPD).

これらのコントロールは、主に次のソリューション領域に含まれます。These controls primarily fall into the following solution areas:

  • 保持ポリシーRetention policies
  • 保持ラベルRetention labels
  • レコード管理Records management

情報ガバナンス管理に影響を与えるデータプライバシー規制Data privacy regulations impacting information governance controls

情報ガバナンス制御に関連する可能性があるデータプライバシー規制の一覧の例を次に示します。Here is a sample listing of data privacy regulations that may relate to information governance controls:

  • GDPR 記事 (13)(2)(a)GDPR Article (13)(2)(a)
  • GDPR 記事 (5)(1)(f)GDPR Article (5)(1)(f)
  • HIPAA-HITECH (45 CFR 164.312(c)(2))HIPAA-HITECH (45 CFR 164.312(c)(2))
  • HIPAA-HITECH (45 CFR 164.316(b)(1)(i))HIPAA-HITECH (45 CFR 164.316(b)(1)(i))
  • HIPAA-HITECH (45 CFR 164.316(b)(1)(ii))HIPAA-HITECH (45 CFR 164.316(b)(1)(ii))
  • LGPD 第 46 条LGPD Article 46

これらの規制の詳細については、「データプライバシーリスクを評価し、機密情報を 特定する」の記事を参照してくださいFor more information on these regulations, see the assess data privacy risks and identify sensitive information article.

情報ガバナンスの場合、通常、データプライバシー規制では次の情報が必要です。For information governance, data privacy regulations typically call for the following:

  • Microsoft 365 に保存されている個人データの保持と削除に関する技術的なスキームを使用する必要があります。You should employ a technical scheme for retention and deletion for personal data stored in Microsoft 365.
  • 個人データを保存する場合は、データの保存期間を件名に通知します。これは、フロントエンド Web システムでの標準的な方法です。If you're going to store personal data, inform the subject of how long the data will be stored, which is a standard practice now on front-end web systems.
  • 個人データは、検証可能な方法を使用して、偶発的な処理、損失、または変更から保護する必要があります。Personal data should be protected against accidental processing, loss, or alteration using verifiable methods.
  • 個人データに対して実行されるアクションは文書化する必要があります。そのドキュメントは指定された期間保持する必要があります。Any action executed against personal data should be documented and that documentation should be retained for a specified period.

データの保持と削除に関しては、データのプライバシーに関する規制は非常に具体的ではないので、Microsoft 365 サブスクリプションに保存されている個人情報に関する情報ガバナンス ガイドラインを決定する可能性があるその他の要因を考慮する必要があります。Because the data privacy regulations are not very specific when it comes to data retention and deletion, other factors need to be taken into consideration that may dictate information governance guidelines for personal information stored in your Microsoft 365 subscription. いくつかの例を示します。Here are a few examples:

  • 5 年間の非アクティブ化後にコンシューマー アカウントをエージングし、その時点以降にアカウント データを削除または匿名化する必要があります。通知や他の自動化に関連するデータとワークフローを格納するシステム間のオーケストレーションが必要です。Aging out consumer accounts after 5 years of inactivity and requires deletion or anonymization of account data after that point, requiring orchestration between the system storing the data and workflows related to notifications and other automation.
  • GDPR に関連するポリシーと手順を、ポリシーと手順の保持スケジュールに合わせて組織の保持スケジュールに合わせて 3 年間保持するためのルールを構成します。Configuring rules for keeping policies and procedures related to GDPR around for three years after they've been superseded, which aligns with the organization's retention schedule for policies and procedures.
  • サポート組織を通じて消費者と通信するための個別のサブスクリプションを維持する。Maintaining a separate subscription for communicating with consumers through its support organization. すべての電子メール通信は、システム内のプライバシー負債の増加を減らすために、2 週間後に保持および削除されました。All email communications were retained and deleted after two weeks to reduce any privacy debt buildup in the system.

答える重要な質問は次の場合です。A key question to answer is:

  • ビジネス上の有効な理由から、個人データを含む情報を保持し、"永遠に保つ" 方法を避ける必要がある期間。How long does information containing personal data need to be kept around for valid business reasons to avoid "keep it forever" practices? これは、ビジネス継続性の保持ニーズとバランスを取る必要があります。This must be balanced with retention needs for business continuity.

個人情報を保持または削除する法的およびビジネス上の理由に関係なく、Microsoft は Microsoft 365 でデータ ガバナンス スキームを実装するためのさまざまな機能を提供します。Regardless of the legal and business reasons for keeping personal information around or deleting it, Microsoft provides a number of capabilities to implement your data governance scheme in Microsoft 365.

Microsoft 365 での情報ガバナンスの管理Managing information governance in Microsoft 365

まず、「Manage information Governance and Data Retention, Deletion and Destruction in Microsoft 365」を参照してくださいTo begin, see Manage information governance and Data Retention, Deletion and Destruction in Microsoft 365.

コンテナー、電子メール、およびコンテンツのデータ保持スケジュールを開発するDevelop data retention schedules for containers, email, and content

以下の点にご注意ください:Keep the following in mind:

  • 定義された情報の種類のデータ保持スケジュールを確立するには、保持または削除のスキームを実装するための前提条件と見なす必要があります。Establishing a data retention schedule for defined information types should be considered a prerequisite to implementing any retention or deletion scheme.

  • ほとんどの組織が重要と考える情報の種類の数と、それに沿った対応する大規模なレコード保持スケジュールを考えると、データ保持とレコード管理戦略を実装するには計画が必要です。Given the number of information types that most organizations consider important and the corresponding large records retention schedules that go along with them, implementing a data retention and records management strategy requires planning.

  • この種類の効果的なデータ ガバナンス戦略を確立する鍵は、より正式な管理を必要とする最も優先度の高いビジネス機能と情報の種類に焦点を当てすることです。The key to establishing an effective data governance strategy of this type is to focus on the highest priority business functions and information types that require more formal management. 例としては、法的契約、財務諸表、および規制コンプライアンスに関するドキュメントがあります。Examples are legal contracts, financial statements, and regulatory compliance documentation. 単一の情報の種類ごとに個別の保持スケジュールを設定しないようにしてください。Try to avoid having a separate retention schedule for every single information type. 一般的なビジネス コンテンツの保持スケジュールが 7 年など、可能な限り一般的なカテゴリを使用してください。Try to utilize general categories as much as possible, for example, with retention schedules of 7 years for general business content.

  • 環境内の個人情報の種類がよりよく知られたら、この種類のコンテンツの保持と削除のスケジュールを確立し、このような情報のガバナンスを容易にするために情報アーキテクチャを調整します。Once the personal information types in your environment are better known, establish retention and deletion schedules for this type of content and adjust your information architecture to make governance of this sort of information easier. たとえば、アクセスを制御する個別のサイト、ライブラリ、またはフォルダーで個人情報を分離します。For example, isolate personal information in separate sites, libraries, or folders with controlled access.

アイテム保持ポリシーと保持ラベルRetention policies and retention labels

アイテム 保持ポリシーと保持ラベルを使用 して、個人データを含む、または含まれると予想される Microsoft 365 のコンテンツを保持または削除します。Use retention policies and retention labels to retain or delete content in Microsoft 365 that contains or is expected to contain personal data.

レコード管理Records management

コンテンツをレコードとして宣言する保持ラベルを使用して、Microsoft 365 のデータのレコード管理ソリューションを実装します。Use retention labels that declare content a record to implement a records management solution for data in Microsoft 365.

データのプライバシーを保護するために、法務部門が受け取ったデータ主体要求 (DSR) はレコードとして宣言され、規制活動保持仕様に準拠するために無期限に保存または証拠付き廃棄することができます。For data privacy, data subject requests (DSRs) received by the legal department are declared a record and can be stored indefinitely or disposed of with proof, to adhere to regulatory activity retention specifications.