Microsoft Dataverse 顧客データに対するデータ主体の権利 (DSR) 要求への応答

  • [アーティクル]

欧州連合 (EU) の一般データ保護規則 (GDPR) は、データに関する重要な権利を個人に与えています。 GDPR の概要については、Microsoft Learn 一般データ保護規則の概要 を参照してください。これは、用語、アクション計画、準備チェックリストを含み、Microsoft の製品やサービスの使用にともなう GDPR に基づく義務を果たす際に役立ちます。

GDPR の概要と、それに Microsoft を活用して対応する方法、さらにその影響を受けるお客様への Microsoft のサポートについて解説します。

  • Microsoft セキュリティ センター は、データ保護影響評価、データ サブジェクト要求、データ侵害の通知など、GDPR の説明責任を果たすうえで役立つ一般情報、コンプライアンスのベスト プラクティス、ドキュメントを提供します。
  • サービス トラスト ポータル は、Microsoft サービスを活用して GDPR への準拠に対応する方法について、情報を提供します。

この記事では、 Power Apps、 Power Automate、 Dataverse を使用する際のプライバシー コンプライアンスをサポートするために実行できる手順の例を示します。 コントローラーである顧客がデータ主体の権利 (DSR) 要求に応じて Microsoft クラウド内の個人データを検索、アクセスして、操作できるように、 Microsoft 製品、サービス、および管理ツールを使用する方法を学習します。

以下のアクションについては、この記事に記載されています:

  • 検出 — 検索および検出ツールを使用することによって、DSR 要求の主体になる可能性がある顧客のデータを簡単に検索できます。 応答性を高める可能性のあるドキュメントが収集されたら、次の 1 つ以上の DSR アクションを実行して要求に応答してください。 あるいは、当該要求が DSR の要求に対応するにあたっての組織のガイドラインに適合していないと判断することもできます。

  • アクセス — Microsoft クラウドに存在する個人データを取得し、必要に応じてデータ主体が使用できるようにデータのコピーを作成します。

  • 修正 — 必要に応じて、個人データに変更を加えたり、他に必要なアクションを実行したりします。

  • 制限する —さまざまなオンライン サービスのライセンスを削除するか、できれば、希望のサービスをオフにして、個人データの処理を限定的にします。 また、Microsoft クラウドからデータを削除しても、オンプレミスまたは別の場所で保持することができます。

  • 削除 — Microsoft クラウドに有る個人データを完全に削除します。

  • エクスポート —データ主体に、個人データの電子コピー (機械可読フォーム) を提供します。

Dataverse 顧客データ

重要

Dataverse と Dataverse の以前のバージョンの両方に適用されます。

Dataverse および以前のバージョンの Dataverse には、個人データを操作する別々のプロセスがあります。

Power Apps にログインし、これらの手順に従うことによって、お使いの環境の種類を特定できます。

  1. 環境ドロップダウン リストで、環境を選択します。

  2. ナビゲーション ウィンドウで、Dataverse を選択し、テーブル を選択します。

    次のテーブルが一覧表示されている場合、ご利用の環境は Dataverse です:

    Power Apps テーブルの一覧。

お使いの環境の種類を確定したら、次のセクションの手順に従って個人データを識別します。

Note

一部は Dataverse の環境で、その他は以前のバージョンの Dataverse の環境で使用している場合、各環境ごとに以下に説明するプロセスを組織で繰り返す必要があります。

Dataverse の個人データ

前提条件

Microsoft 365 管理センターでユーザーを作成し、適切なユーザー ライセンスおよびセキュリティ ロールを割り当てると、ユーザーは Dataverse にアクセスして使用できるようになります。

標準のユーザー個人データ (ユーザー名、ユーザー ID、電話番号、メール アドレス、住所など) は、Microsoft 365 管理センターで保持および管理されています。 システム管理者は Microsoft 365 管理センターでのみこの個人データを更新でき、データはすべての環境において Dataverse システムのユーザー テーブルに同期されます。 また、システム管理者は、カスタム属性を作成して、Dataverse システムのユーザー テーブル内で追加のユーザー個人データをキャプチャし、これらの属性を手動で維持および管理することもできます。

組織の運営にとって重要なビジネス アプリケーションが中断しないようにするため、ユーザーが Microsoft 365 管理センターから削除された場合でも、Dataverse システムのユーザー テーブルからユーザーの行が自動的に削除されることはありません。 Dataverse でユーザーの状態は「無効」に設定されていますが、Dataverse のシステム管理者は、アプリケーション内の Dataverse からユーザーの個人データを探し出して削除する必要があります。

グローバル管理者と Dataverse のシステム管理者は、以下に示す検出、修正、エクスポート、および削除アクションを実行できます。

検出

システム管理者は環境を複数構築できます 。 これらの環境は、試用、開発、または実稼働の目的で使用できます。 これらの各環境が、システム管理者によって追加されたカスタム属性を含むシステム ユーザー テーブルのコピーと、Microsoft 365 管理センターから同期されたユーザー個人データを保持しています。

システム管理者は、Microsoft Power Platform 管理センターに移動して、すべての環境のリストを見つけることができます。

以下のリソース内で Dataverse ユーザーの個人データが見つかります:

リソース 目的 Web サイト アクセス プログラムでアクセス
テーブルの行 システム ユーザー テーブルと呼ばれ、ユーザーの個人データを格納します。 Power Platform 管理センター Web APIを使用する
監査履歴 ユーザーがテーブル レベルで作成、アクセス、変更、または削除したリソースを、顧客が識別できるようにします。 Power Platform 管理センター Web APIを使用する

ユーザー

ユーザーの個人データは Microsoft Entra に保存され、Dataverse データベースの環境に自動的に同期されます。 システム管理者は、ユーザーがアクティブである間、 Dataverse でこの個人データを直接更新することはできないため、Microsoft 365 管理センターからデータを更新する必要があります。 システム管理者は、個人データ (たとえば、ユーザー定義属性) を Dataverse に直接追加できますが、このデータを手動で管理する必要があります。

ユーザーが自分の個人データを確認するには、Power Platform 管理センターにアクセスして、次の手順を実行します。

  1. 環境を選び、リストから環境を選択します。

  2. 設定>ユーザー + アクセス許可>ユーザー に移動します。

  3. 検索 ボックスにユーザーの名前を入力し、入力 を選択します。

  4. ユーザーの個人データを表示する際は、そのユーザーの名前をクリックまたはダブルタップで選択します。

  5. 連絡先情報を変更する際は、省略記号を展開して Dynamics 365 のユーザーを管理する をクリックします

    Power Apps ユーザー フォーム。

監査履歴

Dataverse でテーブルの 監査追跡 が有効になっている場合は、ユーザーの個人データはユーザーが実行するアクションと共に監査履歴に記録されます。

修正

データの対象者が組織のデータに存在する個人データの修正を依頼した場合、その依頼を受け入れることが適切であるかどうかは、あなたとあなたの組織が判断しなければなりません。 データの修正には、ドキュメントまたはその他の種類のアイテムの個人データを編集、編纂、または削除することが含まれます。

Microsoft Entra を使用して、Dataverse 内のユーザーの ID (個人データ) を管理できます。 企業のお客様は、特定の Microsoft サービスの性質に応じて、限定的な編集機能を使用して DSR の修正要求を管理します。 Microsoft はデータ処理の提供者として、ログを修正する機能を実装してしていません。これらのログは事実に基づいた処理を反映するものであり、Microsoft サービス内におけるイベントの履歴記録を構成しているためです。

ユーザー行が Microsoft Entra ID から削除されると、システム管理者は、すべての環境からそのユーザーに関連する残りの個人データ (ユーザー定義属性など) を削除できます。

エクスポート

システム ユーザー

管理センター内のユーザー一覧から Excel にシステムのユーザー テーブルに格納されているユーザーの個人データをエクスポートすることができます。

Power Platform 管理センター から、以下のことができます:

  1. 環境を選び、リストから環境を選択します。

  2. 環境を開くを選択します。

  3. 設定>セキュリティに移動し、有効なユーザー ビューを選択します。

  4. Excel にエクスポートを選択します。

監査履歴

監査履歴のスクリーンショットは、管理センターから取得することができます。

Power Platform 管理センター から、以下のことができます:

  1. 環境を選び、リストから環境を選択します。

  2. 環境を開くを選択します。

  3. 設定>監査とログ へと移動し、続いて 監査の概要ビュー を選択します。

    Power Apps 監査履歴メニュー。

  4. ユーザー監査レコードを特定して、[Alt + Prt Sc] を押してスクリーンショットを撮ります。

    Power Apps 監査履歴の詳細。

  5. スクリーンショットをファイルに保存し、DSR 要求者に送信します。

削除

User

組織の運営にとって重要なビジネス アプリケーションが中断しないようにするため、ユーザーが Microsoft 365 管理センターから削除された場合でも、Dataverse システムのユーザー テーブルからユーザーのレコードが自動的に削除されることはありません。 ユーザーの状態が Dataverse で無効に設定されていますが、Dataverse システム管理者はアプリケーションの Dataverse からユーザーの個人データを見つけて削除するか、または各環境からユーザーを削除する必要があります。 ユーザーの個人データを削除するか、または ユーザーを完全に削除 できます。

[ユーザーの概要] ページからユーザーの個人データを削除する

ユーザー レコードが Microsoft Entra から削除される場合、次のメッセージが [ユーザーの概要] ページに表示されます。

このユーザーの情報は Office 365 では管理されていません。 このレコードを更新し、このユーザーに関連付けられているすべての個人データを削除または置換することにより、DSR 要求に応えることができます。

Power Platform 管理センター から、以下のことができます:

  1. 環境を選び、リストから環境を選択します。

  2. 環境を開くを選択します。

  3. 設定>セキュリティ>ユーザーに移動し、無効なユーザー ビューを選択します。

  4. 検索ボックスにユーザーの名前を入力し、検索を選択します。

  5. 検索結果の一覧でユーザー名をダブルクリックします。

  6. ユーザーの概要ページですべての個人データを削除し、保存を選択します。

Excel を使用してユーザーの個人データを削除する

Power Platform 管理センター から、以下のことができます:

  1. 環境を選び、リストから環境を選択します。

  2. 環境を開くを選択します。

  3. 設定>セキュリティ>ユーザーに移動し、無効なユーザー ビューを選択します。

  4. ユーザーの個人データから Excel テンプレート ファイルを作成してダウンロードします。 手順については、新しい Excel テンプレートを作成するをご覧ください。

  5. ダウンロードした Excel テンプレートファイルを開き、ユーザーの個人データを削除して、ファイルを保存します。

  6. 無効なユーザー ビューページに戻り、データのインポートを選択します。

  7. データ ファイルのアップロードダイアログ ボックスの Excel テンプレート ファイル を選択し、フィールドのマップ ウィンドウですべての必要な変更を加えます。

  8. 次へ を選択し、続いて 送信 を選択します。

ユーザーを完全に削除する

ユーザーの個人データを削除するか、または Datavese ユーザー テーブルからユーザー レコードを完全に削除できます。 詳細情報: Power Platform のユーザーを完全に削除する

ユーザー レコードが完全に削除されると、その削除されたユーザーが作成者や最終変更者であったすべてのレコードと、監査ログが含むユーザー名に 名前がありません と表示されます。

[監査概要ビュー] ページで監査履歴を削除する

Power Platform 管理センター から、以下のことができます:

  1. 環境を選び、リストから環境を選択します。

  2. 環境を開くを選択します。

  3. 設定>監査とログ へと移動し、続いて 監査の概要ビュー を選択します。

  4. ユーザーの変更履歴を検索し、行の横にあるチェック ボックスを選び、変更履歴を削除を選択します。

Dataverse のデータベースに格納されている個人データ

前提条件

Dataverse テーブル内の個人 (顧客など) からの個人データを格納している可能性があります。

Dataverse システム管理者は、DSR の要求に応答してデータを特定できるように、各個人のさまざまなテーブル内で個人データが格納されている場所のインベントリを管理する責任があります。

そうすれば、製品内の機能を使って、テーブルの個人データをエクスポート、修正、削除することができます。

検出

Dataverse システム管理者は、ユーザーから DSR 要求を受け取ったら、そのユーザーの個人データが含まれる環境/Dataverse データベースの環境を識別する必要があります。 通常、個人データは主要なテーブル (アカウント、連絡先、リード、営業案件など) に格納されますが、DSR 要求に応答できるように、各ユーザーの個人データが格納されている場所のインベントリを維持するためのポリシーと手順を作成するのはユーザーの責任です。

インベントリを使用することで、Dataverse のシステム管理者は、検索テーブルとフィールドを構成し、 環境にアクセスして個人データを検出することができます。 詳細については、関連性検索の構成を参照してください。

Power Platform 管理センター から、以下のことができます:

  1. 環境を選び、リストから環境を選択します。

  2. 環境を開くを選択します。

  3. Dataverse 検索 を選択します。

    Power Apps Dataverse 検索メニュー。

  4. 検索ボックスにユーザーの個人データを入力して、検索を選択します。

    Power Apps Dataverse 検索結果。

修正

Dataverse システム管理者は、Dataverse 検索の結果のリストを使用して、ユーザーの個人データを更新できます。 ただし、ユーザーの個人データは他のカスタム テーブルに格納されている場合もあります。 Dataverse システム管理者は、これらの他のカスタム テーブルのインベントリを維持し、ユーザーの個人データを適切に更新する責任があります。

Dataverse 検索結果から、次のようにします。

  1. ユーザーの個人データが含まれる項目を選択します。

  2. 必要に応じて、ユーザーの個人データを更新し、保存を選択します。

    Power Apps アカウントの詳細。

Export

データのスクリーンショットを取得し、DSR 要求者と共有できます。

Power Platform 管理センター から、以下のことができます:

  1. 環境を選び、リストから環境を選択します。

  2. 環境を開くを選択します。

  3. Dataverse 検索 を選択します。

    Power Apps Dataverse 検索メニュー。

  4. 検索ボックスにユーザーの個人データを入力して、検索を選択します。

    Power Apps Dataverse 検索結果。

  5. 検索結果の一覧でアイテムをダブルクリックします。

  6. [Alt + Prt Sc] を押してスクリーンショットを撮ります。

  7. スクリーンショットをファイルに保存し、DSR 要求者に送信します。

削除

Dataverse システム管理者は、当該データが保存されているレコードからユーザーの個人データを削除できます。 Dataverse システム管理者は、個人データが格納されているレコードを削除するか、レコードから個人データの内容を削除するかを選択できます。

Note

Dataverse 管理者は、レコードがテーブルから削除されないように、環境をカスタマイズできます。 このように構成されている場合、レコード自体を削除するのではなく、レコードから個人データの内容を削除するようにしてください。

Dataverse 検索結果から、次のようにします。

  1. ユーザーの個人データが含まれる項目を選択します。

  2. リボンで、削除を選択します。 (レコードが削除できない場合、削除 が無効になります)。

    Power Apps アカウントの削除。

以前のバージョンの Dataverse のデータベースに格納された個人データ

前提条件

Dataverse テーブル内の個人 (顧客など) からの個人データを格納している可能性があります。

Dataverse システム管理者は、DSR の要求に応答してデータを特定できるように、各個人のさまざまなテーブル内で個人データが格納されている場所のインベントリを管理する責任があります。

そうすれば、製品内の機能を使って、テーブルの個人データをエクスポート、修正、削除することができます。

検出

Dataverse システム管理者は、ユーザーから DSR 要求を受け取ったら、そのユーザーからの個人データが含まれる環境/Dataverse データベースの環境を識別する必要があります。 通常、個人データは主要なテーブル (アカウント、連絡先、リード、営業案件など) に格納されますが、DSR 要求に応答できるように、各ユーザーの個人データが格納されている場所のインベントリを維持するためのポリシーと手順を作成するのはユーザーの責任です。

以下のリソース内で、以前のバージョンの Dataverse のユーザーの個人データを見つけることができます。

リソース 目的 Web サイト アクセス プログラムでアクセス
テーブルの行 それぞれのビジネス テーブルでビジネス トランザクションをキャプチャします。 Power Apps 無効

テーブルの行

ユーザーの個人データは、任意のビジネス テーブルに格納できます。

このバージョンの Dataverse には、独自のデータベース スキーマとインフラストラクチャが含まれます。 独自のテーブルがあり、これらのテーブルを Power Apps で管理します。

テーブルの一覧を表示するには、次のようにします:

  1. 環境ドロップダウン リストで、環境を選択します。

  2. ナビゲーション ウィンドウで、Dataverse を選択し、テーブル を選択します。

    Power Apps テーブルの一覧。

  3. 以下に示すように、テーブルの一覧からテーブル (たとえば、アカウント テーブル) を選択します。

    Power Apps レガシ テーブルの詳細一覧。

  4. メニュー バーで エクスポート>データのエクスポート を選択します。

  5. エクスポートが完了したら、エクスポートされたデータのダウンロード を選択します。

  6. エクスポートが完了したら ダウンロード フォルダの .zip ファイルを選択し、ファイルを抽出します。 .csv ファイルを開きます。

  7. 検索ボタンを選び、検索ボックスにユーザーの個人データを入力して、検索 を選択します。

  8. インベントリ リストを使用し、ビジネス テーブルごとに上記の手順を繰り返して、ユーザーの個人データをすべて検出します。

修正

データの対象者が組織のデータに存在する個人データの修正を依頼した場合、その依頼を受け入れることが適切であるかどうかは、あなたとあなたの組織が判断しなければなりません。 データの修正には、ドキュメントまたはその他の種類のアイテムの個人データを編集、編纂、または削除することが含まれます。

Microsoft Entra を使用して、以前のバージョンの Dataverse 内のユーザーの ID (個人データ) を管理できます。 企業のお客様は、特定の Microsoft サービスの性質に応じて、限定的な編集機能を使用して DSR の修正要求を管理します。 Microsoft はデータ処理の提供者として、ログを修正する機能を実装してしていません。これらのログは事実に基づいた処理を反映するものであり、Microsoft サービス内におけるイベントの履歴記録を構成しているためです。

環境に存在する個人データを修正するには、テーブル データを Excel スプレッドシートにエクスポートし、更新した後、更新内容をデータベースにインポートし直すことができます。

Dataverse のシステム管理者は、ユーザーの個人データを含むすべてのテーブルを識別し、各テーブルに対して以下の手順を繰り返す責任があります。

Power Apps で次の手順を実行します:

  1. ナビゲーション ウィンドウで、Dataverse を選択し、テーブル を選択します。

    Power Apps テーブルの一覧。

  2. 以下に示すように、テーブルの一覧からテーブル (たとえば、アカウント テーブル) を選択します。

    Power Apps レガシ テーブルの詳細一覧。

  3. メニュー バーで エクスポート>データのエクスポート を選択します。

  4. エクスポートが完了したら、エクスポートされたデータのダウンロード を選択します。

  5. エクスポートが完了したら ダウンロード フォルダの .zip ファイルを選択し、ファイルを抽出します。 .csv ファイルを開きます。

  6. メニュー バーで ファイル名前を付けて保存 の順に選択し、ファイルを保存する場所を選択します。

  7. 必要な個人データを更新し、スプレッドシートを保存します。

  8. Power Apps で選択したテーブルに戻り、インポート>データのインポート を選択します。

  9. 検索 を選び、更新した Excel スプレッドシートを選択して開きます。

  10. インポート を選択します。

Export

各テーブルの個人データを Excel スプレッドシートにエクスポートして表示できます。

Power Apps で次の手順を実行します:

  1. ナビゲーション ウィンドウで、Dataverse を選択し、テーブル を選択します。

    Power Apps テーブルの一覧。

  2. 以下に示すように、テーブルの一覧からテーブル (たとえば、アカウント テーブル) を選択します。

    Power Apps レガシ テーブルの詳細一覧。

  3. メニュー バーで エクスポート>データのエクスポート を選択します。

  4. エクスポートが完了したら、エクスポートされたデータのダウンロード を選択します。

  5. エクスポートが完了したら ダウンロード フォルダの .zip ファイルを選択し、ファイルを抽出します。 .csv ファイルを開きます。

削除

データのエクスポート/インポート機能を使って、テーブルに格納されている個人データを削除できます。

Dataverse のシステム管理者は、ユーザーの個人データを含むすべてのテーブルを識別し、各テーブルに対して以下の手順を繰り返す責任があります。

Power Apps で次の手順を実行します:

  1. ナビゲーション ウィンドウで、Dataverse を選択し、テーブル を選択します。

    Power Apps テーブルの一覧。

  2. 以下に示すように、テーブルの一覧からテーブル (たとえば、アカウント テーブル) を選択します。

    Power Apps レガシ テーブルの詳細一覧。

  3. メニュー バーで エクスポート>データのエクスポート を選択します。

  4. エクスポートが完了したら、エクスポートされたデータのダウンロード を選択します。

  5. エクスポートが完了したら ダウンロード フォルダの .zip ファイルを選択し、ファイルを抽出します。 .csv ファイルを開きます。

  6. メニュー バーで ファイル名前を付けて保存 の順に選択し、ファイルを保存する場所を選択します。

  7. テーブルから削除する個人データを含む行を削除し、スプレッドシートを保存します。

  8. Power Apps で選択したテーブルに戻り、インポート>データのインポート を選択します。

  9. 検索 を選び、更新した Excel スプレッドシートを選択して開きます。

  10. インポート を選択します。