コンプライアンスとデータ プライバシー

Microsoft は、最高レベルの信頼、透過性、標準への準拠、および法規制の順守に取り組んでいます。 Microsoft の幅広い一連のクラウド製品とサービスは、すべて根本から構築されており、お客様の最も厳しいセキュリティとプライバシーの要求に対応しています。

組織が個人のデータの収集と使用を管理する国、地域、および業界固有の要件に準拠できるように、Microsoft は任意のクラウド サービス プロバイダーの最も包括的な一連のコンプライアンス認証 (認定資格と証明を含む) を提供します。 管理者が組織の業務をサポートするためのツールもあります。 ドキュメントのこの部分では、組織独自の要件を確認して達成するための使用可能なリソースについて詳しく説明します。

セキュリティ センター

Microsoft セキュリティ センター (https://www.microsoft.com/trustcenter) は、Microsoft のポートフォリオ製品の情報を取得する一元化されたリソースです。 これにはセキュリティ、プライバシー、コンプライアンス、および透過性での情報が含まれます。 このコンテンツには Power Apps に関するこの情報のサブセットが含まれている場合がありますが、最新の権限ある情報については、常にMicrosoft セキュリティ センターを参照することが重要です。

クイック リファレンスについては、https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/default.aspx から Microsoft Power Platform のセキュリティ センター情報を参照できます。これには、Power Apps、Microsoft Power Automate および Power BI に関する情報が含まれます。

データの場所

Microsoft は、Microsoft Power platform アプリケーションをサポートする複数のデータ センターを世界規模で運用しています。 組織がテナントを確立すると、既定の地理的な (物理的) 場所が確立されます。 また、アプリケーションをサポートし、Common Data Service データを含む環境を作成する場合、環境は特定の地域を対象とすることができます。 Microsoft Power Platform の地域の現在のリストは https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location で参照できます

運用の継続をサポートするため、Microsoft はデータを地域内の他の地域に複製する場合がありますが、データの復元力をサポートするためにデータが地域外に移動することはありません。 これにより、深刻な機能停止が発生した場合に、より迅速にフェイル オーバーまたは回復する機能がサポートされます。 上記のサイトにリストされている特定の地域にデータを保持することには、法的およびサポートに重点を置いた合理的な例外がいくつかあります。 また、地域外にデータを公開するアクションを実行できる点に注意することも重要です。 他のサービスが、データにアクセスし、地域外で公開されるよう構成することもできます。 既定では、承認されたユーザーは、接続が可能な世界のどこからでもプラットフォームやアプリケーションおよびデータにアクセスできます。

データ保護

ユーザー デバイスと Microsoft データセンター間で転送中のデータは、セキュリティ保護されます。 顧客と Microsoft データセンター間で確立された接続は暗号化され、すべてのパブリック エンドポイントは業界標準の TLS を使用してセキュリティ保護されます。 TLS では、セキュリティ強化されたブラウザーからサーバーへの接続を効果的に確立し、デスクトップとデータセンター間のデータの機密性と整合性を確保します。 顧客エンドポイントからサーバーへの API アクセスも同様にセキュリティ保護されています。 現在、サーバー エンドポイントにアクセスするには TLS 1.2 (またはそれ以上) が必要になります。

オンプレミスのデータ ゲートウェイ経由で転送されたデータも暗号化されます。 ユーザーがアップロードするデータは通常 Azure Blob Storage に送信され、システム自体のすべてのメタデータおよびアーティファクトはAzure SQL Database および Azure Table storage に保存されます。

Common Data Service データベースのすべての環境は、SQL Server Transparent Data Encryption (TDE) を使用して、ディスクへの書き込み時にリアルタイムの暗号化を実行し、保管時の暗号化としても知られています。

既定では、Microsoft が環境のデータベース暗号化キーを保存および管理するため、お客様による管理は不要です。 Dynamics 365 管理センターの管理キー機能では、管理者が Dynamics 365 (online) の環境に関連付けられた暗号化キーを自己管理できるようにします。 独自のキーの管理の詳細については、ここ を参照できますが、一般に、独自で管理すべき固有のビジネス ニーズがある場合を除き、Microsoft にキーを管理させていただくようにすることをお勧めします。

GDPR コンプライアンスを管理するリソース

欧州連合の一般データ保護規則 (GDPR) は、その個人データを管理する権利をユーザーに与える、制定された最新のプライバシー規則の 1 つです。 このセクションでは、管理者が GDPR に準拠するための努力を支援するために、Microsoft Power Platform で使用可能なツールとリソースのいくつかを見てみましょう。 これらのリソースとツールのいくつかは、GDPR に直接関連しない他のデータ プライバシー関連タスクを支援するのにも役立つ場合があります。 GDPR に関する全体的な説明はこのコンテンツの範囲を超えていますが、このセクションではお客様の努力をサポートするツールとリソースに焦点を当てます。 また、Microsoft には GDPR リソースと情報専用のセキュリティ センターのセクションがありますが、これも役に立つはずです。 https://www.microsoft.com/TrustCenter/Privacy/gdpr/default.aspx を参照してください

最初に、このコンテキストで重要な GDPR の用語をいくつか見てみましょう。

用語 関連性
データ主体 GDPR は、データ主体としてユーザーを特定します。 個人の雇用、または個人データを収集する何らかの対話のいずれかで、組織によって収集される可能性があるのは、個人データです
データ管理者 独自の目的用にデータを収集し処理する組織
データ プロセッサ 他者に代わってデータを処理する組織
個人データ 識別される、または識別可能な自然人に関連したいずれかの情報。

管理者として GDPR をサポートする主要な活動の 1 つは、データ主体の権利 (DSR) 要求に関連しています。 これらはデータ主体からデータ管理者 (おそらく組織) に対する、システムの個人データで操作するための正式な要求です。 GDPR は、データ主体にコピーの取得、修正の要求、データ処理の制限、データの削除、および別のデータ管理者に移動できるように電子形式でコピーを受信する権利を与えます。

次のリンクは、組織が使用している機能により DSR 要求への応答が容易になる詳細情報をポイントします。

プラットフォーム機能エリア 詳細な応答ステップへのリンク
Power Apps Power Apps 顧客データのエクスポートに対するデータ主体の権利 (DSR) 要求への応答
Common Data Service Common Data Service 顧客データに対するデータ主体の権利 (DSR) 要求への応答
Power Automate https://docs.microsoft.com/flow/gdpr-dsr-summary
Microsoft アカウント (MSA) https://docs.microsoft.com/flow/gdpr-dsr-summary-msa
Dynamics 365 のモデル駆動型アプリ https://docs.microsoft.com/microsoft-365/compliance/gdpr-dsr-dynamics365

Microsoft 365 セキュリティとコンプライアンス センター

単一の場所で Microsoft cloud services 間のコンプライアンスの取り組みを管理するのに Microsoft Compliance Manager が役立つ場合があります。 Compliance Manager に関する詳細は、https://aka.ms/compliancemanager を参照してください。

Power Automate 監査ログのイベント

コンプライアンス センターでは、監査ログ検索の管理者は Power Automate イベントを検索および表示できるようになります。 イベントには作成済フロー、編集済フロー、削除済フロー、編集済アクセス許可、開始済有料トライアル、更新済有料トライアルが含まれます。 ポータルを使用して、検索対象および時間枠を選択できます。

結果のクエリ結果からアイテムにドリルダウンすると、次の種類の情報を含む詳細ページが表示されます。

実際の良い情報は、詳細情報をクリックして実際の詳細ページにドリルダウンすることで取得できます。

監査データは 90 日間保持されます。 データの CDSV エクスポートを実行して、さらに分析するためにデータを Excel または PowerBI に移動できます。 監査情報の使用に関する完全なチュートリアルは、こちら https://flow.microsoft.com/blog/security-and-compliance-center/ を参照してください