Jaa


GDPR に基づく要求に対して Azure Portal で簡単に対応できるように

執筆者: Tom Keane (Head of Global Infrastructure, Microsoft Azure)

このポストは、2018 年 4 月 16 日に投稿された Streamlining GDPR requests with the Azure portal の翻訳です。

 

今回の記事では、今後 Azure ポータルでの提供を予定している、データ主体の要求 (DSR) に対応するための機能についてお伝えします。データ主体の要求に対応することは、EU データ保護規則 (GDPR) に準拠するうえで中心的な課題となります。そのためのシンプルかつ強力なツールをテナント管理者向けに提供します。マイクロソフトは、2018 年 5 月 25 日の GDPR 施行に先行してこの DSR 対応機能を完全にサポートし、マイクロソフトのクラウド サービス全体で GDPR に準拠します。

GDPR の施行により、EU のプライバシー関連法はこの 20 年間で最も大きな転換点を迎えます。プライバシーの権利に関して新しい国際標準が定められ、個人データの取り扱いと使用について各種要件が適用されます。GDPR の基本理念は、企業 (データ管理者) により収集される個人データについて一連の権利を個人 (データ主体) に付与することです。

GDPR では、EU 圏居住者の個人データを収集、処理、分析する企業には、GDPR の技術的要件や組織的要件に準拠していることを保証しているデータ処理者を使用することが求められます。また、個人 (データ主体) から自己の個人データのコピーの送付、修正や削除、取り扱いの制限、他の管理者に移転する場合の電子的形式でのエクスポートを要求された場合に、適切に対応することも求められます。

Azure ポータルに新たに追加される DSR 対応機能は、このようなデータ主体の要求への対応をサポートします。この機能を使用すると、データ主体に関連付けられている情報を特定できるため、システムで生成されたログ (特定のサービス用にマイクロソフトが生成したデータ) に対して DSR 対応を行えるようになります。企業のお客様にとってのメリットは、これまで不可能だったシステム生成ログ データへのアクセスやその削除が可能なことです。マイクロソフトは、プライバシー保護への取り組みの一環としてこの機能を提供します。

また Azure では、各種サービスの従来のアプリケーション プログラミング インターフェイス (API) やユーザー インターフェイス (UI) からも、顧客データ (お客様やお客様のユーザーがアップロード、作成したデータ) に対して DSR 対応を行えるようになっています。Azure Portal と Azure の従来の機能を組み合わせることで、マイクロソフトのクラウド内に存在する個人データについての以下の要求に適切に対処できます。

·         アクセス: データ主体に個人データのコピーを提供

·         修正: 必要に応じて、顧客データに対して変更やその他の要求された操作を実施

·         削除: マイクロソフトのクラウド内に存在する個人データを完全に削除

·         エクスポート: 個人データのコピーを電子的形式 (機械可読な形式) でデータ主体に提供し、要求に応じてこの電子ファイルを他のデータ管理者に伝送

NewUserPrivacyPageImage

Azure Portal の新しい DSR 対応機能

Azure Active Directory (AAD) 環境内の個人データを含む、顧客や従業員のユーザー プロファイルおよび利用情報を、Azure ポータルから特定して参照できるようになります。AAD とは、マイクロソフトが提供するマルチテナントに対応したクラウド ベースのディレクトリおよび ID 管理サービスです。Azure Portal からデータ主体に関連する情報を処理できるため、DSR に容易に対応できます。

Office 365 セキュリティ/コンプライアンス センターでも、新たにパブリック プレビューの [Data Privacy] タブが追加され、DSR 対応がサポートされるようになりました。Office 365 の新しい DSR 対応エクスペリエンスでは、データ主体の要求についてケースを作成し、Exchange、SharePoint、OneDrive、グループ、Microsoft Teams などの Office 365 のサービス全体の関連データを検索、精査できます。これにより、請求者に送信する前に該当データを詳しく確認することができます。詳細については、こちらの Office 365 ブログ (英語) をお読みください。

マイクロソフトは、グローバル クラウド サービス プロバイダーとして初めて公式に GDPR への準拠を発表し、書面による契約上のコミットメントを提供しています。プライバシーは基本的権利としてこれまで以上に重視されており、GDPR の施行は個人のプライバシー権をさらに明確化、確保するための重要な一歩です。マイクロソフトはお客様がそうした新しい規制に準拠できるよう支援するために、今後も新しい機能を提供し、その中でよりいっそう個人のプライバシー保護を強化してまいります。

GDPR では、クラウド サービス プロバイダーであるマイクロソフトと、クラウド テナントであるお客様の双方が、その要件を満たす必要があります。このため、GDPR 準拠への取り組みはお客様と共に進めていきたいと考えております。Azure Portal の DSR 対応機能の詳細については、こちらのページ (英語) にドキュメントをご用意しています。今週サンフランシスコで開催される RSA Conference に参加されるお客様は、ぜひマイクロソフトのブース (番号 3501) の GDPR コーナーにお立ち寄りください。その他の関連情報は Azure の GDPR のページをご覧ください。Service Trust Portal (英語) では、マイクロソフトが提供する GDPR 対応機能について説明しています。