GDPR に関する Microsoft サポートおよびプロフェッショナル サービス アカウンタビリティ対応準備チェックリスト
1. はじめに
このアビリティの準備チェックリストは、Microsoft Professional Services とサポート サービスを使用するときに GDPR をサポートするために必要な情報にアクセスするための便利な方法を提供します。 チェックリストは、次から取得した個人データ プロセッサのプライバシーとセキュリティ制御のセットのタイトルと参照番号 (各チェックリスト記事のかっこ内) を使用して編成されています。
- プライバシー管理要件に関連する ISO/IEC 27701。
- セキュリティ技術の要件に関連する ISO/IEC CD 27001。
このコントロール構造は、GDPR をサポートするために Microsoft Professional Services が実装する内部コントロールのプレゼンテーションを編成するためにも使用されます (Service Trust Portal でダウンロードできます)。
2. 収集と処理の条件
| 分類 | お客様の考慮事項 | 参照できる Microsoft ドキュメント | GDPR 条項への取り組み |
|---|---|---|---|
| 目的を特定して文書化する (7.2.1) | お客様は、個人データを取り扱う目的を文書化する必要があります。 | お客様のために Microsoft が実施する処理とその処理の目的に関する説明。この説明は、アカウンタビリティ ドキュメントに含めることができます。 - Microsoft 製品とサービスのデータ保護補遺 [1] |
(5)(1)(b)、(32)(4) |
| 法的基準の識別 (7.2.2) | お客様は、最初に同意を得る必要があるかどうかなど、処理の法的基準に関連するすべての要件を理解する必要があります。 | アカウンタビリティ ドキュメントに記載される Microsoft サービスによる個人データの取り扱いに関する説明。 - Microsoft Professional Services for Professional Services の重要な情報。データ保護の影響評価 [9] |
(5)(1)(a)、(6)(1)(a)、(6)(1)(b)、(6)(1)(c)、(6)(1)(d)、(6)(1)(e)、(6)(1)(f)、(6)(3)、(6)4)(a)、(6)(4)(b)、(6)(4)(c)、(6)(4)(d)、(6)(4)(e)、(8)(3)、(9)(1)、(9)(2)(b)、(9)(2)(c)、(9)(2)(d)、(9)(2)(e)、(9)(2)(f)、(9)(2)(g)、(9)(2)(h)、(9)(2)(i)、(9)(2)(j)、(9)(3)、(9)(4)、(10)、(17)(3)(a)、(17)(3)(b)、(17)(3)(c)、(17)(3)(d)、(17)(3)(e)、(18)(2)、(22)(2)(a)、(22)(2)(b)、(22)(2)(c)、(22)(4) |
| いつ同意を取るべきかの判断 (7.2.3) | お客様は、個人データを処理する前に個人から同意を得るための法的または規制上の要件 (必要な場合、処理の種類が要件から除外される場合など) を理解する必要があります。これには、同意の収集方法が含まれます。 | Microsoft Professional Services は、ユーザーの同意を得るための直接サポートを提供していません。 | (6)(1)(a)、(8)(1)、(8)(2) |
| 同意の取得と記録 (7.2.4) | 必要と判断された場合、お客様は適切に同意を得る必要があります。 また、お客様は、同意要求の提示と収集方法に関する要件も認識する必要があります。 | Microsoft Professional Services は、ユーザーの同意を得るための直接サポートを提供していません。 | (7)(1)、(7)(2)、(9)(2)(a) |
| プライバシー影響評価 (7.2.5) | お客様はプライバシー影響評価を実施するための要件 (どのような場合に実施すべきか、実施する必要があるデータのカテゴリ、評価を実施するタイミング) を理解しておく必要があります。 | Microsoft プロフェッショナル サービスでは、DPIA を実施するタイミングを判断する時期と方法に関するガイダンス、および DPO の関与を含む Microsoft で実施される DPIA プログラムの概要を提供します。Service Trust Portal の「データ保護影響評価 (DPIA)」ページをご覧ください。 DPIA のサポートについては、次をご覧ください。 |
条項 (35) |
| PII プロセッサに関する契約 (7.2.6) | お客様は、プロセッサに関する契約に、個人データの取り扱いと保護に関連する法律や規制義務に準拠するための要件を含める必要があります。 | GDPR に基づいてお客様が義務を遂行するうえで弊社が支援することを規定する Microsoft の契約 (データ主体の権利のサポートを含む)。 - Microsoft 製品とサービスのデータ保護補遺 [1] |
(5)(2)、(28)(3)(e)、(28)(9) |
| PII の処理に関連する記録 (7.2.7) | お客様は、個人データの処理に関するすべての必要および必須の記録を保持する必要があります (たとえば、目的、セキュリティ対策など)。 これらの記録の一部が副次的な処理者によって提供される必要がある場合は、お客様はそのような記録を取得できるようにする必要があります。 | Microsoft Professional Services では、GDPR に基づいて、コンプライアンスを示し、責任を果たすためのサポートに必要な記録を維持します。 Microsoft Professional Services のセキュリティに関するドキュメント [2] を参照 | (5)(2)、(24)(1)、(30)(1)(a)、(30)(1)(b)、(30)(1)(c)、(30)(1)(d)、(30)(1)(g)、(30)(1)(f)、(30)(3)、(30)(4)、(30)(5) |
3. データ主体の権利
| 分類 | お客様の考慮事項 | 参照できる Microsoft ドキュメント | GDPR 条項への取り組み |
|---|---|---|---|
| PII プリンシパルの権利を認め行使できるようにする (7.3.1) | お客様は、個人データの処理に関連する個人の権利に関する要件を理解する必要があります。 これらの権利には、アクセス、訂正、消去などが含まれます。 お客様がサードパーティ製システムを使用している場合は、システムのどの部分 (存在する場合) が個人の権利を行使できるツール (たとえば、データへのアクセスなど) を提供するかを判断する必要があります。 システムがそのような機能を提供する場合、お客様は必要に応じてそれらを利用する必要があります。 | Microsoft の提供する機能は、お客様がデータ主体の権利をサポートするのに役立ちます。 - GDPR および CCPA のための Microsoft プロフェッショナル サービス データ主体要求 [7] - Microsoft プロフェッショナル サービス ISO/IEC 27001:2013 ISMS の適用性に関するステートメント [11] |
(12)(2) |
| PII プリンシパル (データ主体) に関する情報の判別 (7.3.2) | お客様は、個人に提供される個人データの処理に関する情報の種類に関する要件を理解する必要があります。 これには、次のようなものが含まれる場合があります。 • 管理者または担当者に関する契約の詳細 • 処理に関する情報 (目的、国外への転送と関連する保護措置、保存期間など) • プリンシパルが個人データにアクセスしたり、修正したりする方法、消去または取り扱いの制限の要求、個人データのコピーの受け取り、および個人データの移植性に関する情報 • 個人データを取得した方法と出所(プリンシパルから直接取得したわけではない場合) • 苦情を申し立てる権利や、どこに申し立てればよいかに関する情報 • 個人データの修正に関する情報 • データ処理においてデータ主体の ID 情報を必要としなくなった場合、その組織がデータ主体 (PII プリンシパル) を特定する立場にはいなくなったことを知らせる通知 • 個人データの転送や開示 • 個人データの自動処理だけに基づいた自動的意思決定の有無 • 情報が更新されデータ主体に提供される頻度に関する情報 (たとえば、「ジャスト イン タイム」の通知、組織が定義した頻度、など。) お客様がサードパーティ製システムまたはプロセッサを使用している場合、お客様が提供しなければならない可能性のある情報 (存在する場合) をお客様で決定し、必要な情報をサードパーティから取得できるようにしておく必要があります。 |
データ主体に提供するデータに含めることができる Microsoft サービスに関する情報。 - GDPR および CCPA のための Microsoft プロフェッショナル サービス データ主体要求 [7] - 顧客データ保護影響評価に関する Microsoft プロフェッショナル サービスからの重要な情報 [9] |
(11)(2)、(13)(1)(a)、(13)(1)(b)、(13)(1)(c)、(13)(1)(d)、(13)(1)(e)、(13)(1)(f)、(13)(2)(c)、(13)(2)(d)、(13)(2)(e)、(13)(3)、(13)(4)、(14)(1)(a)、(14)(1)(b)、(14)(1)(c)、(14)(1)(d)、(14)(1)(e)、(14)(1)(f)、(14)(2)(b)、(14)(2)(e)、(14)(2)(f)、(14)(3)(a)、(14)(3)(b)、(14)(3)(c)、(14)(4)、(14)(5)(a)、(14)(5)(b)、(14)(5)(c)、(14)(5)(d)、(15)(1)(a)、(15)(1)(b)、(15)(1)(c)、(15)(1)(d)、(15)(1)(e)、(15)(1)(f)、(15)(1)(g)、(15)(1)(h)、(15)(2)、(18)(3)、(21)(4) |
| PII プリンシパルへの情報の提供 (7.3. 3) | お客様は、個人データの処理に関連して、必要な情報を個人にどのように、いつ、どのような形式で提供するかについてのあらゆる要件を遵守する必要があります。 サードパーティが必要な情報を提供する可能性がある場合、お客様は、その情報が GDPR によって要求される制限範囲内にあることを確認する必要があります。 | データ主体に提供するデータに含めることができる Microsoft プロフェッショナル サービスに関するテンプレート情報。 - GDPR および CCPA のための Microsoft プロフェッショナル サービス データ主体要求 [7] - 顧客データ保護影響評価に関する Microsoft プロフェッショナル サービスからの重要な情報 [9] |
(11)(2)、(12)(1)、(12)(7)、(13)(3)、(21)(4) |
| 同意を修正または撤回するメカニズムの提供 (7.3.4) | お客様は、個人データにアクセス、修正、消去する権利についてユーザーに通知し、そのメカニズムを提供するための要件を理解する必要があります。 サード パーティのシステムを使用し、その機能の一部としてこのメカニズムを提供する場合は、必要に応じてその機能を利用する必要があります。 | 同意を求める際にデータ主体に提供する情報を定義する目的で使用できる Microsoft サービスの機能に関する情報。 - GDPR および CCPA のための Microsoft プロフェッショナル サービス データ主体要求 [7] |
(7)(3)、(13)(2)(c)、(14)(2)(d)、(18)(1)(a)、(18)(1)(b)、(18)(1)(c)、(18)(1)(d) |
| 取り扱いに異議を唱えるメカニズムの提供 (7.3.5) | お客様は、データ主体の権利に関する要件を理解する必要があります。 個人が処理に異議を唱える権利がある場合、顧客はそれらを通知し、個人が異議を登録する方法を持つ必要があります。 | データ主体に提供するデータに含めることができる、取り扱いへの異議に関連した Microsoft サービスに関する情報。 - GDPR および CCPA のための Microsoft プロフェッショナル サービス データ主体要求 [7] |
(13)(2)(b)、(14)(2)(c)、(21)(1)、(21)(2)、(21)(3)、(21)(5)、(21)(6) |
| PII プリンシパルの権利の行使の共有 (7.3.6) | お客様は、個別のユーザーが権利を行使してデータ修正が行われた事例 (消去または修正を要求しているユーザーなど) について、個人データが共有されているサードパーティへ通知する要件を理解する必要があります。 | サードパーティと共有した個人データを見つけ出すことを可能にする Microsoft サービスの機能に関する情報。 - GDPR および CCPA のための Microsoft プロフェッショナル サービス データ主体要求 [7] |
(19) |
| 修正または消去 (7.3.7) | お客様は、個人データにアクセス、修正、消去する権利についてユーザーに通知し、そのメカニズムを提供するための要件を理解する必要があります。 サード パーティのシステムを使用し、その機能の一部としてこのメカニズムを提供する場合は、必要に応じてその機能を利用する必要があります。 | データ主体に提供するデータに含めることができる、個人データにアクセスし、修正または消去する機能に関連する Microsoft サービス についての情報。 - GDPR および CCPA のための Microsoft プロフェッショナル サービス データ主体要求 [7] |
|
| 処理した PII のコピーの提供 (7.3.8) | お客様は、処理中の個人データのコピーを個別のユーザーに提供することに関する要件を理解する必要があります。 これには、コピーの形式 (つまり、コンピューターが読み取り可能) に関する要件、コピーの転送などに関する要件が含まれる場合があります。お客様がコピーを提供する機能を提供するサード パーティのシステムを使用する場合は、必要に応じてこの機能を利用する必要があります。 | データ主体に提供するデータに含めることができる個人データのコピーを取得することを可能にする Microsoft サービスの機能に関する情報。-Microsoft プロフェッショナル サービス GDPR および CCPA のためのデータ主体要求 [7] | (15)(3)、(15)(4)、(20)(1)、(20)(2)、(20)(3)、(20)(4) |
| 要求管理 (7.3.9) | お客様は、個人データの処理に関連する個人からの正当な要求を受け入れて対応するための要件を理解する必要があります。 お客様がサード パーティのシステムを使用する場合は、そのシステムがそのような要求処理の機能を提供するかどうかを理解する必要があります。 その場合は、必要に応じて、このようなメカニズムを利用して要求を処理する必要があります。 | データ主体の要求を管理する際にデータ主体に提供する情報を定義する目的で使用できる Microsoft サービスの機能に関する情報。- GDPR および CCPA のための Microsoft プロフェッショナル サービス データ主体要求 [7] | (12)(3)、(12)(4)、(12)(5)、(12)(6)、(15)(1)(a)、(15)(1)(b)、(15)(1)(c)、(15)(1)(d)、(15)(1)(e)、(15)(1)(f)、(15)(1)(g)、(15)(1)(h) |
| 自動化された意思決定 (7.3.10) | お客様は、自動化された個人データ処理に関する要件と、そのような自動化によって決定が行われる場所を理解する必要があります。 これらには、処理に関する情報を個人に提供すること、そのような処理に反対すること、または人間の介入を求めることも含まれます。 そのような機能がサードパーティ システムによって提供される場合、お客様はそのサードパーティが必要な情報またはサポートを提供することを確認する必要があります。 | アカウンタビリティ ドキュメントで使用できる、自動化された意思決定をサポートする Microsoft サービスの機能に関する情報、およびそれらの機能に関してデータ主体に提供するテンプレート情報。 - 顧客データ保護影響評価に関する Microsoft プロフェッショナル サービスからの重要な情報 [9] |
(13)(2)(f)、(14)(2)(g)、(22)(1)、(22)(3) |
4. 意図的な既定のプライバシー
| 分類 | お客様の考慮事項 | 参照できる Microsoft ドキュメント | GDPR 条項への取り組み |
|---|---|---|---|
| 収集の制限 (7.4.1) | お客様は、個人データの収集の制限に関する要件を理解する必要があります (収集を特定の目的に合わせて制限される必要がある、など)。 | Microsoft サービスによって収集されたデータの説明。 - Microsoft 製品とサービスのデータ保護補遺 [1] - 顧客データ保護影響評価に関する Microsoft プロフェッショナル サービスからの重要な情報 [9] |
(5)(1)(b)、(5)(1)(c) |
| 処理の制限 (7.4.2) | お客様は、個人データの処理を制限し、特定された目的に適したものに制限する責任を負います。 | Microsoft サービスによって収集されたデータの説明。 - Microsoft 製品とサービスのデータ保護補遺 [1] - 顧客データ保護影響評価に関する Microsoft プロフェッショナル サービスからの重要な情報 [9] |
(25)(2) |
| PII 最小化と非特定化の目標に関する定義と文書化 (7.4.3) | お客様は、個人データの非特定化に関する要件を理解する必要があります。これには、使用すべき時期、非特定化する範囲、および使用できない事例が含まれる場合があります。 | お客様は、Microsoft にデータを転送する前に識別を解除する責任を負います。 Microsoft では、個人データのプライバシー保護を強化するため、該当する場合に、非特定化と仮名化を内部で採用しています。 | (5)(1)(c) |
| 識別レベルへの準拠 (7.4.4) | お客様は、社内で取り決められた非特定化の目標と手段を活用し、準拠する必要があります。 | お客様は、Microsoft にデータを転送する前に識別を解除する責任を負います。 Microsoft では、個人データのプライバシー保護を強化するため、該当する場合に、非特定化と仮名化を内部で採用しています。 | (5)(1)(c) |
| PII 非特定化と削除 (7.4.5) | お客様は、特定された目的での使用を過ぎた個人データの保持に関する要件を理解する必要があります。 システムによって提供されるツールでは、必要に応じてそれらのツールを使用して消去または削除する必要があります。 | お客様のデータ保持ポリシーをサポートするために Microsoft サービスによって提供される機能。 - GDPR および CCPA のための Microsoft プロフェッショナル サービス データ主体要求 [7] |
(5)(1)(c)、(5)(1)(e)、(6)(4)(e)、(11)(1) (32)(1)(a) |
| 一時ファイル (7.4.6) | お客様は、個人データの取り扱いに関するポリシー違反を引き起こす恐れのある、Microsoft に送信される可能性がある一時ファイルについて認識しておく必要があります (たとえば、個人データを必要な期間または許可されている期間よりも長く一時ファイルに保持してしまうなど)。 | 個人データを識別して一時ファイルに関するポリシーをサポートするためにサービスによって提供される機能の説明。 - GDPR および CCPA のための Microsoft プロフェッショナル サービス データ主体要求 [7] |
(5)(1)(c) |
| 保持期間 (7.4.7) | お客様は、特定の目的を考慮に入れつつ、個人データの保持期間を決定する必要があります。 | データ主体に提供するドキュメントに含めることができる Microsoft サービスによる個人データの保持に関する情報。 - Microsoft プロフェッショナル サービス データ保護に関する補遺 [1] |
(13)(2)(a)、(14)(2)(a) |
| 廃棄 (7.4.8) | お客様は、個人データを削除するため、システムによって提供される削除または廃棄メカニズムがあれば、それらを利用する必要があります。 | お客様のデータ削除ポリシーをサポートする Microsoft サービスで提供される機能。 - GDPR および CCPA のための Microsoft プロフェッショナル サービス データ主体要求 [7] |
(5)(1)(f) |
| 収集手順 (7.4.9) | お客様は、個人データの正確さに関する要件を認識している必要があります (収集に関する正確さ、データを最新の状態に保つ精度など)。また、そのようなシステムによって提供されるメカニズムを使用する必要があります。 | Microsoft サービスが個人データを正確に扱う方法、およびデータの正確さを規定するお客様のポリシーをサポートするために提供する機能。 - GDPR および CCPA のための Microsoft プロフェッショナル サービス データ主体要求 [7] |
(5)(1)(d) |
| 転送コントロール (7.4.10) | お客様は、転送メカニズム、転送記録に誰がアクセスできるかなど、個人データの転送の保護に関する要件を理解する必要があります。 | Microsoft サービスによって転送される個人データの種類、データが転送される場所、および転送に関する法的保護についての説明。 - 顧客データ保護影響評価に関する Microsoft プロフェッショナル サービスからの重要な情報 [9] |
(15)(2)、(30)(1)(e)、(5)(1)(f) |
| PII 移転の基礎を特定する (7.5.1) | お客様は、個人情報 (PII) の地理的に異なる場所への転送、およびそのような要件を満たすための手段の文書化に関する要件を認識している必要があります。 | Microsoft サービスによって転送される個人データの種類、データが転送される場所、および転送に関する法的保護についての説明。 - 顧客データ保護影響評価に関する Microsoft プロフェッショナル サービスからの重要な情報 [9] |
条項 (44)、(45)、(46)、(47)、(48)、(49) |
| PII を転送する可能性がある国と組織 (7.5.2) | お客様は、個人、個人データが転送される国を理解し、提供できる必要があります。 サード パーティ/プロセッサがこの転送を実行する場合、お客様はプロセッサからこの情報を取得する必要があります。 | Microsoft サービスによって転送される個人データの種類、データが転送される場所、および転送に関する法的保護についての説明。 - 顧客データ保護影響評価に関する Microsoft プロフェッショナル サービスからの重要な情報 [9] |
(30)(1)(e) |
| PII (個人データ) の転送の記録 (7.5.3) | お客様は、個人データの転送に関連するすべての必要な記録と必要な記録を保持する必要があります。 サード パーティ/プロセッサが転送を実行する場合、顧客は適切なレコードを保持し、必要に応じて取得する必要があります。 | Microsoft サービスによって転送される個人データの種類、データが転送される場所、および転送に関する法的保護についての説明。 - 顧客データ保護影響評価に関する Microsoft プロフェッショナル サービスからの重要な情報 [9] |
(30)(1)(e) |
| サードパーティへの PII 情報開示に関する記録 (7.5.4) | お客様は、個人データが開示されたユーザーの記録に関する要件を理解する必要があります。 これには、法執行機関への開示などが含まれる場合があります。第三者または処理者がデータを開示する場合、お客様は適切なレコードを保持し、必要に応じて取得する必要があります。 | 情報開示についての入手可能な記録を含め、個人データの開示情報の受信者のカテゴリに関して提供されるドキュメント。 - 誰がどのような条件でデータにアクセスできるか [6] |
(30)(1)(d) |
| 共同管理者 (7.5.5) | お客様は、他の組織と共同管理者になるかどうかを決定し、責任について適切に文書化し、責任を割り当てる必要があります。 | Microsoft は、サポートおよびプロフェッショナル サービス データの一部として提供される個人情報の共同管理者ではありません。 | (26)(1)、(26)(2)、(26)(3) |
5. データの保護とセキュリティ
| 分類 | お客様の考慮事項 | 参照できる Microsoft ドキュメント | GDPR 条項への取り組み |
|---|---|---|---|
| 組織とそのコンテキストについての理解 (5.2.1) | お客様は、個人データの取り扱いに関する該当する要件 (規制など) を識別するために、個人データの取り扱いにおける役割 (管理者、処理者、共同管理者など) を決定する必要があります。 | 個人データを取り扱う際に、Microsoft がどのサービスを管理者または処理者が果たすサービスとしてみなすかについての説明。 - Microsoft 製品とサービスのデータ保護補遺 [1] |
(24)(3)、(28)(10)、(28)(5)、(28)(6)、(32)(3)、(40)(1)、(40)(2)(a)、(40)(2)(b)、(40)(2)(c)、(40)(2)(d)、(40)(2)(e)、(40)(2)(f)、(40)(2)(g)、(40)(2)(h)、(40)(2)(i)、(40)(2)(j)、(40)(2)(k)、(40)(3)、(40)(4)、(40)(5)、(40)(6)、(40)(7)、(40)(8)、(40)(9)、(40)(10)、(40)(11)、(41)(1)、(41)(2)(a)、(41)(2)(b)、(41)(2)(c)、(41)(2)(d)、(41)(3)、(41)(4)、(41)(5)、(41)(6)、(42)(1)、(42)(2)、(42)(3)、(42)(4)、(42)(5)、(42)(6)、(42)(7)、(42)(8) |
| 関係者が必要とするものと期待するものについての理解 (5.2.2) | お客様は、個人データの取り扱いにおいて役割または関心のある関係者 (規制機関、監査担当者、データ主体、個人データ契約処理者など) を識別する必要があります。また、必要に応じてそのような関係者を従事させるための要件について認識する必要があります。 | 個人データの取り扱いに関係するリスクを考慮しつつ、すべての利害関係者について Microsoft がどのような見解を持っているかについての説明。 - 顧客データ保護影響評価に関する Microsoft プロフェッショナル サービスからの重要な情報 [9] |
(35)(9)、(36)(1)、(36)(3)(a)、(36)(3)(b)、(36)(3)(c)、(36)(3)(d)、(36)(3)(e)、(36)(3)(f)、(36)(5) |
| 情報セキュリティ管理システムの範囲に関する決定 (5.2.3、5.2.4) | お客様が持つ全体のセキュリティまたはプライバシー プログラムの一環として、個人データの取り扱いとそれに関連する要件を含める必要があります。 | Microsoft サービスで、情報セキュリティ管理およびプライバシー プログラムに個人データの取り扱いがどのように組み込まれているについての説明。 - Microsoft プロフェッショナル サービス ISO/IEC 27001:2013 ISMS の適用性に関するステートメント [11] - ISO 27001 監査レポート [10] |
(32)(2) |
| 計画 (5.3) | お客様は、実行するリスク評価の一部として個人データの取り扱いについて考慮し、制御する個人データに関連するリスクを軽減するために必要とする管理を適用しなければなりません。 | Microsoft サービスが個人データの取り扱いに固有のリスクを、全体のセキュリティおよびプライバシー プログラムの一部としてどのように見なしているかについての説明。 - Microsoft プロフェッショナル サービス ISO/IEC 27001:2013 ISMS の適用性に関するステートメント [11] |
(32)(1)(b)、(32)(2) |
| 情報セキュリティ ポリシー (6.2) | お客様は、個人データの保護が含まれるように既存の情報セキュリティ ポリシーを強化する必要があります。これには、該当する法律に準拠するために必要なポリシーも含まれます。 | 個人情報を保護するための情報セキュリティや特定の方策についての Microsoft のポリシー。 - Microsoft プロフェッショナル サービス ISO/IEC 27001:2013 ISMS の適用性に関するステートメント [11] - ISO 27001 監査レポート [10] |
24(2) |
| 情報セキュリティの組織、お客様の考慮事項 (6.3) | お客様は、セキュリティと個人データの保護に関する責任を組織内で定義する必要があります。 これには、DPO など、プライバシーの問題を監督する特定の役割の設定が含まれる場合があります。 これらの役割をサポートするために、適切なトレーニングや管理サポートを提供する必要があります。 | Microsoft では、データ保護責任者に関する情報、その責任の性質、レポート構造、および連絡先情報を公開しました。 - Microsoft DPO 情報 [13] |
(37)(1)(a)、(37)(1)(b)、(37)(1)(c)、(37)(2)、(37)(3)、(37)(4)、(37)(5)、(37)(6)、(37)(7)、(38)(1)、(38)(2)、(38)(3)、(38)(4)、(38)(5)、(38)(6)、(39)(1)(a)、(39)(1)(b)、(39)(1)(c)、(39)(1)(d)、(39)(1)(e)、(39)(2) |
| 人事管理セキュリティ (6.4) | お客様は、個人データの保護に関連するトレーニングを提供する責任を決定し、割り当てる必要があります。 | Microsoft のデータ保護責任者の役割、職務の性質、レポート構造、連絡先情報の概要。 - Microsoft プロフェッショナル サービス ISO/IEC 27001:2013 ISMS の適用性に関するステートメント [11] - トレーニングと認識プログラムの説明 [3] |
(39)(1)(b) |
| 情報の分類 (6.5.1) | お客様は、個人データをデータ分類方式の一部として明確に考慮する必要があります。 | Microsoft で個人データをデータ分類で考慮する方法。情報のタグ付けと追跡。 - 顧客データ保護影響評価に関する Microsoft プロフェッショナル サービスからの重要な情報 [9] |
(39)(1)(b) |
| リムーバブル メディアの管理 (6.5.2) | お客様は、リムーバブル メディアの使用に関する内部ポリシーを決定する必要があります。これは、個人データの保護 (暗号化デバイスなど) に関連しています。 | Microsoft サービスがリムーバブル メディア上で個人情報のセキュリティを保護する方法。 - Microsoft プロフェッショナル サービス ISO/IEC 27001:2013 ISMS の適用性に関するステートメント [11] - Microsoft プロフェッショナル サービス コントロール セット [4] |
(32)(1)(a)、(5)(1)(f) |
| 物理メディア転送 (6.5.3) | お客様は、物理メディアを移動する際に個人データを保護するための内部ポリシーを決定する必要があります (暗号化など)。 | Microsoft サービスで、物理メディアの移動中に個人データを保護する方法。 - Microsoft プロフェッショナル サービス ISO/IEC 27001:2013 ISMS の適用性に関するステートメント [11] - Microsoft プロフェッショナル サービス コントロール セット [4] |
(32)(1)(a)、(5)(1)(f) |
| ユーザー アクセスの管理 (6.6.1) | お客様は、使用するサービス内でアクセスを制御する責任について認識し、利用可能なツールを使用してそれらの責任を適切に管理する必要があります。 | アクセス制御を実施するための Microsoft サービスによって提供されるツール。 - Microsoft プロフェッショナル サービスのセキュリティに関するドキュメント [2] |
(5)(1)(f) |
| ユーザー登録と登録解除 (6.6.2) | お客様は、利用可能なツールを使用して、利用するサービス内でのユーザー登録および登録解除を管理する必要があります。 | アクセス制御を実施するための Microsoft サービスによって提供されるツール。 - Microsoft プロフェッショナル サービスのセキュリティに関するドキュメント [2] |
(5)(1)(f) |
| ユーザー アクセスのプロビジョニング (6.6.3) | お客様は、利用可能なツールを使用して、利用するサービス内での特に個人データへの許可されたアクセスに関するユーザー プロファイルを管理する必要があります。 | Microsoft サービスで個人データへの正式なアクセス制御をサポートする方法。これには、ユーザー ID、役割、ユーザーの登録と登録解除などが含まれます。 - Microsoft プロフェッショナル サービスのセキュリティに関するドキュメント [2] |
(5)(1)(f) |
| 特権アクセスの管理 (6.6.4) | お客様は、利用可能なツールを使用して、利用するサービス内での (特に個人データへの) アクセスの追跡を容易にするユーザー ID を管理する必要があります。 | Microsoft サービスで個人データへの正式なアクセス制御をサポートする方法。これには、ユーザー ID、役割、ユーザーの登録と登録解除などが含まれます。 - Microsoft プロフェッショナル サービスのセキュリティに関するドキュメント [2] |
(5)(1)(f) |
| 安全なログオン手順 (6.6.5) | お客様は、サービス内で提供されるメカニズムを使用して、必要に応じてユーザーが安全なログオン機能を利用できるようにする必要があります。 | Microsoft サービスで個人データに関連する内部アクセス制御ポリシーをサポートする方法。 - 誰がどのような条件でデータにアクセスできるか [6] |
(5)(1)(f) |
| 暗号化 (6.7) | お客様は、暗号化する必要があるデータと、使用しているサービスがこの機能を提供しているかどうかを判断する必要があります。 お客様は、必要に応じて、利用可能なツールを使用して暗号化を利用する必要があります。 | 個人データの取り扱いに関するリスクを低減するために Microsoft サービスが暗号化および仮名化をサポートする方法。 - Microsoft プロフェッショナル サービスのセキュリティに関するドキュメント [2] |
(32)(1)(a) |
| 備品の安全な廃棄または再利用 (6.8.1) | お客様がクラウド コンピューティング サービス (PaaS、SaaS、IaaS) 使用している場合、クラウド プロバイダーが、お客様が利用していた記憶領域を別の顧客に割り当てる前に、その記憶領域から個人データをどのように削除するかについて理解しておく必要があります。 | プロフェッショナル サービスにおいて Microsoft Azure クラウド コンピューティング サービスを利用する際、Microsoft プロフェッショナル サービスで、記憶装置が移動または再利用される前に、その装置から確実に個人データが消去されるようにする方法。 - Microsoft プロフェッショナル サービスのセキュリティに関するドキュメント [2] |
(5)(1)(f) |
| デスクの清掃および画面のクリアに関するポリシー (6.8.2) | お客様は、個人データが記載された印刷された資料に関するリスクについて考慮する必要があります。また、潜在的なリスクを考慮してそのような資料の作成を制限する必要があります。 使用中のシステムがこれらを制限する機能を備えている場合 (機密性の高いデータの印刷またはコピー/貼り付けを行えないようにする設定など)、お客様はそれらの機能を利用する必要性について考慮する必要があります。 | ハードコピーを管理するために Microsoft が実装している機能。 - Microsoft ではこれらの管理を内部で維持しています。Microsoft プロフェッショナル サービス ISO/IEC 27001:2013 ISMS の適用性に関するステートメント [11] を参照 - Microsoft プロフェッショナル サービス GDPR コントロール セット [4] |
(5)(1)(f) |
| 開発、テスト、運用環境の分離 (6.9.1) | お客様は、組織内の開発環境およびテスト環境での個人データの使用について関連事項を考慮する必要があります。 | Microsoft が個人データを開発/テスト環境で確実に保護する方法。 - Microsoft プロフェッショナル サービス ISO/IEC 27001:2013 ISMS の適用性に関するステートメント [11] - Microsoft プロフェッショナル サービス コントロール セット [4] |
(5)(1)(f) |
| 情報のバックアップ (6.9.2) | お客様は、必要に応じてデータの冗長性を確保してからテストを実行するために、システムに用意されている機能が使用されていることを確認する必要があります。 | Microsoft が個人データを含んでいる可能性のあるデータの可用性を確保する方法、復元データの正確性の保証方法、データのバックアップと復元を実行するために Microsoft サービスが提供するツールと手段。 - Microsoft Enterprise ビジネス継続性管理に関するドキュメント [5] |
(32)(1)(c)、(5)(1)(f) |
| イベント ログ収集 (6.9.3) | お客様は、システムによって提供されるログ機能について理解し、そのような機能を利用して、必要だと思われる個人データに関連する処理が確実にログに記録されることを確認する必要があります。 | お客様のために Microsoft サービスが記録するデータ (これにはユーザーの操作、例外、障害、情報セキュリティ イベントが含まれます)。レコード保持の一環としてそれらのログにアクセスする方法。 - Microsoft プロフェッショナル サービスのセキュリティに関するドキュメント [2] - Microsoft プロフェッショナル サービス コントロール セット [4] |
(5)(1)(f) |
| ログ情報の保護 (6.9.4) | お客様は、個人データを含む可能性があるログ情報、または個人データ処理に関連するレコードを含む可能性があるログ情報を保護するための要件を検討する必要があります。 使用中のシステムがログを保護する機能を提供する場合、お客様は必要に応じてこれらの機能を利用する必要があります。 | Microsoft が個人データを含むログを保護する方法。 - Microsoft プロフェッショナル サービスのセキュリティに関するドキュメント [2] - Microsoft プロフェッショナル サービス コントロール セット [4] |
(5)(1)(f) |
| 情報転送のポリシーおよび手順 (6.10.) | お客様は、物理メディア (サーバーや施設間でハード ドライブを移動するなど) で個人データを転送する場合の手順を用意する必要があります。 これには、ログ、承認、追跡が含まれる場合があります。 第三者またはその他の処理者が物理メディアを転送する場合、お客様は、organizationが個人データのセキュリティを確保するための手順を実施していることを確認する必要があります。 | Microsoft サービスが個人データを含んでいる可能性のある物理メディアを移動する方法。移動が発生する可能性がある状況を含む。データを保護するために取る対策。 - Microsoft プロフェッショナル サービス ISO/IEC 27001:2013 ISMS の適用性に関するステートメント [11] - Microsoft プロフェッショナル サービス コントロール セット [4] |
(5)(1)(f) |
| 機密保持契約 (6.10.2) | お客様は、秘密保持契約の必要性について、あるいは個別のユーザーの個人データへのアクセスまたは個人データに関連する責任に関して同等のものが必要か判断する必要があります。 | 個人データへのアクセスを許可された個別のユーザーが秘密保持契約を結んでいることを Microsoft サービスが確認する方法。 - Microsoft プロフェッショナル サービス ISO/IEC 27001:2013 ISMS の適用性に関するステートメント [11] - Microsoft プロフェッショナル サービス コントロール セット [4] |
(5)(1)(f)、(28)(3)(b)、(38)(5) |
| パブリック ネットワークでのアプリケーション サービスの保護 (6.11.1) | お客様は、特にパブリック ネットワーク経由で送信される場合に、個人データの暗号化の要件を理解する必要があります。 システムがデータを暗号化するメカニズムを提供する場合、お客様は必要に応じてこれらのメカニズムを利用する必要があります。 | 転送中にデータを保護するために Microsoft サービスが取る手段の説明 (これにはデータの暗号化が含まれます)。データがパブリック データ ネットワークを通過する際、個人データが含まれている可能性のあるデータを Microsoft サービスが保護する方法 (あらゆる暗号化の方法を含む)。 - Microsoft プロフェッショナル サービスのセキュリティに関するドキュメント [2] |
(5)(1)(f)、(32)(1)(a) |
| 安全なシステム エンジニアリングの原則 (6.11.2) | お客様は、個人データの保護を考慮するにあたり、システムがどのように設計されているかを理解する必要があります。 お客様がサードパーティによって設計されたシステムを使用している場合、お客様は、そのような保護が考慮に入れられていることを確認する責任があります。 | Microsoft サービスが安全な設計/エンジニアリングの原則の必須の部分として個人データ保護原則を組み込んでいる方法。 - Microsoft プロフェッショナル サービス ISO/IEC 27001:2013 ISMS の適用性に関するステートメント [11] - セキュリティ開発ライフサイクルとは |
(25)(1) |
| サプライヤーとの関係 (6.12) | お客様は、情報セキュリティおよび個人データの保護の要件、およびサードパーティの責任について、契約情報またはその他の合意で規定されていることを確認する必要があります。 また、処理の指示についても、それらの契約書に明記する必要があります。 | Microsoft サービスがサプライヤーとの契約でセキュリティおよびデータ保護を規定する方法と、それらの契約が効果的に実施されていることを確認する方法。 - 誰がどのような条件でデータにアクセスできるか [6] |
(5)(1)(f)、(28)(1)、(28)(3)(a)、(28)(3)(b)、(28)(3)(c)、(28)(3)(d)、(28)(3)(e)、(28)(3)(f)、(28)(3)(g)、(28)(3)(h)、(30)(2)(d)、(32)(1)(b) |
| 情報セキュリティ インシデントと改善の管理 (6.13.1) | お客様は、個人データ違反が発生した場合に究明するためのプロセスを構築しておく必要があります。 | Microsoft サービスが、セキュリティ インシデントが個人データに関する違反であるかどうかを判断する方法。違反についてお客様に伝達する方法。 - Microsoft プロフェッショナル サービスと GDPR の下での違反の通知 [8] |
(33)(2) |
| 責任と手順 (情報セキュリティ インシデントが発生した場合) (6.13.2) | お客様は、個人データに関連するデータ侵害またはセキュリティ インシデントの際に責任を理解し、文書化する必要があります。 責任には、必要な当事者への通知、処理者またはその他の第三者との通信、および顧客のorganization内での責任が含まれる場合があります。 | セキュリティ インシデントまたは個人データの違反を検出した場合に Microsoft サービスに通知する方法。 - Microsoft プロフェッショナル サービスと GDPR の下での違反の通知 [8] |
(5)(1)(f)、(33)(1)、(33)(3)(a)、(33)(3)(b)、(33)(3)(c)、(33)(3)(d)、(33)(4)、(33)(5)、(34)(1)、(34)(2)、(34)(3)(a)、(34)(3)(b)、(34)(3)(c)、(34)(4) |
| 情報セキュリティ インシデントへの対応 (6.13.3) | お客様は、個人データ違反が発生した場合に究明するためのプロセスを構築しておく必要があります。 | お客様が個人データに関して違反したかどうかを判断できるように支援するための Microsoft サービスが提供する情報の説明。 - Microsoft プロフェッショナル サービスと GDPR の下での違反の通知 [8] |
(33)(1)、(33)(2)、(33)(3)(a)、(33)(3)(b)、(33)(3)(c)、(33)(3)(d)、(33)(4)、(33)(5)、(34)(1)、(34)(2) |
| 記録の保護 (6.15.1) | お客様は、維持する必要がある、個人データの取り扱いに関連する記録の要件を理解する必要があります。 | Microsoft サービスが個人データの取り扱いに関連する記録を保存する方法。 - Microsoft プロフェッショナル サービスのセキュリティに関するドキュメント [2] |
(5)(2)、(24)(2) |
| 情報セキュリティの独立したレビュー (6.15.2) | お客様は、個人データの取り扱いに関するセキュリティ評価の要件を認識している必要があります。 これには、内部または外部の監査、または処理のセキュリティを評価するため他の手段が含まれる場合があります。 お客様が処理の一部またはすべてについて第三者にあたる別の組織に依存している場合、それらの組織によって行われた評価に関する情報を収集する必要があります。 | データの取り扱いのセキュリティを確保するために、Microsoft サービスが技術的および組織的手段の効果性をテスト/評価する方法 (サード パーティによる任意の監査を含む)。 - Microsoft プロフェッショナル サービス データ保護に関する補遺 [1] |
(32)(1)(d)、(32)(2) |
| 技術的なコンプライアンス レビュー (6.15.3) | お客様は、個人データの取り扱いに関するセキュリティのテストおよび評価についての要件を理解する必要があります。 これには侵入テストなどの技術的なテストが含まれる場合があります。 お客様がサードパーティ製システムまたは処理者を使用している場所、お客様は、お客様にセキュリティの確保およびセキュリティのテストに関してどのような責任があるか (データを保護するための構成の管理やそれらの構成設定のテストなど) を理解している必要があります。 サードパーティに処理のセキュリティに関するすべてまたは一部の責任がある場合、処理のセキュリティを確保するためにお客様はサードパーティが実施しているテストや評価の内容を理解している必要があります。 | Microsoft サービスで、インシデント リスクに基づいてセキュリティをテストする方法。これにはサードパーティによるテストおよび技術テストの種類が含まれます。 - 外部認定の一覧については、「Microsoft セキュリティ センターコンプライアンス オファリング [12] - アプリケーションへの脆弱性テストの詳細については、「Microsoft プロフェッショナル サービスのセキュリティに関するドキュメント [2] 」を参照してください。 |
(32)(1)(d)、(32)(2) |
6. リソースおよびリンクの文献目録
| ID | 説明/リンク | 注 |
|---|---|---|
| 1 | Microsoft 製品とサービスのデータ保護補遺 | |
| 2 | Microsoft プロフェッショナル サービスのセキュリティに関するドキュメント | |
| 3 | トレーニングと認識プログラムの説明 | お客様のアカウント管理チームを介した要求で利用可能。 |
| 4 | Microsoft プロフェッショナル サービス GDPR コントロール セット | |
| 5 | Microsoft Enterprise ビジネス継続性管理に関するドキュメント | お客様のアカウント管理チームを介した要求で利用可能。 |
| 6 | 誰がどのような条件でデータにアクセスできるか | |
| 7 | GDPR および CCPA のための Microsoft プロフェッショナル サービス データ主体要求 | |
| 8 | Microsoft プロフェッショナル サービスと GDPR の下での違反の通知 | |
| 9 | 顧客データ保護影響評価に関する Microsoft プロフェッショナル サービスからの重要な情報 | |
| 10 | ISO 27001 監査レポート | |
| 11 | Microsoft プロフェッショナル サービス ISO/IEC 27001:2013 ISMS の適用性に関するステートメント | お客様のアカウント管理チームを介した要求での SOA。 |
| 12 | Microsoft Trust Center コンプライアンスの提供 | |
| 13 | Microsoft DPO 情報 |