データ保護影響評価: Microsoft Office 365 を利用するデータ管理者向けガイダンス
一般データ保護規則 (GDPR) では、データ コントローラーは、"自然人の権利と自由に対するリスクが高くなる可能性が高い" 操作を処理するために、データ保護影響評価 (DPIA) を準備する必要があります。 Microsoft Office 365 には、必ずしもそれを使用するデータ コントローラーによる DPIA の作成が必要なものはありません。 代わりに、DPIA が必要かどうかは、データ コントローラーとしての Office 365 の展開、構成、および使用方法の詳細とコンテキストによって異なります。
このドキュメントのパート 1 は、データ管理者として DPIA が必要かどうかを判断するのに役立つ Office 365 に関する情報を提供します。 答えが「はい」の場合、このドキュメントのパート 2 および 3 から、Microsoft からのドラフト作成に役立つ重要な情報を確認できます。 具体的には、パート 2 から、DPIA の必要な要素ごとにすべての Office 365 サービスに適用できる回答を確認できます。 パート 3 からは、独自の DPIA を作成する目的において、お客様にとって最も関連性の高い、数々の情報ニーズに対応する製品固有の追加情報を提供します。 パート 3 には、DPIAの作成を簡単にするためにダウンロードおよび変更できる、DPIA ドキュメントの例も含まれています。
Office 365 のアプリケーションとサービスには、Exchange Online、SharePoint、OneDrive for Work and school、Viva Engage、Microsoft Teamsが含まれますが、これらに限定されません。 Office 365 で利用できるサービスのより完全なリストは、Office 365 データ主体要求ガイド の表 1 および 2 に記載されています。
パート 1: DPIA が必要であるかどうかの判断
GDPR の第 35 条では、「特に新たな技術を用いるなどのある種の処理が、その性質、範囲、文脈および処理の目的を考慮して、自然人の権利や自由に高リスクを生じさせる可能性がある場合」に、データ管理者がデータ保護影響評価を実施することが義務付けられています。 さらにこの条項には、このような高リスクを示す特定の要素が記載されています。これらを次の表に示します。 DPIA が必要であるかどうかを判断する際には、データ管理者が、管理者固有の Office 365 の導入と用途の観点から、これらの要素とその他の関連要素をすべて考慮する必要があります。
| リスク要素 | Office 365 の関連情報 |
|---|---|
| プロファイリングを含めた自動処理に基づいて、自然人に関する個人的側面を体系的かつ広範囲に評価され、その評価に基づいて決定がなされ、その決定が自然人に関する法的効果を生じさせるかまたは同様に自然人に重大な影響を与える場合 | データ コントローラーの構成に応じて、Office 365 は、Viva Personal Insights によって実行される分析など、データの特定の自動処理を実行する場合があります。これにより、データ コントローラーは、ユーザーのメールボックスからの電子メールと予定表ヘッダー情報に基づいて組織内で共同作業を行う方法に関する分析情報を導き出すことができます。 Office 365 は、個人に対して法的な、または重大な影響をもたらす意思決定の基準として、自動処理を実行するように設計されたものではありません。 ただし、Office 365 は高度なカスタマイズが可能なサービスであるため、データコントローラーがそのような処理に使用できる可能性があります。 |
| 特別な種類のデータ (人種もしくは民族的素性、政治的思想、宗教的もしくは哲学的信条、または労働組合員資格を明かす個人データ、一意な識別を目的とした遺伝データおよび自然人の生体データの処理、健康に関するデータ、または自然人の性生活もしくは性的指向に関するデータ)、または有罪判決および犯罪に関する個人データを大規模に処理 1 する場合。 | Office 365 は、特殊なカテゴリの個人データを大規模に処理するようには設計されていません。 ただし、データコントローラーは、Office 365 を使用して列挙された特殊なカテゴリのデータを処理することもできます。 Office 365 は、ユーザーが個人データの特別なカテゴリを含む、あらゆる種類の個人データを追跡または処理できるようにする、高度にカスタマイズ可能なサービスです。 このような使用法は、DPIA を必要とするかどうかに関する管理者の判断に関連します。 ただし、データ処理者である Microsoft にはそのような利用を制御する能力はなく、そのような利用に関する情報もほとんど持っていません。 |
| 誰でも立ち入ることのできる場所において大規模な体系的監視を行う場合 | Office 365 は、そのような監視を実施したり容易にしたりするようには設計されていません。 ただし、データ管理者が Office 365 を使用して、このような監視から得られたデータを処理する可能性があります。 |
注:
1「大規模」な処理という条件に関して、GDPR の前文 91 では次のように説明しています。「個人データの処理は、処理が個々の医師、他の医療専門家、または弁護士の患者または依頼主に関するものである場合、大規模な処理とはみなされない。 その場合、データ保護影響評価は必須ではない」。
パート 2: DPIA の内容
GDPR 第 35 条 (7) は、データ保護影響評価において処理の目的を特定し、想定される処理の体系的な説明を行うことを義務付けています。 Microsoft の DPIA では、こうした体系的な説明には、処理するデータの種類、データの保存期間、データの保存場所と移動先、およびデータへのアクセス権を持つサードパーティの要素が含まれています。 また、DPIA には次のものを含める必要があります:
- 目的に関する処理作業の必要性および比例性の評価
- 自然人の権利および自由に関するリスクの評価
- リスクに対処するために予定された対策。個人データの保護を確実にするとともに、データ主体と関係する他者の権利および正当な権利を考慮し、本規則の順守を実証する保護措置、安全対策、および安全メカニズムを含みます。
次の表は、DPIA の作成に役立つ Microsoft からの主要な情報を提供します。 表には、DPIA の必須要素のそれぞれに関連した Office 365 についての情報が含まれます。 パート 1 と同様、データ管理者は、データ管理者の組織での Office 365 の実装と使用の詳細とともに、下記の詳細を考慮する必要があります。
| リスク要因 | Office 365 の関連情報 |
|---|---|
| 処理の目的 | Office 365 を使用したデータ処理の目的は、Office 365 を導入、構成、使用する管理者が決定します。 製品使用条件および Microsoft 製品およびサービス データ保護補遺 (DPA) で指定されているように、Microsoft はデータ プロセッサとして、顧客の文書化された指示に従って顧客にオンライン サービスを提供するために顧客データを処理します。 標準 の製品条項 と Microsoft 製品およびサービスデータ保護補遺 (DPA) で詳しく説明されているように、Microsoft は個人データを使用して、(1) 課金とアカウント管理で構成される限定的な一連の正当な業務をサポートします。(2) 報酬 (たとえば、従業員の手数料やパートナーインセンティブの計算)(3) 内部レポートとモデリング (予測、収益、容量計画、製品戦略など)。(4) 財務報告および法的義務の遵守(製品使用条件およびデータ保護補遺に記載されている顧客データの開示に関する制限を受ける)。 Microsoft は、これらの特定の正当な業務をサポートするために、個人データの処理の管理者の義務を受け入れます。 Microsoft は、正当な業務に使用する前に個人データを集計し、特定の個人を特定する Microsoft の能力を取り除き、正当な業務に必要な処理をサポートする最小限の識別可能な形式で個人データを使用します。 顧客データまたは顧客データから得られた情報を、Microsoft がプロファイリング、広告およびその他の類似する商用目的で使用することはありません。 |
| 処理される個人データのカテゴリ |
顧客データ: 顧客または顧客の代理が Microsoft オンライン サービスの使用を通じて Microsoft に提供する、テキスト、音声、ビデオ、画像ファイル、およびソフトウェアを含むすべてのデータを指します。 保存、処理、およびカスタマイズするために顧客がアップロードするデータも含まれます。 Office 365 で処理される顧客データの例としては、Exchange Online のメール コンテンツや、職場や学校用の SharePoint または OneDrive に格納されているドキュメントまたはファイルなどがあります。 サービス生成データ: 使用データやパフォーマンス データなど、サービスの操作を通じて、Microsoft によって生成または派生されるデータを指します。 これらのデータのほとんどには、Microsoft によって生成された、仮の識別子が含まれています。 診断データ: このデータは、オンライン サービスに接続されているお客様によってローカルにインストールされたソフトウェアから、Microsoft によって収集または取得され、テレメトリとも呼ばれています。 このデータは通常、ローカルにインストールされているソフトウェア、またはそのソフトウェアを実行しているコンピューターの属性によって識別されます。 サポート データ: 顧客または顧客の代理によって、オンライン サービスに関するテクニカル サポートを受ける際の Microsoft とのエンゲージメントを通して Microsoft に提供されるデータ (または Microsoft がオンライン サービスから取得することを顧客が承認するデータ) です。 顧客データ、システム生成ログ、及びサポート データには、お客様の管理者の連絡先情報、サブスクリプション情報、支払データなどの、マイクロソフトがデータ管理者として収集、処理する管理者データや請求データは含まれません。この詳細は、このドキュメントでは説明しません。 |
| データ保持 |
顧客データ: Microsoft は、製品条項およびデータ保護補遺のデータ保護条件に記載されているように、お客様のサービスを使用する権利の期間、および顧客の指示または製品条件およびデータ保護補遺の条件に従ってすべての顧客データが削除または返されるまで、顧客データを保持します。 お客様のサブスクリプション期間中は常に、製品ドキュメントで詳しく説明するように、不注意による削除のリスクを軽減するための特定の製品機能 (Exchange 回復済みアイテム フォルダーなど) に従って、サービスに格納されている顧客データにアクセス、抽出、削除することができます。 Microsoft は、お客様がデータを取り出せるように、お客様のサブスクリプションの有効期限または終了後 90 日間は、無料試用版と LinkedIn サービスを除くオンライン サービスに保管されている顧客データを機能制限付きアカウントにて保持します。 90 日間の保持期間が終了すると、Microsoft はお客様のアカウントを無効にして顧客データを削除します。 サービス生成データ: サービスのセキュリティの必要上、または法律上または規制上の義務の遵守ためにより長い保持期間が必要な場合を除き、このデータは収集後、最大で 180 日間の既定の期間保持されます。 サービスに保管されている個人データをお客様がいつでも削除できるようにするサービスの機能の詳細については、「Office 365 データ主体要求ガイド」を参照してください。 |
| 個人データの保存場所と移転 | 製品条項の添付ファイル 1 に記載されているように、お客様がオーストラリア、カナダ、欧州連合、フランス、インド、日本、韓国、英国、または米国で Office 365 のインスタンスをプロビジョニングした場合、Microsoft は、その場所にのみ保存される次の顧客データを保存します: (1) Exchange Online メールボックス コンテンツ (電子メール本文、予定表エントリ、 および電子メール添付ファイルの内容、(2) SharePoint サイトのコンテンツとそのサイト内に格納されているファイル、(3) 職場と学校のために OneDrive にアップロードされたファイル、(4) Project Online にアップロードされたプロジェクト コンテンツ。 欧州経済地域、スイス、英国から転送された個人データについては、Microsoft は、GDPR の第 46 条に記載されているように、第三国または国際組織への個人データの移転に対して適切な保護措置を講じるよう保証します。 プロセッサおよびその他のモデル契約に関する標準契約条項に基づく Microsoft のコミットメントに加えて、Microsoft は データ プライバシー フレームワークの条項に従います。 |
| 第三者の副処理者とのデータの共有 | Microsoft は、お客様サポートやテクニカル サポートなどのサポート機能、サービス メンテナンス、およびその他の作業のために、二次処理者として活動する第三者とデータを共有します。 Microsoft が顧客データ、サポート データ、または個人データを移転する下請業者は、 製品条項のデータ保護条件に劣らず保護できる書面による契約を Microsoft と締結します。 Microsoft の Core Online Services の顧客データが共有されているすべてのサード パーティのサブプロセッサは、 Online Services サブプロセッサの開示に含まれます。 サポート データ (顧客がサポートのやり取り中に共有することを選択した顧客データを含む) にアクセスする可能性のあるすべての第三者の二次処理者は、Microsoft 商用サポート協力会社のリストに含まれています。 |
| 独立した第三者とのデータの共有 | Office 365 製品の中には、管理者の選択時に、独立した第三者とのデータ共有を可能にする機能拡張オプションが含まれます。 たとえば、Exchange Online は、サードパーティ製のアドインやコネクタを Outlook と統合し、Outlook の機能セットを拡張できる、拡張性の高いプラットフォームです。 これらのアドインまたはコネクタのサードパーティプロバイダーは、Microsoft とは独立して機能します。そのようなアドインまたはコネクタは、アドインまたはコネクタ アカウントで認証を行うユーザーまたはエンタープライズ管理者が有効にする必要があります。 Microsoft は、法律で義務付けられている場合を除き、顧客データまたはサポート データを法執行機関に開示しません。 法執行機関が顧客データまたはサポート データの要求を Microsoft に連絡する場合、Microsoft は法執行機関をリダイレクトして、そのデータを顧客に直接要求しようとします。 お客様データまたはサポート データを法執行機関に開示することを強制された場合、Microsoft は、法的に禁止されていない限り、速やかに顧客に通知し、要求のコピーを提供します。 Microsoft は、顧客データまたはサポート データに対する他の第三者からの要求を受け取ると、法律で禁止されていない限り、速やかに顧客に通知します。 Microsoft は、法令に従う必要がない限り、要求を拒否します。 要求が有効な場合、Microsoft はサード パーティのリダイレクトを試み、お客様に直接データを要求します。 |
| データ主体権限 | Microsoft は、処理者として活動するとき、お客様 (データ管理者) がそのデータ主体の個人データを利用できるようにし、GDPR に基づいて権利を行使するときデータ主体の要求を満たすことができるようにします。 製品の機能および処理者として役割と一貫性のある方法で行います。 お客様のデータ主体から GDPR に基づき 1 つ以上の権利を行使する要求を受け取った場合、データ主体をリダイレクトしてデータ管理者に直接要求できるようにします。
Office365 Data Subject Request GDPR Documentation に、Office 365 の機能を使用してデータ主体の権利に対応する方法が説明されています。 正当なビジネス プロセスをサポートするために処理された個人データに対する GDPR に基づく権利の行使の対象となるデータからの要求は、 Microsoft のプライバシーに関する声明で明らかにされているように、Microsoft に送信する必要があります。 Microsoft は一般に、正当な業務に使用する前に個人を集計し、集計内の特定の個人の個人データを特定する立場にありません。 これにより、個人に対するプライバシー リスクが大幅に軽減されます。 Microsoft が個人を特定できない場合、データ主体のアクセス、消去、移植性、処理の制限または異議に対するデータ主体の権利をサポートできません。 |
| 目的に対する処理作業の必要性および比例性の評価 | このような評価は、コントローラーのニーズと処理の目的によって異なります。 マイクロソフトにより実行される処理に関して、このような処理はサービスをデータ管理者に提供する目的のために必須であり、またこの目的に合致しています。 |
| データ主体の権利および自由に関するリスクの評価 | Office 365 の使用に伴うデータ主体の権利および自由に関する主なリスクは、データ管理者が Office 365 を導入、構成、使用する方法およびその文脈に対応します。 Microsoft は、正当な業務をサポートするために Microsoft が使用する個人データの匿名化または集計などの手段を講じて、サービスのプロビジョニングをサポートし、データを使用するデータ主体に対するこのような処理のリスクを最小化します。 ただしどのサービスでも、サービスで保持される個人データには、不正なアクセスや不注意による漏洩のリスクがあります。 このようなリスクに対する Microsoft の対策について以下で説明します。 |
| リスクに対処するために予定された対策。個人データの保護を確保して GDPR の遵守を証明するための、データ主体および関連する他者の権利および正当な利益に配慮した保護措置、安全対策、および仕組みを含みます | Microsoft では、お客様の情報のセキュリティの保護に努めています。 Microsoft では、GDPR 第 32 条の規定に従い、顧客データおよびサポート データを偶発的、不正、または不法なアクセス、漏洩、改ざん、損失、破損から保護することを目的とした適切な技術的および組織的措置を導入しており、今後も維持および実施してまいります。 また、マイクロソフトはデータ処理者に適用されるその他のすべての GDPR の義務に準拠しています。これには、データ保護影響評価および記録管理の実施などが含まれます。 Microsoft が、正当な業務のために,個人データを処理する場合、データ管理者に適用される GDPR の義務を遵守します。 |
パート3: DPIA の作成に役立つ情報
組織が DPIA の草案を作成する必要があると判断した場合、このセクションの情報は、そのプロセスを簡単にするのに役立ちます。
このセクションの内容
- Office 365 および製品固有の情報に関連するサービス要素を提供します
- ダウンロード、変更、および独自の DPIA の草案作成に使用できる、空白のモデル DPIA テンプレートを提供します。
DPIA サービス要素マトリックス
DPIA Service Elements Matrix は、DPIA の文書化を開始するときに役立つ可能性があるコンテンツの編成です。 これはサービスごとに編成されており、製品固有の情報とドキュメントへのリンクを提供します。これにより、要求された DPIA 要素に対する応答性の高い回答をより簡単に作成できます。
カスタマイズ可能な DPIA ドキュメント
DPIA の草案作成は、時間のかかる作業になる可能性があります。 各顧客の DPIA は、組織が Office 365 をどのように構成および使用しているかによって異なりますが、次のドキュメントを使用すると時間を節約できます。 カスタマイズ可能な DPIA ドキュメントを変更可能なテンプレートの例としてダウンロードして、すぐに開始できます。 サービスの特定の実装に合わせて、自由にご利用ください。 このドキュメントは、Microsoft またはその関連会社が提供する法的助言として解釈されるべきではありません。 DPIA の草案作成プロセスに関して質問がある場合は、弁護士に相談することをお勧めします。