データ保護影響評価: Microsoft プロフェッショナル サービスを利用するデータ管理者向けガイダンス
Microsoft プロフェッショナル サービスの概要
Microsoft プロフェッショナル サービスは、技術設計者、エンジニア、コンサルタント、サポート プロフェッショナルで構成されています。この多様性に溢れるグループが、お客様により多くの可能性を提供し、より多くの成果を達成していただくという Microsoft のミッションを果たすために取り組んでいます。 Microsoft Professional Services の詳細を確認するには、Microsoft Professional Services の信頼ページにアクセスしてください。
Microsoft プロフェッショナル サービスでは、一般データ保護規則 (GDPR) の下での義務を重く受け止めています。 このドキュメントの情報は、GDPR で Data Protection Impact Assessments (DPIA) を準備するときにお客様が使用できる Microsoft のサポートとコンサルティングサービスに関する情報を提供するように設計されています。
DPIA について
一般データ保護規則 (GDPR) では、データ コントローラーは、"自然人の権利と自由に対するリスクが高くなる可能性が高い" 操作を処理するために DPIA を準備する必要があります。 Microsoft Professional Services には、必ずしもそれを使用するデータ コントローラーによる DPIA の作成を必要とするものは何もありません。 むしろ、DPIA が必要かどうかは、サービスの種類の詳細とコンテキストと、データ コントローラーがプロフェッショナル サービスをどのように使用するかによって異なります。
このドキュメントは、データ管理者に対し、DPIA が必要であるかどうかを判断し、必要な場合には DPIA に含める詳細情報を決定する上で役立つ、プロフェッショナル サービスに関する情報を提供することを目的としています。
パート 1: DPIA が必要であるかどうかの判断
GDPR の第 35 条では、データ管理者がデータ保護影響評価 '[w]ここでは、特に新しいテクノロジを使用した処理の種類を作成し、処理の性質、範囲、コンテキスト、および目的を考慮する必要があります。これは、自然人の権利と自由に対するリスクが高くなる可能性があります。 さらに、このような高リスクを示す特定の要因を設定します。次の表で説明します。DPIA が必要かどうかを判断する場合、データ コントローラーは、データ コントローラーの特定の実装と Professional Services の使用に照らして、これらの要因を他の関連要因と共に考慮する必要があります。
リスク要素 | プロフェッショナル サービスの関連情報 |
---|---|
自然人に関する、個人的側面の体系的かつ広範囲な評価のうち、プロファイリングを含む自動処理に基づき、その評価に基づいてその自然人に関する法的影響またはそれに類する重大な影響をその自然人に与える評価を行う場合。 | プロフェッショナル サービスは、故障や修理のサポート (たとえば、コンピューターが故障した場合の顧客サポートなど)、アカウントの移行、システムの脆弱性の分析などのデータのルーチンまたは自動処理を実行します。 この表の後半で説明するメモの対象となる顧客開発を除くプロフェッショナル サービス ソリューションは、個人に法的または同様に大きな影響を与える決定に基づく処理を実行するものではありません。 |
特別な種類のデータ (人種もしくは民族的素性、政治的思想、宗教的もしくは哲学的信条、または労働組合員資格を明かす個人データ、一意な識別を目的とした遺伝データおよび自然人の生体データの処理、健康に関するデータ、または自然人の性生活もしくは性的指向に関するデータ)、または有罪判決および犯罪に関する個人データを大規模に処理 1 する場合。 | 下記の注記に記載されているカスタム開発を除いて、Professional Services は、特別な種類の個人データの処理が必要な作業で利用されることを意図していません。。 ただし、データ コントローラーは Professional Services コンサルティング ソリューションを使用して、列挙された特殊なカテゴリのデータを処理できます。 たとえば、Professional Services では、医療業界のデータベース開発を提供します。これは、データ コントローラーが正常性に関連する個人データを処理するために使用できます。 コントローラーは、この使用状況を評価し、必要に応じて制限または文書化する必要があります。 |
誰でも立ち入ることのできる場所において大規模な体系的監視を行う場合 | Professional Services は、この表の後半で説明する顧客開発を除き、このような監視を必要とする、または容易にする作業で利用することを意図していません。 データ管理者が Professional Services を使用してこのタイプのシステムを開発した場合、または IT システムを使用してそのような監視を通じて収集されたデータを処理した場合、この表で後述するように、データ管理者の責任となります。 |
注:
1「大規模」な処理という条件に関して、GDPR の前文 91 では次のように説明しています。「個人データの処理は、処理が個々の医師、他の医療専門家、または弁護士の患者または依頼主に関するものである場合、大規模な処理とはみなされない。 その場合、データ保護影響評価は必須ではない」。
[カスタム開発ノート]Professional Services では、さまざまなコンサルティング ソリューションを提供しています。 データ コントローラーは、上記の条件に従って、リスクの高いソリューションになるソリューションを要求する可能性があります。 たとえば、データ 管理者は、Professional Services に対して、雇用の決定やクレジット アプリケーション、またはユーザー追跡、人工知能 (AI)/分析の特殊な使用、または特別なカテゴリの個人データの処理を含むソリューションを開発するためのソリューションを作成するよう要求する場合があります。
活動を開始するときに、プロフェッショナル サービスは、対処する必要がある可能性が高いリスクソリューションを評価し、対処するプロセスを行います。 この一環として、プロフェッショナル サービスでは、GDPR 準拠 (契約条項など) におけるデータ管理者の保証、DPIA の開発計画、または GDPR に基づいたデータ処理者に要求されるその他の条件 (契約済みの運用ガイドラインなど) が要求されることがあります。 ただし、Microsoft の操作に関係なく、お客様のデータのプロセッサから該当する場合は、入力を使用して DPIA を開発するデータ コントローラーの責任です。
パート 2: DPIA の内容
第 35 条(7) は、データ保護影響評価において処理の目的を特定し、想定される処理の体系的な説明を行うことを義務付けています。 包括的な DPIA の体系的な説明に含める要素には、処理するデータの種類、データの保存期間、データの保存場所と移動先、およびデータへのアクセス権を持つサードパーティなどがあります。 また、DPIA には次のものを含める必要があります:
- 目的に関する処理作業の必要性および比例性の評価
- 自然人の権利および自由に関するリスクの評価
- リスクに対処するために予定された対策。個人データの保護を確保して本規則の遵守を証明するための、データ主体および関連する他者の権利および正当な利益に配慮した保護措置、安全対策、および仕組みを含みます。
次の表に、これらの各要素に関連する Professional Services に関する情報を示します。 パート 1 と同様に、データ コントローラーは、コントローラーの特定の実装と Professional Services の使用に関連するその他の関連要素と共に、テーブルで提供される詳細を考慮する必要があります。
DPIA の要素 | プロフェッショナル サービスの関連情報 |
---|---|
処理の目的 | プロフェッショナル サービスを使用したデータ処理の目的は、プロフェッショナル サービスを導入、構成、使用する管理者が決定します。 Microsoft Professional Services Data Protection Addendum (MPSDPA) で指定されているように、Microsoft はデータ プロセッサとしてサポートデータとコンサルティング データを処理し、お客様のデータ コントローラーに要求されたサービスを提供するだけです。 Microsoft は、サポートおよびコンサルティング データ、またはそこから派生した情報を広告または同様の商用目的で使用することはありません。 |
プロフェッショナル サービスを使用したデータ処理の目的は、プロフェッショナル サービスを導入、構成、使用する管理者が決定します。 | Microsoft Professional Services Data Protection Addendum (MPSDPA) で指定されているように、Microsoft はデータ プロセッサとしてサポートデータとコンサルティング データを処理し、お客様のデータ コントローラーに要求されたサービスを提供するだけです。 Microsoft は、サポートおよびコンサルティング データ、またはそこから派生した情報を広告または同様の商用目的で使用することはありません。 |
処理される個人データのカテゴリ | サポートおよびコンサルティング データとは、Microsoft に提供されるすべてのテキスト、サウンド、ビデオ、画像ファイル、またはソフトウェアを含むすべてのデータを意味します。これは、お客様 (またはお客様が Microsoft がプロフェッショナル サービスまたはサポートを取得するために Microsoft がオンライン サービスから取得することを承認する) によって提供されます。 これには、電話、チャット、電子メール、または Web フォームで収集された情報が含まれる場合があります。 これには、問題の説明、サポートの問題を解決するために Microsoft に転送されたファイル、自動トラブルシューティング ツール、または顧客のアクセス許可を持つリモートで顧客システムにアクセスすることが含まれる場合があります。 顧客データとサポート データには、顧客の連絡先データや請求データ (サブスクリプション情報など) や支払いデータは含まれません。これは、Microsoft がデータ コントローラーとしての容量で収集および処理し、このドキュメントの範囲外です。 |
データ保存期間 | Microsoft は、お客様の契約期間と契約終了後のリテンション期間中は、サービスの品質と連続性を保証するために、サポートとコンサルティング データを保持します。 例として、サポートケースがクローズされた後、問題が再び発生してケースが再開された場合にデータを参照できるように、データは通常一定期間保持されます。 Professional Services がサポートを提供する場合、サポート ケースが閉じられたときにエンゲージメントの長さが定義されます。 Professional Services がコンサルティング サービスを提供する場合、エンゲージメントの長さは多くの場合、作業指示書によって定義されます。 それ以外の場合、エンゲージメントの長さはビジネスリレーションシップのメンテナンスによって定義されます。 いずれの場合も、サポートおよびコンサルティング データは、要求に応じて、またはプロフェッショナル サービス データ主体の権利ガイドに記載されている機能を使用して、お客様の指示に従って削除または返却されます。 |
個人データの保存場所と移転 | プロフェッショナル サービスの性質上、24 時間体制のサポートを提供する必要があるため、データは世界中で転送される可能性があります。 Microsoft が運営する場所の一覧は、要求に応じて利用できます。 コンサルティング サービスの場合、作業指示書内で合意された場合、データは国内で保持される場合があります。 欧州経済地域、スイス、および英国からの個人データについては、Microsoft は、GDPR の第 46 条に記載されているように、第三国または国際組織への個人データの転送が適切な保護措置の対象であることを保証します。 プロセッサおよびその他のモデル契約に関する標準契約条項に基づく Microsoft のコミットメントに加えて、Microsoft は引き続きプライバシー シールド フレームワークの条件を順守しますが、EU/EEA からアメリカ合衆国への個人データの転送の基礎としてこれに依存しなくなります。 |
第三者とのデータの共有 | Microsoft は、お客様サポートやテクニカル サポートなどのサポート機能、サービス メンテナンス、およびその他の作業のために、二次処理者として活動する第三者とデータを共有します。 Microsoft がサポートおよびコンサルティング データを移転する下請業者は、 MPSDPA のデータ保護条項に劣らず保護される書面による契約を Microsoft と締結します。 サポートおよびコンサルティング データが MPSDPA の下で共有されるすべてのサード パーティのサブプロセッサは、 Microsoft コマーシャル サポート 請負業者の一覧に含まれています。 Microsoft は、法律で義務付けられている場合を除き、サポートおよびコンサルティング データを法執行機関に開示しません。 法執行機関がサポートおよびコンサルティング データの要求を Microsoft に問い合わせれば、Microsoft は法執行機関をリダイレクトして、お客様に直接データを要求しようとします。 サポートおよびコンサルティング データを法執行機関に開示することを強制された場合、Microsoft は法的に禁止されていない限り、速やかに顧客に通知し、要求のコピーを提供します。 サポートおよびコンサルティング データに関するその他の第三者からの要求を受け取ると、Microsoft は法律で禁止されていない限り、速やかにお客様に通知します。 Microsoft は、法律で遵守する必要がない限り、要求を拒否します。 要求が有効な場合、Microsoft はサード パーティをリダイレクトして、顧客に直接データを要求しようとします。 |
データ主体の権利 | Microsoft は、プロセッサとして動作する場合、お客様 (データ 管理者) がデータ主体の個人データを利用できるようになり、GDPR に基づく権利を行使するときにデータ主体の要求を満たすことができます。 製品の機能および処理者として役割と一貫性のある方法で行います。 お客様のデータ主体から GDPR に基づく 1 つ以上の権利を行使する要求を受け取った場合、データ主体をリダイレクトして、その要求をデータ 管理者に直接行います。 プロフェッショナル サービス データ サブジェクト要求 GDPR ドキュメントに、お客様がプロフェッショナル サービスのデータ主体権限の義務に対応する方法が説明されています。 |
目的に対する処理作業の必要性および比例性の評価 | このような評価は、コントローラーのニーズと処理の目的によって異なります。 マイクロソフトにより実行される処理に関して、このような処理はサービスをデータ管理者に提供する目的のために必須であり、またこの目的に合致しています。 Microsoft は MPSDPA でこれをコミットします。 |
データ主体の権利および自由に関するリスクの評価 | Professional Services の使用によるデータ主体の権利と自由に対する主なリスクは、データ コントローラーが Professional Services によって提供されるプロフェッショナル サービスとソリューションを実装、構成、および使用する方法とコンテキストの機能です。 ただしどのサービスでも、サービスで保持される個人データには、不正なアクセスや不注意による漏洩のリスクがあります。 Microsoft がこのようなリスクに対処するために講じる措置については、この記事の後半で説明します。 |
個人データの保護を確保して GDPR の遵守を証明するための、データ主体および関連する他者の権利および正当な利益に配慮した保護措置、安全対策、および仕組みを含みます。 | Microsoft は、個人情報のセキュリティの保護に努めています。 GDPR 第 32 条の条項に従い、Microsoft は顧客データとサポート データを偶発的、不正、または不法なアクセス、漏洩、改ざん、喪失、破壊から保護するための適切な技術的および組織的手段を導入しており、これらの手段を維持および実施します。 また、マイクロソフトはデータ処理者に適用されるその他のすべての GDPR の義務に準拠しています。これには、データ保護影響評価および記録管理の実施などが含まれます。 |