コンプライアンスの概要

Microsoft Dynamics 365 Fraud Protection は、コンプライアンス、プライバシー、セキュリティ、機密性を念頭に置いて設計されており、不正行為を防ぎ、正当な支払いトランザクションを特定するためにのみ使用することを目的としています。 Microsoft は、堅牢なデータ保護条件を含む Microsoft オンライン サービス条項に基づく不正防止を提供しています。

不正アクセス防止固有の規定を含む Microsoft Online Services の使用条件を確認して、Fraud Protection が要件を満たしているかどうかを判断するには、以下 https://www.microsoft.com/licensing/product-licensing/productsを参照してください。

お客様の責任は次のとおりです:

• 収集したデータとその使用方法を開示するなどして、データ処理のプラクティスを顧客に通知します。
• 不正アクセス防止サービス プロバイダーを含め、収集したデータを処理するためにお客様の代理として作業する第三者の使用を開示します。
• データ保護法を含む、不正防止の使用に適用されるすべての法律および規制を遵守します。

透明度から始める

不正アクセス防止を実装する前に、e コマース エクスペリエンスのプライバシーに関する開示に、個人データの使用方法 (不正行為の防止と検出に使用される方法など) が記載されていることを確認してください。 不正アクセス防止に関するドキュメントを活用して、透明性のニーズを満たすことができます。

データ主体の要求を優先する

Fraud Protection には、顧客からのデータ主体の要求に準拠するのに役立つツールが用意されています。 これらのツールを使用すると、不正アクセス防止ネットワークで仮名化手法を使用して処理されていないトランザクション データを Assessments から削除およびエクスポートできます。 トランザクション データは、ネットワークで処理された後は、アクセス、エクスポート、表示、または削除できません。 トランザクション データは、要求と応答のペイロードからのすべてのデータに加えて、トランザクションにアタッチされている属性とエンリッチメントとして定義されます。 不正アクセス防止では、トランザクションからの貢献で計算された集計データが保持される場合があります。

Note

Delete または Export 呼び出しの API ペイロードのユーザー ID フィールドは、Fraud Protection が対応するデータ主体要求 (DSR) を正常に処理するために必須です。 ユーザー ID は、同じデータ主体に対するアカウントの作成、アカウント ログイン、または購入 API 呼び出しに対して指定されたものと同じである必要があります。 ユーザー ID が指定されていない場合、または以前に指定されたユーザー ID とは異なるユーザー ID が提供されている場合、不正アクセス防止でトランザクションを識別することは非常に困難になり、DSR は多大な投資を行わずに処理することが困難になります。

詳細については、次のリソースを参照してください。

• Dynamics 365 Fraud Protection API。
• データ主体の要求
• セーフ Microsoft Cloud を使用して個人のプライバシーを保護する

[サブジェクト要求] ページでは、すべてのトランザクションに対して次のタスクを実行できます。

• 個人データを含むトランザクションを識別する
• 削除トランザクション
• トランザクションのエクスポート

データ主体要求を管理する

データ主体要求 (DSR) とは、第三者が保有する個人データの変更を求める要求です。

不正アクセス防止を使用して DSR 要求を管理する:

1. 左側のナビゲーション バーで、[設定] を選択し、[サブジェクト要求] を選択します。

   評価ごとに要求を行うことができます。 要求の場合は、評価、データ主体 ID、およびデータ主体 ID の値を選択します。

   • アカウントの作成、アカウント ログイン、および購入保護の場合、データサブジェクト ID は user.userId です。
   • 評価ウィザードを使用して作成された評価のデータ主体 ID の詳細については、「データ主体 ID」を参照してください。

2. 作成する要求の種類 (エクスポートまたは削除) を選択し、確認して確認します。

   Requests テーブルは 、 要求の次のプロパティを識別します。 ログには、エクスポートされたデータ リンクと情報が 28 日間保持されます。

   • 要求 ID
   • 要求元
   • タイムスタンプ
   • 要求の種類 (削除またはエクスポート)
   • 状態 (保留中または完了)
   • エクスポートされたデータ リンク

データ主体要求 API

Fraud Protection を使用すると、API を使用してデータ主体の要求をプログラムで受け入れられます。 GDPR API のスキーマを次に示します。

GDPR API ペイロード。 GDPR API は、アカウント保護と購入保護に使用されます。

属性	Type	説明	必須
SubjectID	string	"User:userId" の形式を取得します。userId は User オブジェクトの属性です。	はい

サブジェクト要求 API ペイロード。 サブジェクト要求 API は、評価に 使用されます。

属性	Type	説明	必須
AssessmentName	string	評価の名前。	はい
PropertyName	string	データ サブジェクト ID であるプロパティの名前。 たとえば 、user.id,.	はい
PropertyValue	string	要求を行っているデータ主体 ID であるプロパティの値。 たとえば、 user123 です。	はい

これと他の不正アクセス防止 API の詳細については、Dynamics 365 Fraud Protection API を参照してください。

レポートのデータ主体要求

データ主体の要求によるデータ変更は、レポートの集計番号に影響します。 不正アクセス防止は、新しい状態の更新 (購入保護のチャージバック 率など) を反映するようにレポートを再計算します。 ただし、移動する時間枠の外側には、集計されたデータのスナップショットのみが保持されます。 集計されたスナップショットには、トランザクション レベルの詳細や個人を特定できる情報は含まれません。 したがって、集計されたスナップショットは、GDPR 削除の影響を反映できません。 たとえば、顧客は、先月の 2 つのトランザクションと 5 か月前の 1 つのトランザクションを含む、アカウントのすべてのトランザクションの削除を要求する場合があります。 この GDPR 削除要求が不正防止で処理されると、過去 4 か月間のデータを反映するように構成された更新されたレポートに、前月のトランザクションが表示されない場合があります。 以前に指定した 4 か月の時間枠より古いレポートは更新されません。 ただし、これらのレポートは、基になるデータの削除アクションには影響しません。

公正信用報告法

FCRA (Fair Credit Reporting Act) は、消費者の個人情報の開示と使用を規制し、消費者が製品やサービスを入手する資格を判断する、またはその他の方法で取引を行う連邦プライバシー法です。 FCRA は、消費者の評判や個人の特性が適格性に関連する、保険、雇用、小売購入などの非信用取引に対する消費者の個人情報の使用にも適用されます。

FCRA が不正防止のユーザーにとって重要な理由 不正防止は、主に FCRA が消費者のために保護する領域である信用カードユーザーの特性や行動を分析するようには設計されていませんでした。 不正アクセス防止では、特定の購入者が詐欺を犯した履歴があるかどうかではなく、トランザクションが詐欺師によって開始された可能性があるリスクについてのみ通知されます。 FCRA によって制限されている目的で特定の購入者の個人特性を評価するために不正アクセス防止が悪用された場合、この不正使用はユーザーと Microsoft の両方に重大な法的影響をもたらす可能性があります。 このため、不正アクセス防止の使用制限についてお客様に教育するよう細心の注意を払っています。

したがって、Fraud Protection の初回実行時には、テナント管理者に使用同意フォームが提供されますが、初めてアプリケーションにアクセスする場合にのみ使用同意フォームが提供されます。 このユーザー エクスペリエンスには、製品管理、グローバル 管理、PSP 管理、およびすべての領域管理が表示されます。