Microsoft Dynamics 365 Project Operations のデータ主体の権利 (DSR) 要求に対応する

このガイドでは、マイクロソフトの製品、サービス、および管理ツールの使用方法に関するリソースを提供し、管理者である顧客が、データ主体の権利 (DSR) に基づく Microsoft Dynamics 365 Project Operations の要求に対応するために個人データを検索し、対処できるようにします。 具体的には、Microsoft Cloud に所在する個人データまたは個人情報の検索方法、アクセス方法、対処方法が含まれます。 このガイドは、次のプロセスに役立ちます。

• 検出: 検索および検出ツールを使用して、DSR 要求の主体になる可能性がある顧客データを簡単に検索します。 可能性のある応答ドキュメントが収集されたら、以下の手順で説明されている 1 つ以上の DSR アクションを実行して、要求に応答できます。 あるいは、当該要求が DSR の要求に対応するにあたっての組織のガイドラインに適合していないと判断することもできます。
• アクセス: Microsoft Cloud に所在する個人データを取得し、要求があれば、データ対象者が利用可能なコピーを作成します。
• 修正: 必要に応じて、個人データに変更を加えたり、他に必要なアクションを実行したりします。
• 制限: さまざまなオンライン サービスに対するライセンスを削除するか、可能な場合は目的のサービスをオフにすることで、個人データの処理を制限します。
• 削除: Microsoft Cloud にある個人データを完全に削除します。
• エクスポート/受信 (サポート性): データ主体に、個人データまたは個人情報の電子コピー (機械可読フォーム) を提供します。

このガイドでは、Microsoft Cloud 上の個人データに関する DSR 要求に対応するために、データ管理者組織が取ることのできる技術的な手順を概説します。

欧州連合一般データ保護規則 (GDPR) やカリフォルニア州消費者プライバシー法 (CCPA) などのデータ主体の権利の詳細については、カリフォルニア州消費者プライバシー法をご覧ください をご覧ください。

コントローラーが責任を果たすためのこのガイドの活用方法

このガイドでは、GDPR に基づいて権利を行使するデータ主体からの要求に応じて Microsoft Cloud 内のデータを検索し、対処するのに役立つマイクロソフトの製品、サービス、管理ツールの使用方法について、2 つのパートに分けて説明します。 最初の部分では、顧客データに含まれる個人データを取り上げます。 続いて、システムで生成されたログに記録された、仮名化された個人データについて説明します。

• パート 1: カスタム データに含まれる個人データの DSR リクエストに応答するこのガイドのパート 1 では、オンライン サービスに提供した顧客データの一部として処理される Dynamics 365 Project Operations (サービスとしてのソフトウェア) 個人データにアクセス、修正、制限、削除、およびエクスポートを実行する方法について説明します。
• 第 2 部: 仮名化データのDSR要求への対応: Dynamics 365 Project Operations を使用すると、Microsoft はサービスを提供するためにいくつかの情報 (このドキュメントではシステム生成ログと呼びます) を生成します。 この情報は、システム内でのエンドユーザーのアクションを識別するために、エンドユーザーが残した使用状況の記録に限定されます。 このデータは、追加情報を使用せずに特定のデータ主体に基づくことはできませんが、一部は GDPR にしたがって個人データと見なされる場合があります。 このガイドのパート 2 では、Dynamics 365 Project Operations によって生成されたシステム生成ログへのアクセス、削除、およびエクスポートを実行する方法について説明します。

データ主体の権利調査の準備

データ主体が権利を行使して要求を行う場合、次の点を考慮してください:

• データ主体が要求の一部としてユーザーに提供した情報を使用して、従業員、顧客、またはベンダーなどの個人およびロールを正しく特定します。 この情報は名前、従業員 ID または顧客番号、またはその他の ID である場合があります。
• 要求の日時を記録します。 (30 日以内に要求を完了します。)
• 要求が、データ主体の要求の承諾または拒否に関する組織の要件を満たしていることを確認します。 たとえば、要求を実行することで他の法的、財務的、または規制上の義務に抵触しないか、または他者の権利や自由を侵害しないかを確認する必要があります。
• 要求に関連する情報があることを確認します。

パート 1: 顧客データの DSR ガイド

顧客データに対する DSR の実行

マイクロソフトは、Azure ポータルを通じて、また特定のサービス (製品内エクスペリエンスとも呼ばれる) の既存のアプリケーション プログラミング インターフェイス (API) またはユーザー インターフェイス (UI) を介して直接、特定の顧客データにアクセスし、削除およびエクスポートする機能を提供します。 Dynamics 365 Project Operations のこのような製品内エクスペリエンスの詳細については、このガイドで説明します。

注意

Dynamics 365 Project Operations は、Dataverse、財務および運用のアーキテクチャ、またはその両方を使用できる複数の 展開タイプ があります。 展開の種類によって、DSR 要求プロセスは異なる場合があります。

検出

DSR 要求に対応するにあたっての最初の手順は、要求の目的とされている個人のデータを検索することです。 問題の個人データの検索および確認 というこの最初の手順により、DSR 要求を受け入れるか拒否するかの選択をするにあたって、DSR 要求が組織の要件を満たしているかどうかを判断することが容易になります。 たとえば、問題となっている個人データを特定および確認した後で、その要求が組織の要件を満たしていないと判断する可能性があります。なぜなら、承諾することは他のユーザーの権利と自由に悪い影響を与える可能性があります。

データを検索した後、データ サブジェクトによる要求を満たす特定のアクションを実行できます。

Dataverse は、高度な検索やレコードの検索など、レコード内の個人データを検索するための複数の方法を提供します。 これらの機能により、個人データを特定 (検索) することができます。

• 高度な検索
• 複数のレコードタイプを横断するレコードの検索

財務と運用アーキテクチャには、顧客データを検索する方法がいくつか用意されています。 テナント管理者は、顧客データを検索するために次のアクションを実行できます:

• 個人データを迅速に発見できるように顧客データを整理するようにしてください。 この目的のためにデータインベントリを分類する方法を参照してください。
• 担当者検索レポート を使用して、個人データを検索および収集します。 新しいエンティティを作成または既存のエンティティを拡張して、 担当者検索レポートを拡張します。
• 検索機能とフィルター機能を使用して特定の個人データを検索し、そのデータを Microsoft Office のエクスポート機能を使用してエクスポートするか、ブラウザーの拡張機能を使用して PDF に印刷します。
• 個人データを検索してエクスポートするカスタム フォームを作成します。
• 認証された顧客が個人データを見ることを可能にする外部ポータルまたは Web サイトを作成します。

アクセス

DSR に応じる可能性のある個人データを含む顧客データを見つけた後、どのデータをデータ対象者に提供するかは、ユーザーとそのの組織が決定します。 実際の文書のコピー、適切に削除されたバージョン、または共有することが適切であると判断した部分のスクリーンショットを提供することができます。 アクセス要求に対するこれらの回答のそれぞれについては、回答データを含むドキュメントまたはその他の品目のコピーを取得する必要があります。 データ主体にコピーを提供する場合、他のデータ主体に関する個人情報や機密情報を削除または削除する必要がある場合があります。

Dataverse 内の顧客データは、包括的なエンティティ エクスポート機能を使用してエクスポートできます。 データの移植要求を容易にするために、顧客データを静的な Excel ファイルにエクスポートすることができます。 Excel を使用して、ポータビリティ要求に含める個人データを編集し、.csv や .xml などの一般的に使用される機械可読形式で保存することができます。 レコードは、Microsoft Dataverse Web API 経由でエクスポートすることもできます。

財務と運用アーキテクチャの顧客データは、包括的なエンティティエクスポート機能を使用してエクスポートできます。 データ管理および統合エンティティ により、テナント管理者は提供されたエンティティを使用したり、新しいエンティティを作成したり、既存のエンティティを拡張して、データのインポートおよびデータ エクスポート ジョブ を通じて、Excel またはその他の一般的な形式に個人データを繰り返しデータ エクスポートできるようになります。 あるいは、多くのリストを静的な Excel ファイルにエクスポートして、データの移植性要求を容易にすることもできます。 顧客データが Excel にエクスポートされたら、ポータビリティ リクエストに含める個人データを編集し、.csv や .xml などの一般的に使用される機械可読形式でファイルを保存します。 また、個人データとして分類したデータをデータ対象者に提供するために、人名検索レポートを使用することも検討できます。

修正

データ主体から組織のデータに存在する個人データの修正を要求された場合、管理者と組織は要求に応えるのが適切かどうかを判断する必要があります。 データの修正には、ドキュメントまたは他の種類のアイテムに含まれる個人データの編集、改訂、削除などの操作が含まれる場合があります。

Dataverse は、不正確または不完全な顧客データの修正、または顧客データを消去できる以下の方法を提供します:

• 「検出」セクションに記載されている機能を使用して顧客データを検索し、Dataverse 内で直接データを編集します。 編集は単一の行レベルで完了することも、複数の行を直接変更することもできます。
• 複数のレコードを一括編集することで、Microsoft Office アドインを使ってデータを Excel にエクスポートし、変更を加えた後、Excel から Dataverse にインポートすることができます。

財務および運用アーキテクチャではカスタマイズ ツールも使用できますが、決定と実装はお客様の責任となります。

ビジネストランザクションのエントリの変更に関する簡単なメモ

一般元帳、顧客元帳、税務元帳のエントリなどのトランザクション レコードは、エンタープライズ リソース プランニング (ERP) システムの整合性にとって不可欠です。 このデータは通常、財務法 (税法など)、詐欺防止 (セキュリティ監査証跡)、または業界認定への準拠のために "現状のまま" 保たれる金融またはその他の取引の一部である個人データです。 そのため、Dynamics 365 Project Operations ではこのようなレコードのデータを変更することを制限しています。

制限

データ サブジェクトが個人データの処理を制限することを要求する場合があります。

データ主体から顧客データの処理を制限する要請を受けた場合、オンラインサービスから該当する顧客データを簡単に抽出し、クラウド アプリケーションが提供する処理機能から隔離された別のコンテナ (オンプレミスのストレージまたはデータ分離機能を備えた別のWeb サービス) に保存することができます。

Delete

組織の顧客データから個人データを削除することによる "忘れられる権利" は、GDPR での重要な保護です。 個人データの削除には、システムによって生成されたログが含まれ、監査ログ情報は含まれません。

データ対象が顧客データの削除を要求した場合、それをするためのいくつかの方法があります。

• Dataverse で複数のレコードを一括編集することで、Microsoft Office アドインを使用してデータを Excel にエクスポートし、変更を加えた後、Excel からオンライン サービスに修正データをインポートすることができます。
• 任意のフィールドに保存されている顧客データを削除するには、削除するデータを特定し、対象の顧客データを含むデータ要素を手動で削除します。 たとえば、データの対象者を代表する連絡先のレコードや、個人データを含むその他のレコードを物理削除することができます。

また、財務と運用アーキテクチャ上では、カスタマイズ ツールを使用して顧客データを消去/修正することもできます。

テナントからユーザーを削除するには、テナント管理者である必要があります。

Export

"データ ポータビリティの権利"により、データ主体は別のデータ コントローラーに送信できる電子形式 (つまり、"構造化された、一般的に使用される、コンピューターによる読み取りが可能で相互運用可能な形式") で、個人データのコピーを要求できます。

データ ポータビリティ要求に応えるために、包括的なエンティティ エクスポート機能を使用して、Dataverse (欠落している単語またはフレーズ) の顧客データをエクスポートできます。 データの移植要求を容易にするために、顧客データを静的な Excel ファイルにエクスポートすることができます。 Excel を使用して、ポータビリティ要求に含める個人データを編集し、.csv や .xml などの一般的に使用される機械可読形式で保存することができます。

財務と運用アーキテクチャは、データのインポートおよびデータ エクスポート ジョブ を通じて、Excel またはその他の一般的な形式に個人データを繰り返しデータ エクスポートできるようになるテナント管理者は提供されたエンティティを使用したり、新しいエンティティを作成したり、既存のエンティティを拡張して、データ管理および統合エンティティ によりを提供します。 あるいは、多くのリストを静的な Excel ファイルにエクスポートして、データの移植性要求を容易にすることもできます。 このようにして顧客データを Excel にエクスポートすると、ポータビリティ要求に含める個人データを編集し、.csv や .xml などの一般的に使用される機械可読形式でファイルを保存することができます。

人物検索レポートは、個人データとして分類したデータをデータ対象者に提供するために使用できます。

テナントからユーザー データをエクスポートするには、テナント管理者である必要があります。

パート 2: システムによって生成されたログ

マイクロソフトはまた、GDPR の "個人データ" の広範な定義に基づいて個人情報とみなされる可能性のあるシステム生成ログにアクセスし、エクスポートし、削除する機能も提供します。GDPR に基づいて個人情報とみなされる可能性のあるシステム生成ログの例は次のとおりです。

• ユーザー活動ログなど、製品およびサービスの使用状況データ
• ユーザーによる検索要求およびクエリ データ
• 製品のシステム機能として製品およびサービスによって生成されたデータ、およびユーザーまたはシステムによる対話

重要

システムによって生成されたログ データの制限または訂正を行う機能はサポートされていません。 システムが生成したログのデータは、マイクロソフトのクラウド内で行われた事実のアクションおよび診断データを構成するものであり、このようなデータを変更すると、アクションの履歴レコードが損なわれ、不正行為やセキュリティのリスクが高まる可能性があります。

システム生成ログに対する DSR の実行

• Dynamics 365 Project Operations の システム生成ログに対するデータ主体の権利要求プロセス