データ保護への影響評価: Dynamics 365および Power Platform を使用したデータ コントローラーのガイダンス
一般データ保護規則 (GDPR) の下では、データ管理者は「自然人の権利と自由を危険にさらす可能性が高い」操作処理に関してデータ保護影響評価 (DPIA) を作成することが必要です。 Dynamics 365と Power Platform には、必ずしもそれを使用するデータ コントローラーによる DPIA の作成が必要なものはありません。 代わりに、DPIA が必要かどうかは、データ コントローラーが Dynamics 365 または Power Platform をデプロイ、構成、および使用する方法の詳細とコンテキストに依存します。 いずれの場合も、DPIA はプロジェクトの早い段階で開始し、計画と開発プロセスと並行して実行する必要があります。
このドキュメントの目的は、データ コントローラーにDynamics 365と Power Platform に関する情報を提供することです。この情報は、DPIA が必要かどうかを判断するのに役立ち、必要な場合は含める詳細を判断するのに役立ちます。
注:
Microsoft はこのドキュメントでいかなる法的助言も提供いたしません。 このドキュメントは、情報提供のみを目的として提供されています。 お客様は、プライバシー責任者 (および/またはデータ保護責任者 (DPO) (指定されている場合) や法律顧問やアドバイザーと協力して、Microsoft Dynamics 365、Power Platform、またはその他の Microsoft オンライン サービスの使用に関連する DPIA の必要性と内容を判断することをお勧めします。
パート 1: DPIA が必要であるかどうかの判断
GDPR の第 35 条では、データ管理者がデータ保護影響評価 '[w]ここでは、特に新しいテクノロジを使用した処理の種類を作成し、処理の性質、範囲、コンテキスト、および目的を考慮する必要があります。これは、自然人の権利と自由に対するリスクが高くなる可能性があります。 さらに、高リスクを示す特定の要因を設定します。次の表で説明します。DPIA が必要かどうかを判断する場合、データ コントローラーは、コントローラーの特定の実装と、Dynamics 365と Power Platform の使用に照らして、これらの要因を他の関連要因と共に考慮する必要があります。
| リスク要素 | Dynamics 365および Power Platform に関する関連情報 |
|---|---|
| 自然人に関する、個人的側面の体系的かつ広範囲な評価のうち、プロファイリングを含む自動処理に基づき、その評価に基づいてその自然人に関する法的影響またはそれに類する重大な影響をその自然人に与える評価を行う場合。 | 一部のDynamics 365および Power Platform サービスでは、リードや営業案件のスコア付けなどのデータの特定の自動処理が実行されます (たとえば、販売が発生する可能性を予測します)。 ただし、Dynamics 365および Power Platform サービスは、個人に法的または同様に大きな影響を与える決定に基づく処理を実行するようには設計されていません。 ただし、Dynamics 365と Power Platform は高度にカスタマイズ可能なサービスであるため、データ コントローラーは、そのような処理に使用するように構成する可能性があります。 データ コントローラーは、Dynamics 365と Power Platform の使用状況に基づいてこの決定を行う必要があります。 |
| 大規模な 1 つの特殊なカテゴリのデータ (人種的または民族的な起源を明らかにする個人データ、政治的意見、宗教的または哲学的信念、または労働組合のメンバーシップ、および自然人を一意に識別するために使用される遺伝子データ、生体認証データ、健康に関するデータ、自然人の性生活や性的指向に関するデータ) の処理 または、刑事上の有罪判決および犯罪に関連する個人データ。 | Dynamics 365および Power Platform サービスは、特殊なカテゴリの個人データを大規模に処理するようには設計されていません。 ただし、データ コントローラーでは、Dynamics 365と Power Platform を使用して、列挙された特殊なカテゴリのデータを処理できます。 さらに、Dynamics 365および Power Platform は、お客様が個人データの特別なカテゴリを含む個人データを追跡または処理できるようにする、高度にカスタマイズ可能なサービスです。 ただし、データ処理者である Microsoft にはそのような利用を制御する能力はなく、そのような利用に関する情報もほとんど持っていません。 |
| 誰でも立ち入ることのできる場所において大規模な体系的監視を行う場合 | Dynamics 365および Power Platform は、大規模にこのような監視を実施または容易にするようには設計されていません。 ただし、データ管理者が Office 365 を使用して、このような監視から得られたデータを処理する可能性があります。 Dynamics 365と Power Platform は高度にカスタマイズ可能なサービスであり、お客様は監視データを含むあらゆる種類のデータを追跡または処理できます。 データ プロセッサとして、Microsoft はそのような使用を制御せず、そのような使用に関する洞察がほとんどまたはまったくありません。 データ コントローラーのデータの適切な使用を判断するには、データ コントローラーに依存しません。 |
注:
1「大規模」な処理という条件に関して、GDPR の前文 91 では次のように説明しています。「個人データの処理は、処理が個々の医師、他の医療専門家、または弁護士の患者または依頼主に関するものである場合、大規模な処理とはみなされない。 その場合、データ保護影響評価は必須ではない」。
パート 2: DPIA の内容
GDPR の第 35 条 7 項では、データ保護影響評価で処理の目的と、想定される処理の体系的な説明が指定されていることを義務付けています。 包括的な DPIA の体系的な説明には、処理されるデータの種類、データの保持期間、データの場所と転送場所、データにアクセスできるサード パーティなどの要因が含まれる場合があります。 理想的には、データ フロー図で説明がサポートされます。 また、DPIA には次のものを含める必要があります:
- 目的に関連した処理操作の必要性と比例性の評価。
- 自然人の権利と自由に対するリスクの評価。そして
- データ主体およびその他の関係者の権利と正当な利益を考慮して、個人データの保護を確保し、GDPR への準拠を実証するためのセーフガード、セキュリティ対策、メカニズムなど、リスクに対処するために使用される措置。
次の表に、これらの各要素に関連するDynamics 365と Power Platform に関する情報を示します。 パート 1 と同様に、データ コントローラーは、データ コントローラーの特定の実装と、Dynamics 365または Power Platform の使用に関連するその他の関連要素と共に、以下に示す詳細を考慮する必要があります。
| DPIA の要素 | Dynamics 365および Power Platform に関する関連情報 |
|---|---|
| 処理の目的 | Dynamics 365と Power Platform を使用してデータを処理する目的は、データを実装、構成、および使用するコントローラーによって決定されます。 製品条項および Microsoft 製品およびサービス データ保護補遺 (DPA) で指定されている場合、Microsoft はデータ プロセッサとして、顧客の文書化された指示に従って顧客にオンライン サービスを提供するために顧客データを処理します。 製品使用条件および製品およびサービス データ保護補遺 (DPA) で詳しく説明されているように、Microsoft は個人データを使用して、限られた一連の業務をサポートします。 Microsoft は、これらの特定の業務をサポートするために、個人データの処理の管理者です。 一般に、Microsoft は、業務に使用する前に個人データを集計し、特定の個人を特定する Microsoft の機能を削除します。 Microsoft は、業務に必要な処理をサポートする、最も識別できない形式で個人データを使用します。 Microsoft は、プロファイリングや広告、または同様の商用目的で、顧客データまたはそこから派生した情報を使用しません。 Dynamics 365は、複数の個別のオンライン サービスを備え、それぞれが個別の処理目的を持つ処理用のオンライン プラットフォームです。 各Dynamics 365 サービスオファリングの説明については、こちらの Power Platform サービスオファリングをご覧ください。 Dynamics 365と Power Platform は、お客様にオンライン サービスを提供するためにのみ個人データを処理します。これには、それらのサービスの提供と互換性のある目的が含まれます。 |
| 処理される個人データのカテゴリ |
顧客データ: お客様が Microsoft に提供する、または Microsoft オンライン サービスを使用して顧客に代わって提供される、テキスト、サウンド、ビデオ、画像ファイル、ソフトウェアを含むすべてのデータ。 保存、処理、およびカスタマイズするために顧客がアップロードするデータも含まれます。 サービス生成データ: 使用データやパフォーマンス データなど、サービスを運用するときに Microsoft が生成するデータ。 これらのデータのほとんどには、Microsoft によって生成された、仮の識別子が含まれています。 Professional Services データ: Microsoft に提供されるすべてのテキスト、サウンド、ビデオ、画像ファイル、またはソフトウェアを含むすべてのデータ。お客様 (またはお客様が Microsoft が製品から取得することを承認する)、または Microsoft がプロフェッショナル サービスを取得するために Microsoft との契約を通じて取得または処理されたデータ。 Dynamics 365および Power Platform によって処理されるデータの詳細については、「製品使用条件」および「Microsoft 製品およびサービスデータ保護補遺」を参照してください。 |
| データ保持 | Microsoft は、お客様の指示または製品および製品およびサービス データ保護補遺 (DPA) の条件に従って、すべての顧客データが削除または返却されるまで、お客様のサービスを使用する権利の期間、顧客データを保持します。 顧客のサブスクリプションの期間中、顧客は各オンライン サービスに格納されている顧客データにアクセスして抽出することができます。 Microsoft は通常、お客様がデータを抽出できるように、オンライン サービスに保存されている顧客データを、お客様のサブスクリプションの有効期限または終了後 90 日間、制限付き関数アカウントに保持します。 90 日間の保有期間が終了すると、Microsoft は顧客アカウントを無効にし、顧客データを削除します。 顧客は、Dynamics 365および Power Platform データ主体の権利ガイドに記載されている機能を使用して、いつでも顧客データと仮名データを削除できます。 |
| 個人データの保存場所と移転 | お客様は、 製品およびサービス データ保護補遺 (DPA) に記載されている特定の例外に従って、指定された地理的リージョン内で保存中の顧客データをプロビジョニングできます。 サービスの展開とデータ所在地の詳細については、Microsoft セキュリティ センターと、Dynamics 365の可用性とデータの場所でのデータの場所と可用性、および Microsoft Power Platform の国際的な可用性に関するDynamics 365と Power Platform に関する記事を参照してください。 欧州経済地域、スイス、および英国から転送された個人データについては、Microsoft は、GDPR の第 46 条に記載されているように、第三国または国際organizationへの個人データの転送が適切な保護措置を受けられるようにします。 プロセッサおよびその他のモデル契約に関する標準契約条項に基づく Microsoft のコミットメントに加えて、Microsoft は引き続き データ プライバシー フレームワークの条項に従います。 |
| 目的に対する処理作業の必要性および比例性の評価 | このような評価は、データ管理者のニーズと処理の目的に応じて異なります。 Microsoft は、サービスの提供をサポートするために業務をサポートするために Microsoft が使用する個人データの集計などの対策を講じ、サービスを使用するデータ主体に対するそのような処理のリスクを最小限に抑えます。 Microsoft により実行される処理に関して、このような処理はサービスをデータ管理者に提供するために必須であり、またこの目的に合致しています。 |
| データ主体の権利および自由に関するリスクの評価 | Dynamics 365または Power Platform の使用によるデータ主体の権利と自由に対する主なリスクは、データ コントローラーがデータ コントローラーを実装、構成、および使用する方法とコンテキストによって異なります。 Microsoft は、業務をサポートするために使用される個人データの集計などの対策を講じ、サービスを使用するデータ主体に対するそのような処理のリスクを軽減します。 ただしどのサービスでも、サービスで保持される個人データには、不正なアクセスや不注意による漏洩のリスクがあります。 Microsoft がこのようなリスクに対処するために講じる措置については、以下で説明します。 |
| 第三者の副処理者とのデータの共有 | Microsoft は、お客様とテクニカル サポート、サービス メンテナンス、その他の操作などの機能をサポートするために、(GDPR で定義されている) サブプロセッサーとして機能する第三者とデータを共有します。 Microsoft が顧客データ、サポート データ、または個人データを転送するサブプロセッサーは、Microsoft と書面による契約を締結します。これは、製品使用条件および製品およびサービス データ保護補遺 (DPA) の条項に劣らず保護されます。 Microsoft のコア オンライン サービスの顧客データを共有するすべての第三者の二次処理者は、オンライン サービス協力会社のリストに含まれています。 |
| データ主体の権利 | Microsoft は、処理者として活動するとき、お客様 (データ管理者) がそのデータ主体の個人データを利用できるようにし、GDPR に基づいて権利を行使するときデータ主体の要求を満たすことができるようにします。 Microsoft は、製品の機能とプロセッサとしての役割に一致する方法で行います。 Microsoft がお客様のデータ主体から GDPR に基づく 1 つ以上の権利の行使を求める要求を受け取った場合、データ主体をリダイレクトして直接データ 管理者に要求を行います。 Dynamics 365および Power Platform の機能を使用してデータ主体の権利をサポートする方法については、「Dynamics 365および Power Platform データ主体要求ガイド」を参照してください。 Microsoft は一般に、当社の業務に使用する前に個人データを集計し、集計内の特定の個人の個人データを特定する立場にありません。 これにより、個人のプライバシー リスクが軽減されます。 Microsoft が個人を特定できない場合、データ主体のアクセス、消去、移植性、処理の制限または異議に対するデータ主体の権利をサポートできません。 |
| リスクに対処するために予定された対策。個人データの保護を確保して GDPR の遵守を証明するための、データ主体および関連する他者の権利および正当な利益に配慮した保護措置、安全対策、および仕組みを含みます | Microsoft は、顧客データのセキュリティ保護に取り組んでいます。 Microsoft が取るセキュリティ対策については、「 製品利用規約」で詳しく説明されています。 Microsoft は厳しいセキュリティ基準と業界をリードするデータ保護方法論に準拠しています。 Microsoft は、新たな脅威に対応するためにシステムを継続的に改善しています。 クラウド ガバナンスとプライバシープラクティスの詳細については、 セキュリティ センターのクラウドでのコンプライアンスの管理 に関するページを参照してください。 マイクロソフトは、処理する個人データを保護するために、適切な技術的対策および組織的対策を実施しています。 これらの対策には、内部のプライバシー ポリシーとプラクティス、契約上のコミットメント、国際および地域の標準認定が含まれますが、これらに限定されません。 詳細については、 セキュリティ センターの [プライバシー] ページを参照してください。 Dynamics 365および Power Platform によって実装されるセキュリティに関する Microsoft が管理するコントロール (技術およびビジネス プロセスコントロール) の詳細な一覧については、サービス 信頼ポータルを参照してください。 さらに、Microsoft がデータ プロセッサとして機能する場合、データ プロセッサに適用される他のすべての GDPR 義務に準拠します。 Microsoft は、事業運営のために個人データを処理する場合、データ 管理者に適用される GDPR 義務に準拠します。 |