データのプライバシーと保護 – データとリスクを評価する
Microsoft Priva と Microsoft Purview を使用してデータのプライバシーとデータ保護を管理する 手順 1 へようこそ。 組織のデータとリスクを評価します。
データのプライバシーの取り組みを始める際には、まず、保有する個人データの種類、データの量、格納場所、時間の経過に伴う流れについて理解する必要があります。 データの理解を始めるのに最適な場所は、Microsoft Priva です。 次に、準拠する必要がある規制を確認します。 Microsoft Purview コンプライアンス マネージャーは、組織に適用される可能性が最も高いデータ プライバシー規制を特定するのに役立ちます。
必要なアクション
アクション | 説明 | 詳細を取得する |
---|---|---|
Priva を使用して、組織の個人データを理解します。 | Priva は、組織の Microsoft 365 環境を評価して、機密情報の種類と量と保存場所を決定します。 その後、組織のプライバシーの問題と関連するリスクを理解するのに役立つ分析情報と主要な分析情報が提供されます。 Priva の使用を開始するには、ユーザーに適切なライセンスが付与され、必要なロールがあることを確認します。 また、Microsoft 365 監査ログが有効になっていることを確認することをお勧めします。 開始する前に、いくつかの初期設定を行うことをお勧めします。 プライバシー リスク管理ポリシーに慣れている間に、機密データの確認中に保護を強化するために匿名化を有効にし、ユーザー通知メールをオフにする方法については、「Priva の設定」をご覧ください。 両方とも後で有効にすることができます。 |
Priva の詳細 Priva ライセンスガイダンスを確認する Priva のユーザーアクセス許可を設定する Priva の設定を確認する 組織内の個人データを検索して視覚化する |
コンプライアンス マネージャーにアクセスして、コンプライアンス体制を評価します。 | 次の手順は、組織に適用されるデータ保護規制を把握して、義務が何であるかを把握することです。 新しく更新された法律や規制に対応することは、それ自体がフルタイムの仕事になる可能性があり、多くの組織は、コンプライアンスの状態を監視、更新、レポートするための手動プロセスに苦労しています。 コンプライアンス マネージャーは、組み込みのコントロール マッピング、バージョン管理、継続的なコントロール評価を通じて、コントロールの実装の複雑さを管理するのに役立ちます。 この自動化と継続的な監視は、規制と認定を最新の状態に保ち、監査者への報告を容易にするのに役立ちます。 コンプライアンス マネージャーを使用して、現在の環境をすばやく評価し、Microsoft データ保護ベースライン評価に基づいて初期コンプライアンス スコアを取得します。 そこから、マルチクラウド環境をカバーする評価を作成し、組織に最も関連する規制を追跡できます。 |
コンプライアンス マネージャーに関する詳細情報 Premium Assessments 試用版を開始する コンプライアンス マネージャーでのマルチクラウド サポートについて説明します |
初期セットアップの最適化
Microsoft Priva の開始から 48 から 72 時間以内に、組織の個人データの表示に関する分析情報の表示を開始します。 [Priva の概要] ページには、組織に存在する個人データの量、存在する場所、移動方法に関する分析情報が表示されます。 これらの分析情報は、新しいデータが取り込まれると動的に更新されます。 時間の経過と共に、Microsoft 365 環境での個人データの進化をよりよく理解できるため、問題をより迅速に特定し、リスクを特定して評価し、問題を解決するためのアクションを実行できます。 概要ページに表示されるデータについて詳しくは、こちらをご覧ください。
Purview コンプライアンス ポータルの左側のナビゲーションで、[プライバシー リスク管理] の下にある [データ プロファイル] を選択します。 このページでは、リポジトリ全体で検出されたすべての個人データ型を調べて文書化できます。 この情報に基づいて、懸念しているすべてのデータ型が正常に検出されたかどうかを判断できます。 不足している場合は、 カスタムの機密情報の種類 (SID) を作成 し、次の 24 時間から 48 時間以内にデータ プロファイル ページに戻ることができます。
Priva Privacy Risk Management には、データの露出超過、データ転送、データの最小化という 3 つのデータ処理ポリシーがあります。 ポリシーの種類の詳細については、このソリューションの手順 2 で詳しく説明します。 Priva の使用を開始すると、各ポリシーの種類の既定のバージョンが設定され、実行されます。 [ポリシー] ページの名前に [既定値] という単語が表示されます。
作業を開始するときに、既定のポリシーをオフにすることをお勧めします 。 これは、既定のポリシーでは、複数の分類グループ (プライバシー規制に基づくデータのセット) に基づいて個人データを監視するためです。これには、業界や地理的な場所とは関係ないさまざまな SID が含まれる可能性があります。 また、多数の誤検知が発生する場合もあります。 その結果、データ プロファイルにあまり関連性の低い大量のデータが表示され、分析情報に組み込まれる可能性があります。 最も関心のある個人データをより管理しやすい正確なビューを作成するには、最初にカスタマイズされたポリシーを設定することをお勧めします。 これにより、ポリシーのしくみを理解し、誤検知を監視する時間も与えられます。 ポリシーをテスト モードで実行し、必要なものを正確に追跡するように設定されるまで、その設定を微調整し続けることができます。
最初に概要ページとデータ プロファイル ページに表示されるデータの量に圧倒された場合は、既定のポリシーをオフにし、1 つ以上のカスタム ポリシーを設定すると、データ資産と現在のリスクのより正確で実行可能な画像が表示される可能性があります。
このガイダンスの手順 2 で最初のポリシーを設定する方法について説明します。