Power Pages 顧客データに関するデータ主体の権利 (DSR) 要求への対応
欧州連合 (EU) の一般データ保護規則 (GDPR) は、データに関する重要な権利を個人に与えています。 GDPR の詳細については、一般データ保護規則の概要をご覧ください。 このリソースには、Microsoft 製品およびサービスを使用する際に GDPR に基づく義務を果たすのに役立つ概要、重要な用語、アクション プラン、準備チェックリストが含まれています。
GDPR の詳細、マイクロソフトが GDPR をどのようにサポートしているか、GDPR の影響を受ける顧客について解説します:
Microsoft セキュリティ センター は、データ保護影響評価、データ サブジェクト要求、データ侵害の通知など、GDPR の説明責任を果たすうえで役立つ一般情報、コンプライアンスのベスト プラクティス、ドキュメントを提供します。
サービス トラスト ポータル は、Microsoft サービスを活用して GDPR への準拠に対応する方法について、情報を提供します。
この記事では、Power Pages を使用する際にプライバシー コンプライアンスをサポートするために取ることができる手順の例を示します。 マイクロソフトの製品、サービス、管理ツールを使用して、コントローラのお客様が DSR 要求に応じてマイクロソフトのクラウド内の個人データを検索、アクセス、および操作できるようにする方法について解説します。
以下のアクションについては、この記事に記載されています:
| Action | プロパティ |
|---|---|
| 検出 | 検索および発見ツールを使用して、DSR 要求の対象となる可能性のある顧客データをより簡単に見つけます。 応答性を高める可能性のあるドキュメントが収集されたら、次の 1 つ以上の DSR アクションを実行して要求に応答してください。 あるいは、当該要求が DSR の要求に対応するにあたっての組織のガイドラインに適合していないと判断することもできます。 |
| アクセス | マイクロソフト クラウドに所在する個人データを取得し、要求があれば、データ対象者がそのデータのコピーを利用できるようにします。 |
| 修正 | マイクロソフトのクラウドに所在する個人データを取得し、要求があれば、データ対象者がそのデータのコピーを利用できるようにします。 |
| 制限 | さまざまなオンラインサービスのライセンスを削除するか、可能であれば希望するサービスをオフにすることで、個人データの処理を制限します。 また、Microsoft クラウドからデータを削除しても、オンプレミスまたは別の場所で保持することができます。 |
| Delete | マイクロソフト クラウドに所在する個人データを永久に削除します。 |
| Export | データ対象者に個人データの電子コピー (機械可読形式) を提供します。 |
検出
DSR 要求に対応するにあたっての最初の手順は、要求の目的とされている個人のデータを検索することです。 まず、リクエストが行われたユーザーのタイプを決定する必要があります。
問題となっている個人データを見つけ、レビューするステップは、DSR 要求が、DSR 要求を受け入れるか拒否するかの組織の要件を満たしているかどうかを判断する際に活用できます。 たとえば、問題の個人データを検討した結果、その要求は他者の権利と自由に悪影響を及ぼす可能性があるため、組織の要件を満たしていないと判断する場合があります。
ステップ 1: データを要求するユーザーのタイプを特定する
Power Pages サービスにアクセスするユーザーには 2 種類あります。
| ユーザーの種類 | Power Pages サービスにアクセスするために使用したエクスペリエンス |
|---|---|
| 作成者/管理者 | Power Pages メイカースタジオ、Power Platform 管理センター、Power Pages ポータル管理アプリ、Power Pages Management アプリ、 Power Pages VS Code 拡張機能、Power Pages 管理 API、Dataverse API |
| Web サイトのユーザー/訪問者 | Power Pages サービスを使用してホストされているウェブサイト |
ステップ 2: Power Pages ユーザーの個人データを検索する
ユーザーのタイプを特定したら、特定のユーザータイプの個人データを含む Power Pages リソースのタイプを確認します:
作成者/管理者
| 個人データを含むリソース | パーパス |
|---|---|
| システムが生成するテレメトリのログ | サービス内の履歴イベントをキャプチャするログ機能。 |
| Environment | 環境は、組織のビジネス データ、アプリ、フローを保存、管理、共有する場所です。 詳細については、Power Platform 環境の概要 を参照してください。 |
| Power Pages 作成者/管理者の設定 | Power Pages は、Maker Portal と管理者ポータルのエクスペリエンスを提供するために使用する、いくつかのユーザー基本設定と設定を保存します。 |
Userユーザー
| 個人データを含むリソース | パーパス |
|---|---|
| システムが生成するテレメトリのログ | サービス内の履歴イベントをキャプチャするログ機能。 |
| Environment | 環境は、組織のビジネス データ、アプリ、フローを保存、管理、共有する場所です。 詳細については、Power Platform 環境の概要 を参照してください。 |
このエクスペリエンスを使用し、これらの種類のリソースに対する特定ユーザーの個人データを検索する方法に関する詳細なステップについては、データ主体の権利 (DSR) 要求 (DSR) 要求に応答し、Power Pages 顧客データをエクスポートする を参照してください。
データを検索した後、データ サブジェクトによる要求を満たす特定のアクションを実行できます。
修正
データの対象者が組織のデータに存在する個人データの修正を依頼した場合、その依頼を受け入れることが適切であるかどうかは、あなたとあなたの組織が判断しなければなりません。 データの修正には、ドキュメントまたはその他の種類のアイテムの個人データを編集、編纂、削除することが含まれます。
Microsoft Entra を使用して、Power Apps 内のユーザーの ID (個人データ) を管理できます。 企業のお客様は、特定の Microsoft サービスの性質に応じて、限定的な編集機能を使用して DSR の修正要求を管理します。 マイクロソフトはデータ処理の提供者として、ログを修正する機能を実装してしていません。これらのログは事実に基づいた処理を反映するものであり、マイクロソフトのサービス内におけるイベントの履歴記録を構成しているためです。
制限
データ サブジェクトが個人データの処理を制限することを要求する場合があります。 マイクロソフトは、既存のアプリケーション プログラミング インターフェース (API) とユーザー インターフェース (UI) の両方を提供しています。 これらのエクスペリエンスにより、企業顧客の Power Platform 管理者に、データ エクスポートとデータ削除を組み合わせた DSR 管理の機能が提供されます。 顧客の要求には次が含まれます:
- 次を含むユーザーの個人データの電子コピーをエクスポートします:
- accounts
- システムによって生成されたログ
- 関連ログ
- Microsoft のシステム内に存在する取引先企業および関連データを削除します。
エクスポート
「データポータビリティの権利」とは、データ主体が、他のデータ管理者に送信可能な電子形式 (構造化され、一般的に使用され、機械で読み取り可能で、相互運用可能な形式) による個人データのコピーを要求できる権利です。
詳細については、Power Pages 顧客データのエクスポートに対するデータ主体の権利 (DSR) 要求への応答を参照してください。
Delete
組織の顧客データから個人データを削除することによる "忘れられる権利" は、プライバシーの重要な保護です。 個人データの削除には、システムによって生成されたログが含まれ、監査ログ情報は含まれません。
Power Apps を使用することで、ユーザーは組織の日常業務の重要な一部である基幹業務アプリケーションを構築できます。 ユーザーが組織から離脱する場合、ユーザーが作成した特定のデータやリソースを手動で確認し、削除するかどうかを判断する必要があります。 その他の顧客データは、ユーザーのアカウントが Microsoft Entra ID から削除されるたびに自動的に削除されます。
詳細については、Power Pages 顧客データの削除に対するデータ主体の権利 (DSR) 要求への応答を参照してください。