Power Apps 顧客データに対するデータ主体の権利 (DSR) 要求への応答
DSR 要求の概要
欧州連合 (EU) の一般データ保護規則 (GDPR) は、データに関する重要な権利を個人に与えています。 GDPRの概要については、 Microsoft Learn 一般データ保護規則 の概要 を参照してください。製品およびサービスを使用する際に、GDPRに基づく義務を果たすのに役立つ用語、アクション プラン、準備チェックリストが含まれています。 Microsoft
GDPRの詳細と、 Microsoft この活動と、この活動の影響を受けるお客様をどのようにサポートしているかについて知ることができます。
- Microsoft トラスト センター では、データ保護影響評価、データ主体の要求、データ侵害通知など、GDPRの説明責任に役立つ一般情報、コンプライアンスのベスト プラクティス、ドキュメントが提供されます。
- サービス トラスト ポータル では、 Microsoft サービスがGDPRへの準拠をどのようにサポートするかについての情報が提供されます。
この記事では、 Power Apps、 Power Automate、 Microsoft Dataverse を使用する際のプライバシー コンプライアンスをサポートするために実行できる手順の例を示します。 DSRリクエストに対する 応答 で、コントローラーの顧客がクラウド内の個人データを検索、アクセス、操作できるようにするために、製品、サービス、管理ツールを使用する方法を学習します。 Microsoft Microsoft
以下のアクションについては、この記事に記載されています:
検出 - 検索および検出ツールを使用して、DSR要求の対象となる可能性のある顧客データをより簡単に見つけます。 応答性を高める可能性のあるドキュメントが収集されたら、次の 1 つ以上の DSR アクションを実行して要求に応答してください。 あるいは、当該要求が DSR の要求に対応するにあたっての組織のガイドラインに適合していないと判断することもできます。
アクセス - クラウドに保存されている個人データを取得し、要求に応じてそのデータのコピーをデータ主体が利用できるようにします。 Microsoft
修正 - 該当する場合は、個人データに変更を加えたり、その他の要求されたアクションを実行したりします。
制限 - さまざまなオンライン サービスのライセンスを削除するか、可能な場合は必要なサービスをオフにして、個人データの処理を制限します。 また、クラウドからデータを削除し、オンプレミスの または別の場所に保持することもできます。 Microsoft
削除 - クラウドに保存されている個人データを完全に削除します。 Microsoft
エクスポート —個人データの電子コピー(機械可読形式)をデータ主体に提供します。
検出
DSR 要求に対応するにあたっての最初の手順は、要求の目的とされている個人のデータを検索することです。 この最初の手順「問題の個人データの検索および確認」により、DSR 要求を受け入れるか拒否するかの選択をするにあたって、DSR 要求が組織の要件を満たしているかどうかを判断することが容易になります。 たとえば、問題となっている個人データを特定および確認した後で、その要求が組織の要件を満たしていないと判断すると、他のユーザーの権利と自由に悪い影響を与える可能性があります。
ステップ 1: Power Apps ユーザーの個人データを検索する
以下は、特定のユーザーの個人データを含む Power Apps リソースの種類一覧です。
| 個人データを含むリソース | 目的 |
|---|---|
| 環境 | 環境とは、組織のビジネス データ、アプリ、フローを保存、管理、共有する場所を指します。 もっと詳しく知る |
| 環境アクセス許可 | ユーザーは環境のロールに割り当てられ、環境内における作成および管理特権が与えられます。 もっと詳しく知る |
| キャンバス アプリ / カスタム アプリ | プラットフォーム間のビジネス アプリは空のキャンバスを使用し、200 のデータ ソースに接続することができます。 もっと詳しく知る |
| キャンバス アプリのアクセス許可 | キャンバス アプリは、組織内でユーザーと共有できます。 もっと詳しく知る |
| Connection | コネクタにより使用され、API、システム、データベースなどへの接続に許可されます。 もっと詳しく知る |
| 接続のアクセス許可 | 特定の種類の接続は組織内のユーザーと共有できます。 もっと詳しく知る |
| カスタム コネクタ | Power Apps 標準コネクタを通してではなく、ユーザーが作成したカスタム コネクタによりデータ ソースにアクセスすることができます。 もっと詳しく知る |
| カスタム コネクタのアクセス許可 | カスタム コネクタは、組織内でユーザーと共有できます。 もっと詳しく知る |
| Power Apps ユーザーおよびユーザー アプリの設定 | Power Apps は、Power Apps ランタイムおよびポータル エクスペリエンスを配信するのに使用される、複数のユーザーの設定を保存します。 |
| Power Apps 通知 | Power Apps は、アプリが共有された時、および Dataverse のエクスポート操作が完了した時を含め、複数の種類の通知をユーザーに送信します。 |
| ゲートウェイ | ゲートウェイとは、ユーザーがインストールすることで、クラウド上にないデータソースと Power Apps 間で素早く安全なデータ転送を可能にするオンプレミス型のデータゲートウェイを意味します。 もっと詳しく知る |
| ゲートウェイのアクセス許可 | ゲートウェイは、組織内でユーザーと共有できます。 もっと詳しく知る |
| モデル駆動型アプリおよびモデル駆動型アプリのアクセス許可 | モデル駆動型アプリの設計は、アプリ開発へのコンポーネントを重視した手法です。 モデル駆動型アプリおよびユーザーのアクセス許可は、Dataverse データベース内のデータとして保存されます。 もっと詳しく知る |
Power Apps は特定のユーザーの個人データを検索するために、次のエクスペリエンスを提供します。
- ウェブサイトアクセス: Power Apps サイト および Microsoft 365 サービス信頼ポータル
- PowerShellアクセス: Power Apps コマンドレット ( アプリ作成者 および 管理者向け) および オンプレミスの ゲートウェイ コマンドレット
このエクスペリエンスを使用し、これらの種類のリソースに対する特定ユーザーの個人データを検索する方法に関する詳細なステップについては、データ主体の権利 (DSR) 要求 (DSR) 要求に応答し、Power Apps 顧客データをエクスポートする を参照してください。
データを検索した後、データ サブジェクトによる要求を満たす特定のアクションを実行できます。
ステップ 2: Power Automate ユーザーの個人データを検索する
Power Apps ライセンスには、常に Power Automate 機能が含まれています。 Power Apps ライセンスに含まれていることに加えて、Power Automate はスタンドアロン サービスとしても使用できます。
Power Automate サービスによって保存された個人データを検出する方法のガイダンスについては、Power Automate に対するデータサブジェクト要求への応答 を参照してください。
重要
管理者が Power Apps ユーザーに対してこのステップを完了することをお勧めします。
ステップ 3: Microsoft Copilot Studio ユーザーの個人データを検索する
Microsoft Copilot Studio に構築された Power Apps 機能。 Microsoft Copilot Studio は、スタンドアロン サービスとしても利用できます。
Microsoft Copilot Studio サービスによって保存された個人データを検出する方法のガイダンスについては、Microsoft Copilot Studio に対するデータサブジェクト要求への応答 を参照してください。
重要
管理者が Power Apps ユーザーに対してこのステップを完了することをお勧めします。
ステップ 4: Microsoft 365 管理センターでユーザーの個人データを検索する
Power Apps の一部のフィードバック メカニズムは、Microsoft 365 管理センターに統合されています。
Microsoft 365 管理センターに保存されたフィードバック データを確認する方法については、ユーザーのフィードバックを確認するにはどうすればいいですか? を参照してください。 Microsoft Entra グローバル管理者は、Microsoft 365 または Office ライセンスを必要とせずに、Microsoft 365 管理センター内でこのデータを管理できます。
重要
管理者が Power Apps ユーザーに対してこのステップを完了することをお勧めします。
ステップ 5: Dataverse 環境内のユーザーの個人データを検索する
特定の Power Apps 開発者プランを含む Power Apps ライセンスを使用すると、組織内のユーザーが Dataverse の環境を作成し、Dataverse でアプリを作成および構築できるようになります。 Power Apps 開発者プランは無料のライセンスで、ユーザーは個々の環境で Dataverse を試すことができます。 各 Power Apps ライセンスに含まれる機能については、Power Apps の価格設定 を参照してください。
Dataverse によって保存された個人データを検出する方法のガイダンスについては、Dataverse の顧客データに対するデータ主体の権利 (DSR) 要求への応答 を参照してください。
重要
管理者が Power Apps ユーザーに対してこのステップを完了することをお勧めします。
修正
データの対象者が組織のデータに存在する個人データの修正を依頼した場合、その依頼を受け入れることが適切であるかどうかは、あなたとあなたの組織が判断しなければなりません。 データの修正には、ドキュメントまたはその他の種類のアイテムの個人データを編集、編纂、または削除することが含まれます。
Microsoft Entra を使用して、Power Apps 内のユーザーの ID (個人データ) を管理できます。 エンタープライズのお客様は、特定のサービス内の限定された編集機能を使用して、DSR修正要求を管理できます。 Microsoft データ処理者として、 Microsoft システム生成ログは実際のアクティビティを反映し、 Microsoft サービス内のイベントの履歴記録を構成するため、システム生成ログを修正する機能は提供されません。
制限
データ サブジェクトが個人データの処理を制限することを要求する場合があります。 既存のアプリケーション プログラミング インターフェイス (API) およびユーザー インターフェース (UI) を提供します。 これらのエクスペリエンスにより、企業顧客の Power Platform 管理者に、データ エクスポートとデータ削除を組み合わせた DSR 管理の機能が提供されます。 顧客の要求。
次を含むユーザーの個人データの電子コピーをエクスポートします。
- 取引先企業
- システムによって生成されたログ
- 関連ログ
システム内にあるアカウントと関連データを削除します。 Microsoft
Export
データ可搬性の権限では、対象となるデータが、他のデータ コントローラに送信できる個人データを電子フォーマットで要求することができます(電子フォーマットは、構造化され、一般的に使用され、機械可読で、相互運用可能なフォーマットであると定義されています)。
データ主体の権利 (DSR) 要求へ応答し、Power Apps 顧客データをエクスポートする を参照してください。
削除
組織の顧客データから個人データを削除することによる "忘れられる権利" は、プライバシーの重要な保護です。 個人データの削除には、システムによって生成されたログが含まれ、監査ログ情報は含まれません。
Power Apps を使用することで、ユーザーは組織の日常業務の重要な一部である基幹業務アプリケーションを構築できます。 ユーザーが組織から離職した場合、ユーザーが作成した特定のデータおよびリソースを削除するかどうかを手動で確認し、決定する必要があります。 ユーザー アカウントが Microsoft Entra ID から削除される際に、その他の顧客データも自動的に削除されます。
データ主体の権利 (DSR) 要求へ応答し、Power Apps 顧客データを削除する を参照してください。