プライバシー評価の作成と管理 (プレビュー)
Microsoft Priva Privacy Assessments (プレビュー) を使用すると、組織は個人データ使用のインスタンスを検出して文書化して、使用されているデータの種類と、その使用の性質に関する重要な詳細の両方をキャプチャできます。
プライバシー評価を作成するには、カスタマイズ可能なアンケートを作成するプロセスに従います。 まず、事前に定義された質問があるテンプレートを使用して、変更できます。 または、空白の評価から始めて、ニーズに合ったカスタム評価を構築することもできます。 組織は、ユース ケースやアプリケーションが異なる複数の評価を維持および使用できます。 評価は、無制限の数のプロジェクトまたはその他のビジネス資産に割り当てることができます。
注意
この記事で説明されているように、評価を作成、公開、管理するには、ユーザーにプライバシー キュレーター ロールが必要です。 プライバシー評価 (プレビュー) を操作するためのロールの詳細について説明します。
評価管理ページ
[ Assessment management]\(評価管理\) ページでは、評価の作成、組織の評価の状態の表示、応答と資産の管理を行うことができます。
[資産] タブ
[ 資産 ] タブには、プライバシー評価を使用するようにメタモデルを設定するときに組織が登録したすべての資産の詳細が一覧表示されます。 ここから、資産のコンテキスト内で評価を操作できます。
資産名を選択して、資産を登録するときに定義したプロパティを表示および編集します。
資産の左側のナビゲーションから [ プライバシー ] を選択して、その資産に関連するすべてのプライバシー評価を表示します。
評価に資産を割り当てる
- 資産の [プライバシー ] ページで、[ 割り当て ] コマンド (クリップボード アイコン) を選択します。
- アクティブなすべての評価を一覧表示するパネルが表示されます。 資産に割り当てる評価の横にあるチェック ボックスをオンにします。
[評価] タブ
[ 評価 ] タブには、次を含むすべての評価と基本的な状態情報が一覧表示されます。
状態: 下書き。割り当てにはまだ使用できません。または [発行済み] は、割り当ておよび応答できます。
注意
評価は、入れ子になったリスト内のテーブルに複数回一覧表示できます。 たとえば、応答に使用できる発行済みのバージョンの評価があり、同時に、その評価の編集にも取り組んでいる場合があります。 この場合、テーブルに評価が矢印で表示され、一覧が展開されます。 展開すると、行に 発行済 み状態の評価が一覧表示され、別の行には新しいバージョンの評価が 下書 きの状態で一覧表示されます。
バージョン: 既存の評価に対して編集が行われると、新しいバージョンが作成され、順番に番号が付けられます。 これにより、どのバージョンの評価に応答したかを追跡できます。
作成者: 評価を作成したユーザー。
最終更新日: 評価が最後に変更された日時。
[評価の応答] タブ
[ Assessment responses ]\(評価応答\) タブには、評価の提出と回答の詳細が一覧表示されます。これには、提出したユーザー、応答が割り当てられているプロジェクトまたはその他の資産、提出が最後に操作された日時が含まれます。 このビューを使用すると、プライバシー チームまたはプライバシー キュレーターロールを持つユーザーが評価応答を確認できます。
評価名を選択して、質問に対する回答を表示します。 また、提供された回答に基づいて評価の リスク スコア も表示されます。 リスク スコアの理解について詳しくは、こちらをご覧ください。
評価の作成
評価を作成すると、回答者が回答し、レビューと承認のために送信するアンケートを作成します。 空白の評価を使用して最初から開始するか、構成済みの質問を含むテンプレートから開始するかを選択できます。 どちらの場合でも、質問と、ニーズに合わせて整理する方法を常にカスタマイズできます。
評価の構築を開始する前に考慮すべき事項:
- 名前を付ける内容。
- 組織内のユーザーが応答を確認し、承認者として機能する必要があります。
- リスクレジスタでリスク設定を設定して、リスクファクターを質問に割り当て、回答に特定のリスクレベルを割り当てることができます。
基本的な手順:
評価を作成します。
アンケートを作成して保存します。
評価を発行します。
資産を割り当て、必要に応じて指定されたレビュー担当者を設定します。
指定されたレビュー担当者は、応答を確認し、承認または拒否できます。 拒否された場合、回答者は問題を修正し、承認されるまで再度送信できます。
評価を作成する
プライバシー評価で、[ 評価管理 ] ページに移動します。
[評価] タブ で 、[ 新しい評価] を選択します。 ドロップダウン メニューから、次のオプションを選択します。
[テンプレートから]: プライバシーへの影響評価テンプレート、またはカスタマイズできる推奨される質問を提供する基本的なデータ使用インベントリ評価テンプレートから選択します。 選択する前に、各テンプレートをプレビューできます。 テンプレートは情報提供のみを目的として提供され、法的アドバイスとして解釈されるべきではありません。
カスタム: 一連の質問を作成します。
評価の [名前] と [説明] を入力し、[ 次へ] を選択します。
[ レビュー担当者の割り当て] に、プライバシー キュレーター ロールを持つユーザーの一覧が表示されます。 提出された評価のレビュー担当者および承認者として指定するユーザーまたはユーザーの横にあるチェック ボックスをオンにします。 複数のユーザーが選択されている場合、1 人のユーザーは、レビューのために送信された評価をレビューおよび承認する権限を持っています。 評価応答を承認または拒否できるのは、指定されたレビュー担当者のみです。 レビュー担当者が選択されていない場合、プライバシー キュレーター ロールを持つユーザーは、その評価に固有の応答を承認または拒否できます。
[作成] を選択します。
評価ビルダーが閉じ、 評価の編集 ページに移動します。 このページでは、評価の質問を作成またはカスタマイズします。
評価アンケートを編集する
アンケートを作成するときに、質問の種類を選択し、質問をセクションに配置し、質問にロジックを追加できます。 また、質問が識別できるリスク要因と、各回答オプションに関連付けるリスク レベルを指定することもできます。 「リスクの構成」を参照してください。
質問を追加して構成する
各質問はセクション ヘッダーの下にグループ化されます。 セクションを 使用すると、質問をセクションにグループ化し、各セクションに名前を付けます。 空白のアンケートでは、セクション 1 ブロックが自動的に設定されます。 セクションの名前と説明を追加します。
[ 評価の編集 ] ページの上部のコマンド バーで、[ 質問 ] ドロップダウン メニューを選択し、挿入する質問の種類を選択します。 質問オプションを次に説明します。
テキスト: 回答者が自由テキスト フィールドに応答を入力できるようにします。
選択肢: 回答者がラジオ ボタンで選択する回答オプションを作成します。 これは単一の選択オプションです。 複数選択になるように質問を編集すると、形式がチェックボックスに変 わります。
チェックボックス: 回答者がチェックボックスで選択する回答オプションを作成します。 チェックボックスは複数選択オプションです。 質問を編集して単一の選択にした場合、形式は [選択肢] に変わります。
日付: 回答者はカレンダーから日付を選択できます。
情報: このブロックには回答は必要ありません。これは、アンケートの特定の時点でガイダンス、リンク、またはその他の情報を提供できるフリー テキスト フィールドです。 この情報は回答者に表示され、送信された応答のレコードの一部になります。
チェックボックス の質問は、 複数選択として自動的に設定されます。 質問ブロック内の複数選択トグルをオフにして、1 つの選択の 種類の質問に変更できます。 同様に、 選択肢 の質問は自動的に単一の選択として設定されます。 [複数選択 ] トグルをオンにすると、形式が [チェックボックス] に変わります。
各質問のフィールド
短いタイトルと質問: 短いタイトル と質問のテキストを入力します。 [ 選択肢] または [チェックボックス] の質問に回答オプションを設定し、必要な数を追加します。 セクション タイトルと短いタイトルは、追加すると画面の左側に表示されます。
回答を必須にする: 回答を必須 にするトグルを オンにすることで、回答者に必要な質問を行うことができます (トグル領域は青で塗りつぶされます)。
添付ファイルを許可する: [添付ファイルを許可する] トグルをオンにすることで 、添付ファイルのアップロードを許可 できます。 トグルをオンにすると、質問ブロックの下部に [添付ファイル] 領域が表示されます。 添付ファイルを必要とする場合は、[添付ファイルを必須にする] を選択します。 テキスト フィールドで、証拠を提供したり、質問に回答したりするのに最適な情報の種類を説明します。
評価には、最大 6 つのファイルを添付できます。 ファイルあたりのサイズ制限は 5 MB です。 サポートされているファイルの種類は次のとおりです。
- csv
- doc/docx
- gif
- jpeg/jpg
- ppt/pptx
- txt
- xls/xlsx
[リスクの構成]: [ リスクの構成 ] トグルをオンにして、リスク要因を質問に割り当てます。 リスクを構成する方法の詳細を取得します。
アンケートをプレビューする
評価の作成または編集中はいつでも、画面の右上隅にある [プレビュー] を選択することで、評価がどのように回答者に表示されるかを プレビュー できます。 プレビューでは、回答機能をテストし、質問に適用したロジックが意図したとおりに機能することを確認できます。 プレビュー モードを終了し、評価エディターに戻すには、[ プレビューを閉じる] を選択します。
ロジックを適用して質問を非表示または表示する
ロジックを適用して、前の質問の回答に基づいて回答者に質問を表示または非表示にすることができます。 非表示または表示する質問から、質問ブロックの上部にある L のようなアイコンを持つ [ロジックの追加] コマンドを選択します。 質問の下に [条件] セクションが表示されます。
この質問を表示または非表示にする条件を選択します。 任意の条件を満たす必要があることを意味する [ 任意] または [ すべて] のいずれかを選択できます。つまり、すべての条件を満たす必要があります。 条件が満たされると、[ アクション ] オプションは [非表示] または [ 質問の 表示 ] になります。 [ プレビュー ] を選択し、前の質問に回答することで、ロジックがどのように機能するかをテストできます。
論理条件は、以前の選択肢またはチェックボックスの質問の種類に対する回答に基づいて定義されます。 条件を作成するには、前の質問の短いタイトル フィールド (この質問が非表示か表示されるかを決定する回答) を選択します。 どの回答または回答の組み合わせによって条件が満たされるかを示して、論理条件を完了します。 次に、真の条件で質問を非表示にするか表示するかを決定します。
ロジックは、セクションではなく、個々の質問にのみ適用できます。
リスクの構成
質問にリスク要因を割り当てることができます。これにより、回答によって明らかにされるリスクの種類と、回答に示されているリスクのレベルを指定できます。
質問のリスク パラメーターを設定するには、[リスクの 構成 ] トグル スイッチを右側 (オンの位置) にスライドします。 トグル スイッチの下に [リスクの種類 ] フィールドが表示されます。 [ リスクの種類 ] ドロップダウン メニューのオプションは、[リスク設定] で設定したリスク カテゴリに対応 します。
[ 選択肢] と [チェックボックス] の質問で、リスクの種類を選択すると、各回答オプションの横にドロップダウン メニューが表示されます。 回答ごとに、リスク レベルを選択します。
- リスクなし
- 低リスク
- 中程度のリスク
- 高リスク
リスク レベルの定義は、組織によって決定されます。 組織のリスク フレームワークの決定の詳細については、「リスク 設定の設定 」を参照してください。
注意
リスクが質問に対して構成されている場合、そのリスク情報は評価に記入するときに回答者には表示されません。 リスク情報は、評価の作成者とレビュー担当者にのみ表示できます。
アンケートを保存する
評価は、進むにつれて自動保存されます。 質問の追加が完了したら、画面の右上隅にある [保存 ] を選択することをお勧めします。 評価は 下書きの 状態です。つまり、まだ 公開されていません。 評価管理ページの [ 評価] タブ の行から評価を選択することで、引き続き 評価 を編集できます。 次に、評価の詳細ページで [編集] を選択 します。
評価を下書きの状態から移動し、割り当て可能にするには、評価を 発行 する必要があります。
リスク レジスタでリスク設定を設定する
[ リスク登録 ] ページでは、個人データの使用方法に基づいて、組織のプライバシー リスクに貢献すると考える要因の概要と定義を行うことができます。 リスク レジスタを使用すると、評価される資産の全体的なリスク レベルを評価するためのフレームワークを作成できます。
リスク レジスタでは、組織にとって何が理にかなっているかに基づいて リスク要因 を作成し、定義します。 たとえば、 個人の正常性データなどの特定のデータ型を参照するカテゴリや、 目的などのデータの高リスク使用を参照するカテゴリがあるとします。 リスク カテゴリを分類、定義、ラベル付けする方法は、組織次第です。
リスクファクターごとに、そのカテゴリのリスクレベル (低、中、高) を割り当てます。 低、中、高を定義する方法と、カテゴリに決定するレベルは組織次第です。
リスク スコアの計算について
リスク要因は、特定の質問にリスクタイプを割り当てる質問レベルで割り当てられます。 単一および複数選択の質問の場合は、回答値ごとに低リスク、中リスク、または高リスクの特定のリスク レベルを指定することもできます。
回答者が評価応答で質問に回答すると、複数または 1 つの選択した質問に対してリスクのレベルが自動的に識別されます。 リスク要因が割り当てられているテキストベースの回答の場合、レビュー担当者は、レビュー中に、回答の内容に基づいてリスク レベルを低、中、または高に指定する機会があります (方法を学習します)。
回答の質問には、割り当てられたリスクの種類と、特定された最も高いリスク レベルが注釈付けされます。 たとえば、複数選択の質問で、中リスクと高リスクの両方として指定された回答が選択されている場合、その質問にはリスク レベルが高いレベルが割り当てられます。
リスク スコアは、リスク評価全体についても計算されます。
リスク値を作成して追加する各評価は、各応答を測定できる標準化されたスケールと見なされます。 リスクを特定できる評価の各質問には、応答で選択できる最高のリスクに基づいて値が割り当てられます。
複数選択の質問では、低、中、高の値が異なる回答オプションが割り当てられている可能性があります。 この質問には、その質問に対する応答で登録できる最も高いリスクを表す、高いリスク スコアが割り当てられます。
テキストベースの質問には、リスク係数を作成したときにリスク設定で設定された既定のリスク値が割り当てられます。
すべての評価の質問のリスク値は、評価ごとに合計されます。
評価応答ごとに、実際の応答に基づくリスク値が加算され、その評価の最大リスク計算と比較されます。
実際の対応リスクを最大潜在リスクで割った場合、リスク スコアがパーセンテージとして生成されます。 これは、その評価によって特定された可能性のある潜在的な全体的なリスクに対する実際の対応で識別されるリスクを示しています。
その後、スコアはパーセンテージから整数に変換されます。 たとえば、評価応答が潜在的な最大応答リスクの 65 ~ 74% に等しい場合、スコアは 7 になります。
スコアは次を表します。
- 1 - 3 低リスク
- 4 - 7 中程度のリスク
- 8 - 10 高リスク
共通評価に対して評価されたすべてのプロジェクトまたはデータの使用は、同じルーブリックに対して評価されます。 スコアは、それぞれの相対的なリスク レベルを示します。
リスク設定でリスク カテゴリを設定する
評価を構築するときに、質問のリスクを構成し、組織が作成したリスク要因の一覧からその質問にリスク要因を割り当てることができます。 選択肢とチェック ボックスの質問にリスクを構成する場合は、回答オプションごとにリスク レベルを [低]、[中]、または [高] に設定します。 リスク レベルは、回答者が質問に回答し、応答を送信すると自動的に登録されます。
テキストの質問の場合は、リスク要因を割り当てることができますが、その質問に対する回答の内容に基づいて、評価レビュー中にリスクのレベルを指定する必要があります。
テキストの質問に未解決のリスクを割り当てる理由の例を次に示します。回答者が生体認証データを使用するかどうかについて質問する場合があります。 バイナリのはいまたはいいえは、リスクの全範囲を明らかにしない可能性があります。 ロジックを適用することで、ユース ケースと保護策の説明を求めるフォローアップ テキストの質問を行うことができます。 この質問は、"生体認証データ リスク" または "機密データ リスク" を持つものとして指定できます。回答の完全なコンテキストを持つレビュー担当者は、この質問が低リスク、中リスク、または高リスクを反映しているかどうかを判断できます。
回答者は、評価に記入するときに、質問のリスク設定を表示できません。 リスク情報は、評価の作成者とレビュー担当者にのみ表示できます。
リスク カテゴリを設定するには:
[リスク 登録] ページに移動し、右上隅にある [リスク設定] を選択します。 [ リスク設定] ウィンドウが表示されます。
[ リスク要因の追加] を選択します。
カテゴリ名、説明を追加し、[リスク] レーティングを [低]、[中]、または [高] に設定します。
[追加] を選択します。
追加したカテゴリが [ リスク設定 ] ウィンドウに表示されます。 係数に対して選択した関連するリスク レベルは、灰色で網掛けされます。
カテゴリのプロパティまたはリスク レベルを編集するには、右側にある鉛筆アイコンを選択します。 カテゴリをアーカイブするには、右側のごみ箱アイコンを選択します。 カテゴリをアーカイブすると、これらのリスク指定でレガシ評価をサポートするためにシステムに残りますが、新しい評価には含められません。
回答者が評価を送信すると、リスク設定に従って回答に基づいてリスク スコア が提供されます。 リスク スコアを確認するには、[評価管理] ページの [ 評価の応答 ] タブに移動し、 評価 を選択します。
組織のプライバシー リスクを表示する
リスク レジスタでプライバシー リスクを表示する
プロジェクトやその他の資産間のリスクを表示する場合は、[ リスク登録 ] ページで確認できます。 リスク レジスタには、組織全体のリスクに関する 2 つのビューが表示されます。
[ 評価による応答の表示 ] タブ: このビューには、評価応答ごとのリスクが表示され、各応答は、関連するプロジェクトまたは資産の下にグループ化されます。 評価リスク スコアは、評価応答に対して計算された集計リスク スコアであり、応答からのプライバシー リスクの合計を反映しています。
[ リスク要因別に表示 ] タブ: このリスク ビューは、リスクが関連するプロジェクトまたは資産によってグループ化されます。 ただし、このタブには、リスク対応の集計リスクを反映する代わりに、その資産のリスク対応に存在していた各リスク要因、リスク要因が特定された回数、および各発生のリスク レベルが示されます。
[リスク対応] タブでプライバシー リスクを表示する
特定の資産にのみ関連するすべての評価応答からすべての質問を確認する場合は、関連する資産の詳細ページに移動できます。 [ 評価管理 ] ページに移動し、[資産] タブを選択して 、資産を 見つけます。データ カタログで資産を検索することもできます。
資産の詳細ページで、左側のナビゲーションの [ リスク対応 ] タブを選択します。 ここでは、資産に対して完了した各評価のアカウントと、特定されたプライバシー リスクを伴う各評価の質問が表示されます。 質問と回答、リスクの種類、およびリスク レベルを表示できます。 この場所からリスクを管理または編集することもできます。
下書きとして保存し、評価を発行する
評価で作業を保存すると、[評価管理] ページの [評価] タブに下書きの状態で表示されます。 評価は編集できますが、回答者に送信して完了することはできません。
評価をユーザーが完了できるように準備ができたら、まず評価を発行する必要があります。 [評価] タブの一覧から下書き 評価 を選択し、ページの右上隅にある [ 発行 ] を選択します。 評価を使用して、組織内のユーザーに割り当てることができるようになりました。
資産に評価を割り当てる
[評価管理] ページ の [ 評価 ] タブで、評価を選択して詳細ページを開きます。 このページには、完了のために送信された数、進行中の数、送信された数など、評価に関する詳細が含まれています。
ページの上部付近にある [ 割り当て] を選択します。 [ 評価の割り当て] ウィンドウから、次の 2 つの選択を行うことができます。
- 資産: 評価に割り当てる 1 つ以上の資産を選択し、[ 次へ] を選択します。
- レビュー担当者: 提出された評価を承認または拒否する 1 人以上のユーザーをレビュー担当者として選択します。 [ 割り当て] を選択します。
評価に応答して送信する
評価が資産に割り当てられると、所有者は評価が割り当てられた電子メールを受け取ります。 電子メールは、データ カタログ内の資産にリンクします。 資産の [プライバシー ] ページには、割り当てられたすべての評価と、評価が割り当てられた日時、完了状態、完了日の詳細が一覧表示されます。
取得する評価の名前を選択すると、評価のアンケートが開きます。 画面の右上隅にある [ 保存 ] を選択すると、進行状況を保存し、後で完了するように戻ることができます。
完了した評価を送信する準備ができたら、[保存] ボタンの横にあるドロップダウン コマンドから [送信] オプションを選択します。
評価の状態が資産の [プライバシー] ページで [送信済み] になりました。 評価のレビュー担当者は、評価応答をレビューして承認または拒否できるようになりました。
評価応答を確認して承認する
評価のレビュー担当者は、評価応答の送信時に電子メールを受信します。 校閲者は、評価管理ページの [ 評価の回答 ] タブの一覧で見つけることで、電子メールのリンクを選択して 評価 に移動したり、提出にアクセスしたりできます。
[Assessment name]\( 評価名 \) 列の下に一覧表示されている応答を [ 送信済み ] 状態で見つけます。 評価名を選択して応答を開き、質問に対する回答を確認します。 右側の [リスク スコア ] パネルには、提供された回答に基づいてリスク スコアが表示されます。 各質問は、リスク レベルが検出された場合に示され、右側のパネルには評価応答の全体的なリスクが表示されます。 [X] を選択してパネルを閉じ、[リスク スコア] ボタンを選択してパネルをもう一度表示できます。
評価応答を承認するには、画面の右上隅にある [ 承認 ] を選択します。
応答に対してリスクが検出され、拒否することにした場合は、[ 拒否] を選択します。 回答者には、評価が拒否されたことを示す通知が表示されます。
評価の拒否に対応する
プロジェクトの所有者には、プロジェクトの詳細ページの [ プライバシー ] タブに評価が表示され、状態が [拒否] と表示されます。 プロジェクト所有者は、評価を選択し、以前の回答を確認し、回答を編集できます。 進行状況を保存し、後で回答の作業を続ける必要がある場合は、[ 保存] を選択します 。 レビュー担当者に再送信する準備ができたら、[送信] を選択 します。
回答の確認中に質問のリスクを編集する
レビュー中、または応答を承認した後でも、質問の指定されたリスク レベルを変更できます。 たとえば、最初にアンケートを作成してから追加情報やコンテキストを取得した場合、元のリスク レベルが正しくないため、リスク レベルを再調整する必要があると判断できます。
リスク レベルを編集するには、質問のリスク レベルの横にある鉛筆アイコンを選択します。 [ リスクの編集] ポップアップ ウィンドウが表示されます。 ドロップダウン メニューからリスク レベルとリスクの種類を変更し、調整を説明する 変更の説明 を追加できます。 まだ関連している場合は [リスク] 状態 を [アクティブ] に設定し、リスクが関連しなくなった場合は 非アクティブ に設定します。 すべての変更は、パネルの [リスク履歴 ] セクションにキャプチャされます。
[ 保存] を選択 して変更を保存します。 評価応答ページでリスク スコアに対する変更に注意してください。
評価応答をエクスポートする
評価応答は、書式設定された Microsoft Word または PDF ファイルとしてダウンロードすることでエクスポートできます。 これにより、監査者や規制当局など、組織内外の個人にプライバシー評価結果を簡単に伝達できます。 評価応答をエクスポートするには、次の手順に従います。
- [評価管理] ページに移動し、[評価の応答] を選択します。
- エクスポートする応答の名前を選択します。
- 評価応答の詳細ページで、応答名の下に表示される [応答のエクスポート] を選択します。
- [ 応答のエクスポート ] ドロップダウン メニューから、ダウンロードするファイルの種類として [Word 文書] または [PDF] を選択します。
ファイルはすぐにダウンロードされ、コンピューターのダウンロード フォルダーからアクセスできます。