プライバシー リスク管理におけるデータ最小化ポリシー
データ最小化ポリシーは、コンテンツの年齢と、最後に変更されてからの期間に焦点を当てています。 古い未使用のコンテンツにまだ保持されている個人データの監視は、保存されたデータをより適切に管理し、リスクを軽減するのに役立ちます。
Microsoft Priva プライバシー リスク管理では、選択した期間内に変更されていないデータを監視するポリシーを作成できます。 ポリシーの一致が検出されると、修復オプションを使用してユーザーに電子メール通知を送信して、コンテンツ アイテムを削除または保持できます ( ポリシー作成プロセスの手順 10 の詳細を参照)。
ポリシー設定プロセスを使用すると、ポリシー条件を簡単に設定できます。 ユーザーが安全なデータ処理プラクティスに注意を向ける電子メールのアラートのタイミングと頻度を完全に制御できます。
ポリシーを作成するには、 テンプレートからという 2 つの方法があります。これは、既定の設定を使用したクイック "すぐに使用できる" オプションです。または カスタム オプション。これは、条件、アラート、通知を設定するためのガイド付きプロセスです。
クイック セットアップ: 既定の設定でテンプレートを使用する
既定のデータ最小化ポリシーは、少なくとも 30 日前に作成または変更された個人データを含むコンテンツを検出します。
既定のデータ転送ポリシーを作成するには、次の手順に従います。
Microsoft 365 organizationの管理者アカウントの資格情報を使用して、次のいずれかのポータルにサインインします。
- 新しい Priva ポータル (プレビュー)。 詳細については、「新しいMicrosoft Priva ポータル (プレビュー)について」を参照してください。
- クラシック Microsoft Purview コンプライアンス ポータル。 詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
プライバシー リスク管理ソリューションに移動し、[ポリシー] ページ を 選択します。
[ ポリシーの作成] を選択します。
[データ最小化] ボックス で 、[ 作成] を選択します。
ポップアップ ウィンドウには、ポリシーの詳細が含まれています。 [ ビュー設定 ] を選択すると、既定の設定が表示されます。 ここから設定を編集できます。これにより、以下に説明するガイド付きプロセスが表示されます。 既定の設定を使用してポリシーの作成を続行するには、わかりやすい名前を入力し、[ ポリシーの作成] を選択します。
ポリシーが作成され、[ ポリシー ] ページに一覧表示されます。 テスト モードで開始されるため、オンにする前に動作を監視できます。
既定のデータ最小化ポリシー設定
テンプレートから作成されたデータ最小化ポリシーは、次を検出します。
- 少なくとも過去 30 日間に変更されていない個人データを含むコンテンツアイテム。
- organization内の任意の場所 (Exchange、OneDrive、SharePoint、Teams) に格納されているデータ。
- 次の 分類グループに基づくデータ型:
- EU 一般データ保護規則 (GDPR)
- 米国の個人を特定できる情報
- 米国愛国者法
- 米国の州違反通知法
- US Gramm-Leach-Bliley Act (GLBA)
- 米国医療保険の移植性と説明責任に関する法律 (HIPAA)
- オーストラリア健康記録法 (HRIP)
- オーストラリアプライバシー法
- 日本の個人を特定できる情報
- 個人情報の保護について
カスタム セットアップ: ガイド付きポリシー作成プロセス
カスタム ポリシー オプションは、条件を設定し、アラートの重大度と頻度を指定し、ユーザーの電子メール通知を有効にすることで、新しいポリシーを作成するためのガイド付きプロセスです。
新しいデータ転送ポリシーを作成するには、次の手順を実行します。
Microsoft 365 organizationの管理者アカウントの資格情報を使用して、次のいずれかのポータルにサインインします。
- 新しい Priva ポータル (プレビュー)。 詳細については、「 新しい Priva ポータル (プレビュー)について」を参照してください。
- Microsoft Purview コンプライアンス ポータル。 このポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。
プライバシー リスク管理ソリューションに移動し、[ポリシー] ページ を 選択します。
[ ポリシーの作成] を選択します。
[ カスタム ] ボックスで、[ 作成] を選択します。
[ 名前と種類 ] ページで、[ データ最小化 ポリシー] テンプレートを選択します。 [ポリシー ] ページの 一覧から簡単に識別できるポリシー名を入力し、オプションの説明を入力して、[ 次へ] を選択します。
[ データ ソース ] ページで、ポリシーでカバーするすべてのデータ ソースを Microsoft 365 で選択します。 Exchange メール アカウント、OneDrive アカウント、Teams チャットとチャネル メッセージ、SharePoint サイトから選択します。
SharePoint 内では、すべてのサイトまたは特定のサイトを指定できます。 [特定の SharePoint サイト] を選択した場合は、[URL] フィールドにサイト URL を入力できます。 [+ サイトの選択] を選択し、ポップアップ ウィンドウで、選択するサイト名の左側にあるボックスをチェックすることもできます。
データ ソースの選択の詳細については、こちらをご覧ください。 完了したら、[ 次へ] を選択します。
[ 監視するデータ ] ページで、ポリシーで監視する個人データの種類を選択します。 次の 2 つのオプションがあります。
- 分類グループ: 個人データまたは特定の規制に関連するコンテンツを検出するために使用される機密情報の種類のグループ。 このオプションを選択した場合は、[ +分類グループの追加] を選択して、指定されたリストから 1 つ以上のグループを選択する必要があります。
- 個々の機密情報の種類: 個々の 機密情報の種類の一覧から選択するには、このオプションを選択します。
詳細については、 監視するデータの選択に関するページを参照してください。 監視するデータの選択が完了したら、[ 次へ] を選択します。
[ユーザーとグループ] ページで、ポリシーを適用するorganization内のユーザーを選択します。 個々のすべてのユーザーとすべてのOffice 365配布グループを選択することも、特定のユーザーとグループを選択することもできます。 ユーザーとグループの選択について詳しくは、こちらをご覧ください。 完了したら、[ 次へ] を選択します。
[ 条件 ] ページで、ドロップダウン メニューを使用して、ポリシーで検出される項目が最後に変更されてからの日数を選択します。
- 30 日
- 60 日
- 90 日
- 120 日
たとえば、[ 30 日] を選択すると、コンテンツ アイテムが最後に変更されてから 30 日が経過した時点がポリシーによって検出されます。 アイテムが最初に作成された日付は、ポリシー条件には含まれません。最後の変更日のみ。 30 日条件を選択した場合、ポリシーがアクティブな間にコンテンツが 30 日に達しない限り、ポリシーは一致を検出しません。
完了したら、[ 次へ] を選択します。
[ 結果 ] ページで、ポリシー条件が満た されたときにユーザーに通知する場合は、[ポリシーの一致が発生したときに通知メール をユーザーに送信する] チェック ボックスをオンにします。 ボックスがオンになっている場合は、メールをプレビューして編集し、頻度を設定し、プライバシー トレーニングへのリンクを提供できます。 メールの修復オプションは、[ ごみ箱] または [アイテムを 保持する] です。 詳細については、 ユーザー通知の設定と編集に関するページを参照してください。 結果の定義が完了したら、[ 次へ] を選択します。
[アラート] ページで、トグル スイッチを使用して、プライバシー リスク管理の [ポリシー] セクションの [アラート] ページに管理者に表示されるアラートを有効にします。 アラートの生成頻度、アラートが生成される前の一致のしきい値、アラートの重大度を指定します。 ポリシーの一致に対するアラートの設定について詳しくは、こちらをご覧ください。 完了したら、[ 次へ] を選択します。
[ モード ] ページで、ポリシーを配置するモードを選択します。 最初にテスト するか、 すぐにオンにします。 テスト モードでは、アラートや通知は送信されません。 推奨事項の詳細と、 ポリシーをテストするときに分析する内容について説明します。 完了したら、[ 次へ] を選択します。
[ 完了 ] ページで、選択内容を確認します。 設定を調整するには、いずれかのセクションの下にある [ 編集] を 選択します。 ポリシーの設定に問題がなければ、[ 送信] を選択してポリシーを作成します。
数秒後に、ポリシーが作成されたことを確認するメッセージが表示されます。 確認ページで [ 完了] を選択 すると、[ ポリシー] ページに移動し、テーブルの上部に新しいポリシーが表示されます。
次の手順
ポリシーを編集および管理する方法の詳細については、「 プライバシー リスク管理ポリシー 」を参照してください。