プライバシー リスク管理ポリシー

プライバシー リスク管理ポリシーは、組織にとって重要なリスク シナリオに対処するのに役立ちます。 Microsoft のポリシー テンプレートは、健全なデータ処理プラクティスの促進を中心にしています。 ポリシーの一致が検出され、さらに調査が必要になる場合がある場合は、管理者に通知されます。 Microsoft Teams のEmail通知とヒントは、ユーザーがプライバシー リスクを伴うアクティビティを理解するのに役立ち、ユーザーが問題を直ちに修正し、プライバシー トレーニングをポイントするのに役立ちます。

クイック スタートでは、既定の設定のテンプレートを使用して、データの露出超過、データ転送、データの最小化とシナリオに関する新しいポリシーを作成します。 また、テンプレート設定をカスタマイズして、組織のニーズに合ったポリシーを作成することもできます。

ポリシー テンプレートの種類

プライバシー リスク管理には、個人データの保護に関する重要な領域に対処できるように設計された 3 つのポリシー テンプレートがあります。 各テンプレートには、クイック セットアップ プロセスで受け入れるか、ガイド付きプロセスを使用してカスタマイズできる既定の設定があります。 新しいポリシーを作成する場合、最初のタスクは次の 3 つのテンプレートのいずれかを選択することです。

  • データの露出過多: このポリシーは、他のユーザーが広くアクセスできる可能性がある個人データを含むコンテンツアイテムを識別します。 一致が見つかったら、コンテンツ所有者に保護をすばやく適用するように求める通知を設定できます。

  • データ転送: このポリシーでは、特定の境界を越えた個人データ転送を検出できます。これには、組織の外部への転送や、部門または地理的リージョン間の内部転送が含まれる可能性があります。 一致が見つかった場合は、送信者がコンテンツへのアクセスを取り消すよう促す通知を設定できます。

  • データの最小化: このポリシーは、長期間手つかずの個人データを含むコンテンツアイテムを識別します。 一致が見つかったら、コンテンツ所有者に通知を送信して、アイテムを保持または削除するための迅速なアクションを実行するように求めることができます。

クイック セットアップ: 既定の設定でテンプレートを使用する

テンプレートから直接ポリシーを作成する場合、ほとんどの設定は自動的に選択され、すぐに起動して実行するのに役立ちます。 次の手順に従って、いずれかのテンプレートを使用して既定の設定でポリシーを作成します。

  1. Microsoft Purview コンプライアンス センターで、左側のナビゲーションでPriva プライバシー リスク管理を見つけて、[ポリシー] を選択します

  2. 画面の右上隅にある [ ポリシーの作成 ] を選択すると、すべてのポリシー作成オプションが一覧表示されたポップアップ ウィンドウが表示されます。

  3. 作成するポリシーの種類を探し、カードで [ 作成] を選択します。

  4. ポップアップ ウィンドウには、ポリシーの詳細が含まれています。 [ 設定の表示 ] を選択すると、既定の設定が表示されます。 ここから設定を編集できます。これにより、以下に説明するガイド付きプロセスが表示されます。 既定の設定を使用して引き続きポリシーを作成するには、わかりやすい名前を入力し、[ ポリシーの作成] を選択します。

ポリシーが作成され、[ ポリシー] ページに表示されます。

ポリシーはテスト モードで実行を開始します。つまり、アラートや通知は生成されません。そのパフォーマンスを監視できます。 ポリシーを有効にする準備ができたら、ポリシーを選択して編集して有効にします。

カスタム セットアップ: すべての設定を選択するためのガイド付きプロセス

カスタム ポリシー オプションは、ポリシーを作成するためのガイド付きプロセスです。 まず、テンプレートを選択してから、各設定を確認してポリシーをカスタマイズします。 次の手順では、3 つの各ポリシーの種類に適用される基本的な設定の詳細について説明します。 ポリシーの種類によって設定が異なる場合は、特定の手順にリンクします。

ポリシーを作成するには、次の手順に従います。

  1. Microsoft Purview コンプライアンス ポータルで、左側のナビゲーションでPriva プライバシー リスク管理を見つけます。 ドロップダウン メニューから [ポリシー] を選択 します

  2. [ポリシーの作成] を選択します。

  3. [プライバシー リスク管理] のポリシー作成ウィザードを使用してポリシーを作成するには、[ カスタム ] オプションを選択します。

  4. ポリシーの種類として、[データの露出超過]、[データ転送]、[データ最小化] のいずれかを選択します。

  5. ポリシーの一覧で識別するのに役立つわかりやすい名前をポリシーに付けます。 省略可能な説明を入力し、[ 次へ] を選択します。

  6. 次の手順では、すべてのポリシー設定を定義できます。 詳細については、この記事の説明を参照してください。 オプションは以下のとおりです。

    • 監視するデータ: ポリシーで監視する個人データの種類を選択します。
    • ユーザーとグループ: すべてのユーザーまたは選択したユーザーにポリシーを適用します。
    • 場所: Microsoft 365 の選択した領域にポリシーを適用します。
    • 条件: ポリシーの条件を設定します。 これらのオプションは、ポリシーの種類によって異なります。
    • 結果: ユーザーの電子メール通知など、ポリシーの一致が見つかった場合の結果を定義します。
    • アラート: ポリシーの一致が見つかった場合の管理者へのアラートの頻度を決定します。
    • モード: 最初にテスト モードでポリシーを実行するかどうかを選択します。
  7. すべての設定が完了したら、選択内容を確認し、必要な編集を行い、[ 送信] を選択してポリシーを作成します。

数秒後に、ポリシーが作成されたことを確認するメッセージが表示されます。 確認ページで [ 完了] を 選択すると、[ ポリシー] ページに移動し、テーブルの上部に新しいポリシーが表示されます。

以下のセクションでは、各ポリシー設定の詳細を示します。

監視するデータを選択する

ポリシーを作成または編集するときに、ポリシーで監視する必要があるデータの種類を選択するように求められます。 次のような 2 つのオプションがあります。

  • 分類グループ: 機密情報の種類のグループの検索可能なリスト。たとえば、オーストラリア健康記録法に基づくグループ、米国のパスポート番号などの米国の個人を特定できる情報に基づくグループなどです。

  • 個々の機密情報の種類: 機密情報の種類の検索可能な一覧。たとえば、社会保障番号や運転免許証番号などです。

既存の分類グループから選択した場合、個々の種類を選択したり、独自のグループを作成したりすることもできません。 柔軟性を最大限に高めるために、個々の機密情報の種類を選択します。 最も一般的な標準を利用するには、分類グループから選択します。 各データ型の詳細については、以下を参照してください。

分類グループ

分類グループは、個人データまたは特定の規制に関連するコンテンツを検出するために使用される 機密情報の種類 のグループです。

[ 監視するデータ ] ページでこのオプションを選択する場合は、[ +分類グループの追加] を選択し、ポップアップ ウィンドウに表示される一覧から 1 つ以上のグループを選択する必要があります。

個々の機密情報の種類

社会保障番号や運転免許証 情報など、特定の機密情報の種類を選択することで、調べる独自のグループまたはデータ グループをカスタマイズできます。 プライバシー リスク管理内の機密情報の種類の完全な一覧から選択できます。 各情報の種類には、独自のプロパティがあります。

[ 監視するデータ ] ページでこのオプションを選択すると、選択する機密情報の種類のグループの名前として [既定値] が一覧表示されたセレクターが表示されます。 このグループ名を保持または編集し、[ 追加] を選択して、プライバシー リスク管理内の完全な一覧から 1 つ以上の機密情報の種類を選択します。 各情報の種類には、独自のプロパティと推奨設定があります。これは、情報の種類を追加した後、信頼度ドロップダウン メニューの右側にある情報アイコンを選択することで検出できます。 機密情報の種類ごとにインスタンス数を変更することもできます。 この設定は、ポリシーで検出する機密情報の種類ごとに一意のインスタンスの数を指定します。

複数のグループを作成する場合、ウィザードを使用すると、グループの関連付け方法 ("and" または "or" の関係) を選択し、操作の順序を定義できます。

ユーザーとグループを選択する

ポリシーで対象となるユーザーを決定するには、すべてのユーザーとグループ、または特定のユーザーとグループの 2 つのオプションがあります。

  • すべてのユーザーとグループ: このオプションは、組織内のすべてのユーザーとOffice 365グループにポリシーを適用します。

  • 特定のユーザーまたはグループ: このオプションを使用すると、個々のユーザー、個々のOffice 365 グループ、またはその両方を選択できます。

    • ユーザーを選択するには: [ ユーザーの選択] を選択 し、ポップアップ ウィンドウで、検索ボックスにメール アドレスを入力してユーザーを検索します。 または、一覧からユーザーを見つけて、名前の左側にあるチェック ボックスをオンにします。 最大 100 人のユーザーを選択できます。 完了したら、[追加] を選択 します。
    • グループを選択するには: [ グループの選択] を選択 し、ポップアップ ウィンドウで、各グループ名の左側にあるチェック ボックスをオンにします。 最大 10 個のグループを選択できます。 完了したら、[追加] を選択 します

ユーザーとグループを指定したら、[ 次へ ] を選択して次の手順に進みます。

場所を選択する

この手順では、Microsoft 365 環境で、ポリシーで個人データの一致を検索する場所を指定します。 場所オプションはポリシーの種類によって異なり、複数を選択できます。 各場所について以下に説明します。

  • Exchange: このポリシーは、ユーザーの Exchange アカウントの一致を識別します。これには、メールの本文と Exchange メールボックスによって送受信された添付ファイルにコンテンツが含まれます。

  • OneDrive: ポリシーは、ユーザーのOneDrive for Business アカウントに格納されているファイル内の一致を識別します。

  • Teams: ポリシーは、Teams チャネルとチャット内のユーザーのメッセージ内の一致を識別します。

  • SharePoint: ポリシーは、ユーザーの SharePoint サイトに格納されているファイル内の一致を識別します。 このオプションを選択すると、次のいずれかのオプションを選択します。

    • すべての SharePoint サイト: この選択は、組織内のすべてのユーザーのすべてのサイトに対応します。

    • 特定の SharePoint サイト: この選択により、ポリシーを適用する特定のサイトを指定するように求められます。 [URL] ボックスに特定のサイトの URL を直接入力し、その記号を + 選択してサイトの一覧に追加できます。 [ サイトの選択] を選択し、ポップアップ ウィンドウからアクセス権を持つサイトの一覧を検索して選択することもできます。 選択するサイトにマウス ポインターを合わせると表示されるチェック ボックスをオンにします。 選択した後、[ 追加] を選択します。 選択したすべてのサイトが [ 場所 ] ページの下部に表示されます。

    ヒント

    組織内の SharePoint サイトの特定に関するヘルプが必要な場合は、「 SharePoint 管理センターでサイトを管理する」を参照してください。

場所の指定が完了したら、[ 次へ] を選択します。

条件を設定する

ポリシーの一致を検出するための条件は、ポリシー テンプレートによって異なります。

結果を定義する: ユーザーの電子メール通知とヒント

結果の設定は、ポリシー作成ウィザードの [結果] ページで処理されます。 このページでは、ポリシーの条件に一致するアクションを実行するときに、ユーザーに電子メール通知を送信することを選択できます。

データ転送ポリシーには、アクションによってポリシーの一致が生成されたときに、Teams のユーザーにヒントを表示する追加のオプションがあります。 これらのヒントには、提供するプライバシー トレーニングへのリンクや、潜在的なリスクを修復するためのメカニズムが含まれます。

これらの通知は、問題がエスカレートするのを防ぎ、安全なデータ処理プラクティスを採用するユーザーのスキルと自信を築くための便利な機会です。

ユーザー通知の操作の詳細については、「プライバシー リスク管理のユーザー通知」を参照してください。

注:

電子メールと Teams のユーザー通知は、米国政府機関コミュニティ (GCC) Moderate、GCC High、または国防総省 (DoD) のお客様には利用できません。

アラートを設定する

アラートは、管理者がユーザー イベントがポリシーの条件と一致するタイミングを把握するのに役立ちます。 アラートの設定は省略可能であり、アラートを生成する頻度、アラートを生成する前に到達する必要があるしきい値、およびアラートの重大度を制御します。 [ポリシー] ページの [アラート] カードにアラートが表示されます。 アラートの表示、調査、修復について詳しくは、こちらをご覧ください。

アラートを有効にする

最初にポリシーを作成するときにアラートを有効にするか、後でポリシーを編集して有効にすることができます。 ポリシー作成ウィザードの [ アラート ] ページで、[ アラートの作成 ] トグル スイッチを [オン ] の位置に設定します。

アラートの頻度としきい値

アラートを有効にした後、生成される頻度を決定します。

  • ポリシーの一致が発生するたびにアラートを生成する: このオプションを選択すると、多数のアラートが生成される可能性があります。
  • 特定のしきい値に達したときのアラート: 検出されたユーザー イベントの数と頻度に基づいてしきい値を設定します。

アラートの重大度レベル

重大度レベルとして [低]、[中]、または [高] を選択します。 組織では、各レベルが何を表すのかを定義することをお勧めします。

ポリシーのテスト

ポリシーを作成する場合、既定の設定ではテスト モードで開始します。 これは、ポリシーが作成されると、次のことを意味します。

  • アラートは生成されません。 ただし、検出されたデータの種類とその場所など、一致が検出されると、ポリシーの詳細ページに分析情報が表示されます。

  • ポリシーの一致が検出された場合、ユーザーの電子メール通知は送信されません。 ただし、ポリシーの詳細ページには、ポリシーの一致に関連付けられているユーザーを示す分析情報が表示されます。

テスト モードでは、過去 30 日間のユーザー アクティビティの一致を検索できます。 これらの分析情報を使用して、ポリシーの動作を測定し、ポリシーがオンのときに生成される可能性があるアラートの種類を確認できます。

生成される一致の種類と量を理解するために、ポリシーを少なくとも 5 日間テストすることをお勧めします。 ポリシーをテスト モードの間に編集して、変更がパフォーマンスに与える影響を監視してから有効にすることができます。 たとえば、ポリシーが広すぎて、その条件を調整する必要がある場合があります。 または、アクティビティに基づいて、ユーザーにとって役立つ時間枠内にアラートが生成されないことが検出されます。

ポリシーの詳細ページには、テストが実行されている日数が示されます。 場所によって検出された一致の数、ポリシーの条件に一致するユーザー イベントの数、およびポリシーの一致によって検出された個人データ型が表示されます。

注:

[ テスト モードで実行 ] スイッチを [オフ ] の位置に切り替えると、作成が完了したときに ポリシーがオンになります 。 つまり、設定したアラートまたはユーザー通知は、一致が検出されると生成を開始します。

ポリシーの設定に問題がなく、有効にする準備ができたら、青い [ ポリシーを有効にする ] ボタンを選択します。 これでポリシーがアクティブになり、設定したアラートとユーザー通知が生成されます。

ポリシーを有効にする

ポリシーの作成が完了したらすぐに有効にするようにポリシーを設定できます。 ポリシーを有効にする前にテスト モードにしてパフォーマンスと設定を監視することをお勧めします (「 ポリシーのテスト」を参照してください)。

テスト モードでポリシーを作成した場合は、次の手順に従ってすばやく有効にすることができます。

  1. [ ポリシー] ページで ポリシーを探し、その名前を選択して詳細ページを開きます。
  2. [ ポリシーの状態 ] カードで、[ ポリシーを有効にする] を選択します。

これでポリシーがアクティブになり、設定したアラートとユーザー通知が生成されます。

ポリシーをオフにする

ポリシーの詳細ページの右上隅にある [ ポリシーを無効にする ] を選択すると、いつでもポリシーをオフにすることができます。 ポリシーがオフの場合、一致を検出したり、アラートや電子メール通知を生成したりすることはありません。 ポリシーをオフにしても、ポリシーは削除されません。 ポリシーを再度オンにするには、ポリシーの詳細ページの右上隅にある [ ポリシーを有効にする ] を選択します。

ポリシーの詳細ページから詳細とアクティビティを表示する

各ポリシーには、ポリシーによって検出されたアクティビティと、リスクへの対処に役立つ分析情報が表示された詳細ページがあります。

ポリシーが作成されたら、メインの [ポリシー ] ページの表でその名前を選択します。 ポリシーの詳細ページの [ 概要 ] タブには、ポリシーの状態が表示され、データに関する分析情報が提供され、ポリシーの一致が強調表示されます。 ここでは、特定のポリシーの一致に関する詳細を表示し、次の手順の詳細を確認できます。 ポリシーがテスト モードで実行されている場合は、このページに推奨される次の手順と、ポリシーを有効にするボタンが表示されます。

ポリシーがオンになると、引き続きポリシーの詳細ページを確認して、問題領域、アラートの重大度と傾向、実行された修正アクションに関する継続的な分析情報を確認できます。

[概要] タブ

ポリシーの詳細ページの [ 概要 ] タブには、データとユーザー アクティビティの種類と場所に関してポリシーが検出する内容に関する詳細が表示されます。 ポリシーの詳細ページの分析情報を以下に示します。 ポリシーを有効にした後、データが通過するまでに最大 48 時間かかることがあります。

ポリシーの状態

ポリシーの状態カードは、ポリシーがテスト、オンまたはオフの 3 つの状態のいずれかであるかどうかを示します。

テスト: このセクションでは、ポリシーがテスト モードになっている日数を示します。つまり、設定した条件に基づいてポリシーの一致が検索されますが、アラートやユーザー通知は生成されません。 ポリシーを有効にするのに適したタイミングになったら、推奨事項を提供します。 このカードの [ ポリシーを有効にする ] ボタンを選択すると、いつでも有効にすることができます。

オン: ポリシーがオンの場合、ポリシーが一致した後に修正アクションが発生したときに強調表示されるメトリックがステータス カードに表示され、アラートとユーザー通知が生成されます。

  • 実行されたユーザーアクション: このメトリックは、送信された通知の合計数から通知メールからメッセージが表示されたときにユーザーが実行した修復アクションの数を示します。 たとえば、8/10 は、送信された 10 件のユーザー通知のうち、ユーザーが 8 インスタンスで修復アクションを実行したことを表します。

  • ユーザー解決率: このメトリックは、生成された通知の数に基づいてユーザーが修復アクションを実行する割合です。 割合が低い場合は、 メールコンテンツを編集するか、一致するものを詳細に調べて、ポリシーが目的のアクティビティを検出しているかどうかを判断できます。

  • 管理アクション: このメトリックは、ポリシーによってアラートが生成されたときに管理者が実行した修復アクションの数を示します。 アラートに対してアクションを実行する方法の詳細については、こちらをご覧ください。

  • 管理解決率: このメトリックは、アラートの数に基づいて管理者が修復アクションを実行するレートです。

場所別の一致

[ 場所別に一致] カードには、Microsoft 365 の場所に従ってポリシーによって検出されたコンテンツ項目の数が表示されます。

ユーザー通知

[ユーザー通知] カードには、ポリシーによって生成されたユーザー通知メールの数を示す棒グラフが表示されます (これらの機能を有効にしている場合)。

ユーザー別の一致

[ ユーザーごとの一致] カードには、ポリシーの一致をトリガーしたアクションを持つ上位のユーザーが一覧表示されます。 各ユーザーのポリシーによって検出されたイベントの数と、電子メール通知から実行された修復アクションの数が表示されます。 [このカード のすべてのユーザーを表示 ] を選択して、ポリシーによって検出されたユーザーの完全な一覧を確認します。

データ型による一致

[ データ型別に一致] カードには、ポリシーの一致によって検出された個人データの種類と、各種類の量が表示されます。 円グラフは、特定の種類の個人データ (社会保障番号やクレジット カード番号など) が、特定しようとしているリスク シナリオで主に表されているかどうかを視覚的に示すのに役立ちます。

ヒント

ポリシーの一致に関連する場所、データの種類、ユーザーの数を総合的に見ると、組織が保存する個人データをセキュリティで保護するために必要なトレーニングとデータ保護対策の種類について、より良い意味を持つ場合があります。

[一致項目] タブ

[ 一致したアイテム ] タブには、ポリシーで設定された条件に一致するすべてのコンテンツ項目の一覧が表示されます。 このビューから、行から項目を選択して、項目リストの右側にあるウィンドウでプレビューできます。

プレビュー ウィンドウには、各項目の詳細を示す次のタブがあります。

  • ソース: 一致をトリガーした個人データを表示します。
  • 詳細: アイテムのコンテンツ所有者 (組織内のユーザー)、アイテムの Microsoft 365 の場所、アイテム内の個人データ型の数、および特定の個人データの種類を表示します。
  • ファイル アクティビティ: アイテムに適用されたラベルまたは分類を表示します。
  • 修復履歴: アイテムに対してユーザーまたは管理者が実行した修復アクションに関する情報を表示します。

ポリシーを編集する

ポリシーの設定は、テスト モードでもオンでも、いつでも編集できます。 ポリシーをオンにした後にテスト モードに戻すなど、ほとんどのポリシー設定を更新できます。 編集できない設定は、ポリシー テンプレートとポリシー名だけです。

ポリシーを編集するには、次の手順に従います。

  1. Microsoft Purview コンプライアンス ポータルで、左側のナビゲーションでPriva プライバシー リスク管理を見つけます。 ドロップダウン メニューから [ポリシー] を選択 します

  2. [ポリシー] ページの行から編集する ポリシー を選択すると、そのポリシーの詳細ページが表示されます。

  3. ポリシーの詳細ページで、ページの右上隅にある [編集] コマンドを選択します。 このアクションにより、プライバシー リスク管理のポリシー作成が行われます。

  4. 手順に進み、変更する設定に移動します。 ポリシー テンプレートとポリシー名を除くすべての設定を編集できます。 [ 次へ ] を選択して、次の各手順に進みます。

  5. [ 完了 ] ページで設定を確認し、[ 送信 ] を選択して行った変更を保存します。

ポリシーを削除する

既存のプライバシー リスク管理ポリシーを削除する必要がある場合は、[ ポリシー ] ページの一覧でそれを見つけて、アクション メニュー (垂直省略記号) を選択し、[ ポリシーの削除 ] アクションを選択します。 また、ポリシーの詳細ページを開き、右上隅の [削除 ] を選択することもできます。

削除が完了し、ポリシーが完全に削除される前に、選択を確認するように求められます。 ポリシーを削除しても、ポリシーによって以前に評価されたファイルには影響しません。また、ポリシーによって生成された問題とアラートは、[ アラート問題 ] ページに引き続き一覧表示されます。

次の手順

ポリシーを有効にしてアラートの生成を開始したら、組織に対してどのようなリスクが発生する可能性があるかを理解する必要があります。 「アラートの調査と修復」にアクセスして、プライバシー リスク管理でアラートの管理、イベントの 調査、修復アクションを実行する方法について説明します。

Microsoft Priva法的免責事項