プライバシー リスク管理のデータ最小化ポリシー

データ最小化ポリシーは、コンテンツの年齢と、それが最後に変更されてからの期間に重点を置きます。 古い未使用のコンテンツに保持されている個人データの監視は、保存されたデータをより適切に管理し、リスクを軽減するのに役立ちます。

プライバシー リスク管理を使用すると、選択した期間内に変更されていないデータを監視するポリシーを作成できます。 ポリシーの一致が検出されると、修復オプションを使用してユーザーに電子メール通知を送信できます。これには、アイテムの削除のマーキング、コンテンツ所有者への通知、アイテムのタグ付けなど、詳細なレビューを行うことができます。

ポリシーのセットアップ プロセスにより、ポリシー条件を簡単に設定できます。 アラートのタイミングと電子メールの頻度を完全に制御して、ユーザーが安全なデータ処理プラクティスに注意を向けさせます。

ポリシーを作成する方法は 2 つあります。 テンプレートから、既定の設定を使用したクイック "すぐに使用できる" オプションです。または カスタム オプション。これは、条件、アラート、通知を設定するためのガイド付きプロセスです。

クイック セットアップ: 既定の設定でテンプレートを使用する

既定のデータ最小化ポリシーでは、少なくとも 30 日前に作成または変更された個人データを含むコンテンツが検出されます。

既定のデータ転送ポリシーを作成するには、次の手順に従います。

  1. Microsoft Purview コンプライアンス ポータルで、左側のナビゲーションでPriva プライバシー リスク管理を見つけて、[ポリシー] を選択します。

  2. 画面の右上隅にある [ ポリシーの作成 ] を選択すると、すべてのポリシー作成オプションが一覧表示されたポップアップ ウィンドウが表示されます。

  3. [ データの最小化 ] ボックスで、[ 作成] を選択します。

  4. ポップアップ ウィンドウには、ポリシーの詳細が含まれています。 [表示設定] を選択すると、既定の設定が表示されます。 ここから設定を編集できます。ここでは、以下に示すガイド付きプロセスに進むことができます。 既定の設定を使用してポリシーを引き続き作成するには、わかりやすい名前を入力し、[ ポリシーの作成] を選択します。

ポリシーが作成され、 ポリシーが [ポリシー ] ページに一覧表示されます。 テスト モードで開始されるため、オンにする前に実行方法を監視できます。

既定のデータ最小化ポリシー設定

テンプレートから作成されたデータ最小化ポリシーによって、次のものが検出されます。

  • 過去 30 日間に変更されていない個人データを含むコンテンツ アイテム。
  • Exchange、OneDrive、SharePoint、Teams など、組織内のいずれかの場所に格納されるデータ。
  • 次の 分類グループに基づくデータ型。
    • EU 一般データ保護規則 (GDPR)
    • 米国の個人を特定できる情報
    • 米国愛国者法
    • 米国の州違反通知法
    • 米国グラムリーチ-ブリリー法 (GLBA)
    • 米国医療保険の可搬性と説明責任に関する法律 (HIPAA)
    • オーストラリア健康記録法 (HRIP)
    • オーストラリアのプライバシー保護法
    • 日本の個人を特定できる情報
    • 日本の個人情報保護

カスタム セットアップ: ガイド付きポリシー作成プロセス

カスタム ポリシー オプションは、条件を設定し、アラートの重大度と頻度を指定し、ユーザーの電子メール通知をオンにすることで、新しいポリシーを作成するためのガイド付きプロセスです。

次の手順を実行して、新しいデータ転送ポリシーを作成します。

  1. Microsoft Purview コンプライアンス ポータルで、左側のナビゲーションでPriva プライバシー リスク管理を見つけて、[ポリシー] を選択します。

  2. 画面の右上にある [ ポリシーの作成 ] ボタンを選択すると、すべてのポリシー作成オプションが一覧表示されたポップアップ ウィンドウが表示されます。

  3. [ カスタム ] ボックスで、[ 作成] を選択します。

  4. [名前と種類] ページで、データ最小化ポリシー テンプレートを選択します。 [ポリシー ] ページの 一覧から簡単に識別するのに役立つポリシー名を入力し、オプションの説明を入力して、[ 次へ] を選択します。

  5. [ 監視するデータ ] ページで、ポリシーで監視する個人データの種類を選択します。 次のような 2 つのオプションがあります。

    • 分類グループ: 個人データまたは特定の規制に関連するコンテンツを検出するために使用される機密情報の種類のグループ。 このオプションを選択した場合は、[ +分類グループの追加] を選択して、指定された一覧から 1 つ以上のグループを選択する必要があります。
    • 個々の機密情報の種類: 個々の 機密情報の種類の一覧から選択するには、このオプションを選択します。

    監視するデータの選択の詳細について説明します。 監視するデータの選択が完了したら、[ 次へ] を選択します。

  6. [ ユーザーとグループ] ページで、ポリシーを適用する組織内のユーザーを選択します。 すべての個々のユーザーとすべてのOffice 365配布グループを選択することも、特定のユーザーとグループを選択することもできます。 ユーザーとグループの選択の詳細について説明します。 完了したら、[次へ] を選択します。

  7. [ 場所] ページで、ポリシーでカバーする Microsoft 365 内のすべてのデータの場所を選択します。 Exchange 電子メール アカウント、OneDrive アカウント、Teams チャットおよびチャネル メッセージ、SharePoint サイトから選択します。

    SharePoint 内では、すべてのサイトまたは特定のサイトを指定できます。 [特定の SharePoint サイト] を選択した場合は、[URL] フィールドにサイト URL を入力できます。 [ +サイトの選択] を選択し、ポップアップ ウィンドウで、選択するサイト名の左側にあるチェック ボックスをオンにすることもできます。

    場所の選択の詳細については、こちらを参照してください。 場所の選択が完了したら、[ 次へ] を選択します。

  8. [ 条件 ] ページで、ドロップダウン メニューを使用して、ポリシーが検出する項目が最後に変更されてからの日数を選択します。

    • 30 日間
    • 60 日
    • 90 日間
    • 120 日間

    完了したら、[次へ] を選択します。

  9. [ 結果] ページで、ポリシーによって設定された条件と一致したときにユーザーに通知するかどうかを決定します。 電子メール通知ボックスをオンにすると、アクションがポリシー条件と一致すると、ユーザーに電子メール通知が送信されます。 電子メールには、メールから直接修復アクションを実行する手順と、プライバシー トレーニングへのリンクが含まれます。 メールの頻度と、優先するプライバシー トレーニングの URL を指定します。

    ユーザー通知の設定の詳細については、こちらを参照してください。 結果の選択が完了したら、[ 次へ] を選択します。

  10. [アラート] ページで、トグル スイッチを使用して、プライバシー リスク管理の [ポリシー] セクションの [アラート] ページに管理者が表示するアラートを有効にします。 アラートが生成される頻度、アラートが生成される前の一致のしきい値、アラートの重大度を指定します。 ポリシー一致のアラートの設定の詳細について説明します。 完了したら、[次へ] を選択します。

  11. [モード] ページで、最初に作成したときにポリシーをテスト モードで実行するかどうかを決定します。つまり、アラートや通知は送信されません。 テスト モードでポリシーを維持するには、 オンの位置 に切り替えスイッチを選択することをお勧めします。 ポリシーのテストの詳細については、こちらを参照してください。

注意

テスト モードで実行スイッチをオフの位置に切り替えると、作成が完了するとポリシーが有効になります。 つまり、設定したアラートまたはユーザー通知は、一致が検出されると生成を開始します。

  1. [完了] ページで、選択内容を確認します。 設定を調整するには、いずれかのセクションの下にある [編集] を選択します。 ポリシーの設定に問題がなければ、[ 送信] を選択してポリシーを作成します。

数秒後に、ポリシーが作成されたことを示す確認メッセージが表示されます。 確認ページで [完了] を選択すると、[ ポリシー ] ページに移動し、テーブルの上部に新しいポリシーが表示されます。

次の手順

ポリシーを編集および管理する方法の詳細については、 プライバシー リスク管理ポリシー に関するページを参照してください。