プライバシー リスク管理のデータの露出超過ポリシー

組織は、パブリックにアクセスできる領域や制限されている他の領域など、さまざまなアクセス レベルでコンテンツを格納できます。 データの露出過剰ポリシーは、組織によって格納されたデータのセキュリティが不十分な状況を検出して処理するのに役立ちます。 たとえば、内部サイトへのアクセスが多数のユーザーに対して開かれている場合、またはアクセス許可の設定が維持されていない場合、そのサイトに保存されている個人データは侵害の影響を受ける可能性があります。 データの露出超過ポリシーでは、これらのリスクについてデータを評価し、潜在的な問題についてアラートを表示できます。

ポリシーの一致が検出されると、問題を解決するための修復オプションを含む電子メール通知をユーザーに送信できます。 データの露出超過の場合は、コンテンツ アイテムを非公開にしたり、コンテンツ所有者に通知したり、アイテムにタグを付けて詳細を確認したりすることが含まれます。

ポリシーのセットアップ プロセスにより、ポリシー条件を簡単に設定できます。 アラートのタイミングと電子メールの頻度を完全に制御して、ユーザーが安全なデータ処理プラクティスに注意を向けさせます。

ポリシーを作成する方法は 2 つあります。 テンプレート から、既定の設定を使用したクイック "すぐに使用できる" オプションです。または カスタム オプション。これは、条件、アラート、通知を設定するためのガイド付きプロセスです。

クイック セットアップ: 既定の設定でテンプレートを使用する

既定のデータ露出超過ポリシーでは、パブリック、外部、および内部の 3 つのアクセス レベルすべてで個人データが評価されます。

既定のデータ転送ポリシーを作成するには、次の手順に従います。

  1. Microsoft Purview コンプライアンス ポータルで、左側のナビゲーションでPriva プライバシー リスク管理を見つけて、[ポリシー] を選択します。

  2. 画面の右上隅にある [ ポリシーの作成 ] を選択すると、すべてのポリシー作成オプションが一覧表示されたポップアップ ウィンドウが表示されます。

  3. [ データの露出超過 ] ボックスで、[ 作成] を選択します。

  4. ポップアップ ウィンドウには、ポリシーの詳細が含まれています。 [表示設定] を選択すると、既定の設定が表示されます。 ここから設定を編集できます。ここでは、以下に示すガイド付きプロセスに進むことができます。 既定の設定を使用してポリシーを引き続き作成するには、わかりやすい名前を入力し、[ ポリシーの作成] を選択します。

ポリシーが作成され、 ポリシーが [ポリシー ] ページに一覧表示されます。 テスト モードで開始されるため、オンにする前に実行方法を監視できます。

既定のデータの露出超過ポリシー設定

テンプレートから作成されたデータの露出超過ポリシーは、次の点を検出します。

  • ユーザーが、組織のOneDriveまたはSharePointに格納されている個人データを含む項目に対して過度に広範なアクセス権を提供する場合。 たとえば、ポリシーは、次の方法で個人データの共有を検出します。
    • 一般のユーザーがアクセスできるリンクを通じて
    • リンクを通じて、または組織内のすべてのユーザーがアクセスできるようにするアクセス許可が原因で
    • 外部ユーザーまたはゲストにOneDriveファイルまたはSharePoint ファイルへのアクセス権を付与する
  • 次の 分類グループに基づくデータ型。
    • EU 一般データ保護規則 (GDPR)
    • 米国の個人を特定できる情報
    • 米国愛国者法
    • 米国の州違反通知法
    • 米国グラムリーチ-ブリリー法 (GLBA)
    • 米国医療保険の可搬性と説明責任に関する法律 (HIPAA)
    • オーストラリア健康記録法 (HRIP)
    • オーストラリアのプライバシー保護法
    • 日本の個人を特定できる情報
    • 日本の個人情報保護

カスタム セットアップ: ガイド付きポリシー作成プロセス

カスタム ポリシー オプションは、条件を設定し、アラートの重大度と頻度を指定し、ユーザーの電子メール通知をオンにすることで、新しいポリシーを作成するためのガイド付きプロセスです。

次の手順を実行して、新しいデータの露出過剰ポリシーを作成します。

  1. Microsoft Purview コンプライアンス ポータルで、左側のナビゲーションでPriva プライバシー リスク管理を見つけて、[ポリシー] を選択します。

  2. 画面の右上にある [ ポリシーの作成 ] ボタンを選択すると、すべてのポリシー作成オプションが一覧表示されたポップアップ ウィンドウが表示されます。

  3. [ カスタム ] ボックスで、[ 作成] を選択します。

  4. [名前と種類] ページで、Data overexposure ポリシー テンプレートを選択します。 [ポリシー ] ページの 一覧から簡単に識別するのに役立つポリシー名を入力し、オプションの説明を入力して、[ 次へ] を選択します。

  5. [ 監視するデータ ] ページで、ポリシーで監視する個人データの種類を選択します。 次のような 2 つのオプションがあります。

    • 分類グループ: 個人データまたは特定の規制に関連するコンテンツを検出するために使用される機密情報の種類のグループ。 このオプションを選択した場合は、[ +分類グループの追加] を選択して、指定された一覧から 1 つ以上のグループを選択する必要があります。
    • 個々の機密情報の種類: 個々の 機密情報の種類の一覧から選択するには、このオプションを選択します。

    監視するデータの選択の詳細について説明します。 監視するデータの選択が完了したら、[ 次へ] を選択します。

  6. [ ユーザーとグループ] ページで、ポリシーを適用する組織内のユーザーを選択します。 すべての個々のユーザーとすべてのOffice 365配布グループを選択することも、特定のユーザーとグループを選択することもできます。 ユーザーとグループの選択の詳細について説明します。 完了したら、[次へ] を選択します。

  7. [場所] ページで、ポリシーでカバーするMicrosoft 365内のすべてのデータの場所を選択します。 OneDrive アカウントとSharePoint サイトから選択します。

    SharePoint内では、すべてのサイトまたは特定のサイトを指定できます。 [特定のSharePoint サイト] を選択した場合は、[URL] フィールドにサイト URL を入力できます。 [ +サイトの選択] を選択し、ポップアップ ウィンドウで、選択するサイト名の左側にあるチェック ボックスをオンにすることもできます。

    場所の選択の詳細については、こちらを参照してください。 場所の選択が完了したら、[ 次へ] を選択します。

  8. [ 条件 ] ページで、ポリシーが検出するデータの露出超過条件の種類を選択します。

    • パブリック: リンクを持つすべてのユーザーがコンテンツにアクセスできます。
    • 外部: 組織外の特定のユーザーがアクセスできます。
    • 内部: 組織内のすべてのユーザーがアクセス権を持ちます。

    複数のアクセス レベルを選択すると、データの範囲が広がり、アラートやユーザー通知の量が大幅に増える可能性があります。

    選択したボックスの横にあるチェック ボックスをオンにし、[ 次へ] を選択します。

  9. [ 結果] ページで、ポリシーによって設定された条件と一致したときにユーザーに通知するかどうかを決定します。 電子メール通知ボックスをオンにすると、アクションがポリシー条件と一致すると、ユーザーに電子メール通知が送信されます。 電子メールには、メールから直接修復アクションを実行する手順と、プライバシー トレーニングへのリンクが含まれます。 メールの頻度と、優先するプライバシー トレーニングの URL を指定します。

    ユーザー通知の設定の詳細については、こちらを参照してください。 結果の選択が完了したら、[ 次へ] を選択します。

  10. [アラート] ページで、トグル スイッチを使用して、プライバシー リスク管理の [ポリシー] セクションの [アラート] ページに管理者が表示する アラート を有効にします。 アラートが生成される頻度、アラートが生成される前の一致のしきい値、アラートの重大度を指定します。 ポリシー一致のアラートの設定の詳細について説明します。 完了したら、[次へ] を選択します。

  11. [モード] ページで、最初に作成したときにポリシーをテスト モードで実行するかどうかを決定します。つまり、アラートや通知は送信されません。 テスト モードでポリシーを維持するには、 オンの位置 に切り替えスイッチを選択することをお勧めします。 ポリシーのテストの詳細については、こちらを参照してください。

注意

テスト モードで実行 スイッチを オフ の位置に切り替えると、作成が完了すると ポリシーが有効になります。 つまり、設定したアラートまたはユーザー通知は、一致が検出されると生成を開始します。

  1. [完了] ページで、選択内容を確認します。 設定を調整するには、いずれかのセクションの下にある [編集] を選択します。 ポリシーの設定に問題がなければ、[ 送信] を選択してポリシーを作成します。

数秒後に、ポリシーが作成されたことを示す確認メッセージが表示されます。 確認ページで [完了] を選択すると、[ ポリシー ] ページに移動し、テーブルの上部に新しいポリシーが表示されます。

次の手順

ポリシーを編集および管理する方法の詳細については、 プライバシー リスク管理ポリシー に関するページを参照してください。