プライバシー リスク管理のデータ転送ポリシー

新機能

データ転送ポリシーで、個人データを含むアイテムが組織外に転送されるタイミングを検出できるようになりました。 クイック セットアップ オプションを使用して新しいデータ転送ポリシーを作成する場合、外部転送は既定の転送シナリオになります。 これは、既に作成したデータ転送ポリシーの設定に影響を与えたり、変更したりすることはありません。

概要

個人データを転送すると、特に組織外に転送されたり、組織内の特定の部署や地理的な場所間で送信されたりする場合に、リスクが発生します。 たとえば、暗号化されていない電子メールまたは未承認の受信者を介してデータが送信された場合、データはセキュリティで保護されなくなる可能性があります。 このようなデータ転送アクティビティは、規制に影響を与える可能性があります。または、確立された組織のプライバシープラクティスに違反する可能性があります。

プライバシー リスク管理のデータ転送ポリシーを使用すると、組織外での個人データ転送や、さまざまな部門または国または地域間の内部転送を監視できます。 ポリシーの一致が検出されると、ユーザーに電子メール通知を送信して、コンテンツ アイテムを非公開にしたり、コンテンツ所有者に通知したり、アイテムにタグを付けて詳細なレビューを行ったりするなど、電子メールで適切な修正アクションを実行できます。

ポリシーのセットアップ プロセスにより、ポリシー条件を簡単に設定できます。 ユーザーが安全なデータ処理プラクティスに注意を向けるMicrosoft Teamsでは、アラートのタイミングと電子メールの頻度と現時点でのヒントを完全に制御できます。

ポリシーを作成する方法は 2 つあります。 テンプレート から、既定の設定を使用したクイック "すぐに使用できる" オプションです。または カスタム オプション。これは、条件、アラート、通知を設定するためのガイド付きプロセスです。

クイック セットアップ: 既定の設定でテンプレートを使用する

既定のデータ転送ポリシーでは、個人データが組織外の受信者に送信されたときに検出されます。 たとえば、組織内のユーザーが [宛先]、[Cc]、または [Bcc] フィールドの外部受信者にExchange電子メールを送信したときに見られます。

既定のデータ転送ポリシーを作成するには、次の手順に従います。

  1. Microsoft Purview コンプライアンス ポータルで、左側のナビゲーションでPriva プライバシー リスク管理を見つけて、[ポリシー] を選択します。

  2. 画面の右上隅にある [ ポリシーの作成 ] を選択すると、すべてのポリシー作成オプションが一覧表示されたポップアップ ウィンドウが表示されます。

  3. [ データ転送 ] ボックスで、[ 作成] を選択します。

  4. ポップアップ ウィンドウには、ポリシーの詳細が含まれています。 [表示設定] を選択すると、既定の設定が表示されます。 ここから設定を編集できます。ここでは、以下に示すガイド付きプロセスに進むことができます。 既定の設定を使用してポリシーを引き続き作成するには、わかりやすい名前を入力し、[ ポリシーの作成] を選択します。

ポリシーが作成され、 ポリシーが [ポリシー ] ページに一覧表示されます。 テスト モードで開始されるため、オンにする前に実行方法を監視できます。

既定のデータ転送ポリシー設定

テンプレートから作成されたデータ転送ポリシーによって、次のものが検出されます。

  • 組織内の個人データが、組織外の受信者または場所に転送または共有されている場合。
  • 個人データが組織内のこれらの場所から外部で共有されている場合:
    • Exchange。 例: 個人データを含む電子メールを、組織の外部にある受信者の電子メール アドレスに送信します。
    • OneDriveSharePoint。 例: 個人データを含むファイルまたはサイトへのリンクを組織外のユーザーに送信する。組織の外部にあるOneDriveまたはSharePointの場所にファイルをコピーまたは移動する。
    • Teams。 例: 個人データを含むTeamsチャット メッセージを、組織外の受信者に送信する。
  • 次の 分類グループに基づくデータの種類。
    • EU 一般データ保護規則 (GDPR)
    • 米国の個人を特定できる情報
    • 米国愛国者法
    • 米国の州違反通知法
    • 米国グラムリーチ-ブリリー法 (GLBA)
    • 米国医療保険の可搬性と説明責任に関する法律 (HIPAA)
    • オーストラリア健康記録法 (HRIP)
    • オーストラリアのプライバシー保護法
    • 日本の個人を特定できる情報
    • 日本の個人情報保護

カスタム セットアップ: ガイド付きポリシー作成プロセス

カスタム ポリシー オプションは、条件を設定し、アラートの重大度と頻度を指定し、ユーザーの電子メール通知をオンにすることで、新しいポリシーを作成するためのガイド付きプロセスです。

次の手順を実行して、新しいデータ転送ポリシーを作成します。

  1. Microsoft Purview コンプライアンス ポータルで、左側のナビゲーションでPriva プライバシー リスク管理を見つけて、[ポリシー] を選択します。

  2. 画面の右上にある [ ポリシーの作成 ] ボタンを選択すると、すべてのポリシー作成オプションが一覧表示されたポップアップ ウィンドウが表示されます。

  3. [ カスタム ] ボックスで、[ 作成] を選択します。

  4. [名前と種類] ページで、データ転送 ポリシー テンプレートを選択します。 [ポリシー ] ページの 一覧から簡単に識別するのに役立つポリシー名を入力し、オプションの説明を入力して、[ 次へ] を選択します。

  5. [ 監視するデータ ] ページで、ポリシーで監視する個人データの種類を選択します。 次のような 2 つのオプションがあります。

    • 分類グループ: 個人データまたは特定の規制に関連するコンテンツを検出するために使用される機密情報の種類のグループ。 このオプションを選択した場合は、[ +分類グループの追加] を選択して、指定された一覧から 1 つ以上のグループを選択する必要があります。
    • 個々の機密情報の種類: 個々の 機密情報の種類の一覧から選択するには、このオプションを選択します。

    監視するデータの選択の詳細について説明します。 監視するデータの選択が完了したら、[ 次へ] を選択します。

  6. [ ユーザーとグループ] ページで、ポリシーを適用する組織内のユーザーを選択します。 すべての個々のユーザーとすべてのOffice 365配布グループを選択することも、特定のユーザーとグループを選択することもできます。 ユーザーとグループの選択の詳細について説明します。 完了したら、[次へ] を選択します。

  7. [場所] ページで、ポリシーでカバーするMicrosoft 365内のすべてのデータの場所を選択します。 Exchangeメール アカウント、OneDrive アカウント、Teamsチャットとチャネル メッセージ、SharePoint サイトから選択します。

    SharePoint内では、すべてのサイトまたは特定のサイトを指定できます。 [特定のSharePoint サイト] を選択した場合は、[URL] フィールドにサイト URL を入力できます。 [ +サイトの選択] を選択し、ポップアップ ウィンドウで、選択するサイト名の左側にあるチェック ボックスをオンにすることもできます。

    場所の選択の詳細については、こちらを参照してください。 場所の選択が完了したら、[ 次へ] を選択します。

  8. [ 条件 ] ページで、ポリシーで検出されるデータ転送条件の種類を選択します。

    • 組織外への転送: 組織内 のユーザーまたはグループから組織外の外部ユーザーまたはゲスト ユーザーへの転送を検出します。
    • 組織内の部署間の転送: このオプションでは、送信者部門と受信者部門を選択します。 表示されるポップアップ ウィンドウの一覧から部門を選択し、[ 追加] を選択します。
    • 国の境界またはリージョン間での転送: このオプションでは、送信者リージョンと受信者リージョンを選択します。 表示されるポップアップ ウィンドウから指定した国または地域を選択し、[ 追加] を選択します。
  9. [ 結果] ページで、ポリシーによって設定された条件と一致したときにユーザーに通知するかどうかを決定します。 次のオプションの一方または両方を選択することも、チェック ボックスを空白のままにしてもどちらも選択できません。

    • Microsoft Teamsで送信されるヒント: ポリシーの条件に一致するアクションを実行すると、Teamsのユーザーインスタンスにデータ処理のヒントが表示されます。 推奨されるプライバシー トレーニングの URL を追加する必要があります。これは、ヒントにも表示されます。
    • 電子メール通知: ユーザーは、アクションがポリシー条件と一致すると、電子メール通知を受け取ります。 電子メールには、メールから直接修復アクションを実行する手順と、プライバシー トレーニングへのリンクが含まれます。 メールの頻度と、優先するプライバシー トレーニングの URL を指定します。

    ユーザー通知の設定の詳細については、こちらを参照してください。 結果の選択が完了したら、[ 次へ] を選択します。

  10. [アラート] ページで、トグル スイッチを使用して、プライバシー リスク管理の [ポリシー] セクションの [アラート] ページに管理者が表示する アラート を有効にします。 アラートが生成される頻度、アラートが生成される前の一致のしきい値、アラートの重大度を指定します。 ポリシー一致のアラートの設定の詳細について説明します。 完了したら、[次へ] を選択します。

  11. [モード] ページで、最初に作成したときにポリシーをテスト モードで実行するかどうかを決定します。つまり、アラートや通知は送信されません。 テスト モードでポリシーを維持するには、 オンの位置 に切り替えスイッチを選択することをお勧めします。 ポリシーのテストの詳細については、こちらを参照してください。

注意

テスト モードで実行 スイッチを オフ の位置に切り替えると、作成が完了すると ポリシーが有効になります。 つまり、設定したアラートまたはユーザー通知は、一致が検出されると生成を開始します。

  1. [完了] ページで、選択内容を確認します。 設定を調整するには、いずれかのセクションの下にある [編集] を選択します。 ポリシーの設定に問題がなければ、[ 送信] を選択してポリシーを作成します。

数秒後に、ポリシーが作成されたことを示す確認メッセージが表示されます。 確認ページで [完了] を選択すると、[ ポリシー ] ページに移動し、テーブルの上部に新しいポリシーが表示されます。

次の手順

ポリシーを編集および管理する方法の詳細については、 プライバシー リスク管理ポリシー に関するページを参照してください。