Azure Key Vault は、コンテナー、マネージド HSM プール、キー、シークレット、証明書、およびマネージド ストレージ アカウントの作成または更新中に顧客データを受信します。 この顧客データは、Azure portal と REST API を介して直接表示されます。 顧客データは、データを含むオブジェクトを更新または削除することで編集または削除できます。
システム アクセス ログは、ユーザーまたはアプリケーションが Key Vault にアクセスすると生成されます。 詳細なアクセス ログは、Azure Insights を使用して顧客が利用できます。
注
この記事は、デバイスまたはサービスから個人データを削除する手順について説明しており、GDPR の下で義務を果たすために使用できます。 GDPR に関する一般情報については、Microsoft Trust Center の GDPR に関するセクションおよび Service Trust Portal の GDPR に関するセクションをご覧ください。
顧客データの識別
次の情報は、Azure Key Vault 内の顧客データを識別します。
- Azure Key Vault のアクセス ポリシーには、ユーザー、グループ、またはアプリケーションを表すオブジェクト ID が含まれています
- 証明書のサブジェクトには、電子メール アドレスまたはその他のユーザーまたは組織の識別子が含まれる場合があります
- 証明書の連絡先には、ユーザーの電子メール アドレス、名前、または電話番号が含まれている場合があります
- 証明書の発行者には、電子メール アドレス、名前、電話番号、アカウント資格情報、組織の詳細が含まれている場合があります
- 任意のタグを Azure Key Vault のオブジェクトに適用できます。 これらのオブジェクトには、コンテナー、キー、シークレット、証明書、ストレージ アカウントが含まれます。 使用されるタグには、個人データが含まれている場合があります
- Azure Key Vault アクセス ログには、各 REST API 呼び出しのオブジェクト ID、 UPN、および IP アドレスが含まれています
- Azure Key Vault 診断ログには、REST API 呼び出し用のオブジェクト ID と IP アドレスが含まれている場合があります
顧客データの削除
コンテナー、キー、シークレット、証明書、およびマネージド ストレージ アカウントの作成に使用されるのと同じ REST API、ポータル エクスペリエンス、SDK でも、これらのオブジェクトを更新および削除できます。
論理的な削除を使用すると、削除後 90 日間、削除されたデータを回復できます。 論理的な削除を使用する場合、消去操作を実行することで、90 日間の保持期間が経過する前にデータが完全に削除される可能性があります。 コンテナーまたはサブスクリプションが消去操作をブロックするように構成されている場合、スケジュールされた保持期間が経過するまでデータを完全に削除することはできません。
顧客データのエクスポート
コンテナー、キー、シークレット、証明書、およびマネージド ストレージ アカウントの作成に使用されるのと同じ REST API、ポータル エクスペリエンス、SDK を使用して、これらのオブジェクトを表示およびエクスポートすることもできます。
Azure Key Vault アクセス ログは、REST API 呼び出しごとにログを生成するために有効にできるオプションの機能です。 これらのログは、組織の要件を満たすアイテム保持ポリシーを適用するサブスクリプションのストレージ アカウントに転送されます。
個人データを含む Azure Key Vault 診断ログは、ユーザー プライバシー ポータルでエクスポート要求を行うことで取得できます。 この要求は、テナント管理者が行う必要があります。