Microsoft 365 GDPR のアクションプラン、最初の 30 日間、90 日間、およびそれ以降の優先事項 - Microsoft GDPR

[アーティクル]
03/17/2023

この記事には、一般データ保護規則 (GDPR) の要件を満たすために作業するときに従うことができる優先順位付けされたアクションプランが含まれています。このアクションプランは、規制コンプライアンスを専門とする Microsoft パートナーである Protiviti と提携して開発されました。

GDPR では、欧州連合 (EU) の人々に商品やサービスを提供する企業、政府機関、非営利団体、その他の組織、または EU 居住者のデータを収集および分析する新しい規則が導入されました。 GDPR は、お客様または企業の所在地に関係なく適用されます。

アクションプランの結果

これらの推奨事項は、以下の結果に基づいて 3 段階の論理的な順序で提供されます。

フェーズ	結果
30 日間	GDPR 要件を理解して、Microsoft の GDPR アドバイザリパートナーと連携することを検討します。 * 準備状況をベンチマーク評価し、次の手順に関する推奨事項を確認します。 * Microsoft の GDPR アドバイザリパートナーと協力して、データサブジェクト要求 (DSR) • Microsoft の GDPR アドバイザリパートナーと協力して、データサブジェクト要求 (DSR) への対応に関する社内ガイドラインを確立し、社内の GDPR コンプライアンスのギャップ分析を実施し、コンプライアンスへのロードマップを確立します。社内の GDPR コンプライアンスのギャップ分析を実施し、コンプライアンスへのロードマップを確立します。 DSR に準拠するために、保持している個人データの種類や保管場所を把握します。 * セキュリティ/コンプライアンスセンターのコンテンツ検索と電子情報開示を使用して、組織全体の個人データを検出します。 * 大量のコンテンツを操作する場合は、機械学習テクノロジを利用した Microsoft Purview eDiscovery (Premium) を使用して、より効率的で正確なコンテンツ検索を実行します。
90 日間	Microsoft 365 データガバナンスとコンプライアンスの機能を使用してコンプライアンス要件の実装を開始します。 * Microsoft Purview コンプライアンスマネージャーを使用して、コンプライアンスリスクを評価および管理します。 * GDPR で定義されたとおりに、ユーザーが個人データを識別し、分類できるようにします。 Microsoft 365 のセキュリティ機能を使用して、データ侵害を防止し、個人データの保護を実装します。 * 管理者とエンドユーザーのアカウントを保護します。 * 悪意のあるコードから保護して、データ侵害の防止と対応を実装します。 * 監査ログを使用して、潜在的な悪意のあるアクティビティを監視し、データ侵害のフォレンジック分析を可能にします。 * 機密データを識別して保護するには、データ損失防止 (DLP) ポリシーを使用します。 * フィッシングメールや悪意のあるリンクや添付ファイルを含む Office ドキュメントなど、最も一般的な攻撃ベクトルを防止します。
90 日以降	Microsoft 365 の高度なデータガバナンスツールと情報保護を使用して、個人データの継続的な管理プログラムを実装します。 * ドキュメントやメールの個人情報を自動的に識別します。 * 組織全体のデバイスに保存されている個人データを保護し、機密データにアクセスする際は必ず準拠した会社のデバイスを使用するようにします。 * 確実に企業ポリシーに従った形で、機密の個人情報が保存され、アクセスされるようにします。 * 必要な期間だけ個人データを保持できるように、データ保持ポリシーを実装します。 Microsoft 365 および他のクラウドアプリケーション間で進行中のコンプライアンスを監視します。 EU 個人データのデータ所在地要件に対処することを検討してください。 * 組織に対して、クラウドアプリケーションの使用状況を監視し、高度な警告ポリシーを実装します。 * 1 つのグローバル組織としてデータ所在地要件に対処します。

30 日 — 強力なクイック勝利

これらのタスクは、ユーザーへの影響が少ない迅速で強力なタスクです。

領域	タスク
GDPR 要件を理解して、Microsoft の GDPR アドバイザリパートナーと連携することを検討します。	* Microsoft Purview コンプライアンスポータルの Microsoft Purview コンプライアンスマネージャーを使用して、organizationの GDPR 評価を実施することで、コンプライアンスリスクを評価および管理します。 * Microsoft の GDPR アドバイザリパートナーと協力して、データ主体の要求 (DSR) および DSR からの除外に対応するための社内ガイドラインを確立します。 * Microsoft の GDPR アドバイザリパートナーと協力して、組織の GDPR コンプライアンスのギャップ分析を実施し、GDPR コンプライアンスへの行程を図化するロードマップを作成します。 * Microsoft Purview コンプライアンスポータルで GDPR ダッシュボードとデータ主体要求機能を使用する方法について説明します。
DSR に準拠するために、保持している個人データの種類や保管場所を把握します。	* コンテンツ検索と電子情報開示 (標準) ケースを使用して、メールボックス、パブリックフォルダー、Microsoft 365 グループ、Microsoft Teams、SharePoint サイト、One Drive for Business サイト、Skype for Business会話を簡単に検索できます。機密情報の種類を使用して EU 市民の個人データを検索する方法をご確認ください * 大量のコンテンツを操作する場合は、機械学習テクノロジを利用した従来のキーワード (keyword)検索よりも迅速かつ正確に、特定の対象 (コンプライアンス調査など) に関連するドキュメントを特定Microsoft Purview eDiscovery (Premium) を使用して検索します。 * 検索結果のプレビュー、1 つ以上の検索のキーワード (keyword)統計の取得、コンテンツ検索の一括編集、セキュリティ & コンプライアンスセンターを使用した結果のエクスポート。

領域

タスク

GDPR 要件を理解して、Microsoft の GDPR アドバイザリパートナーと連携することを検討します。

* Microsoft Purview コンプライアンスポータルの Microsoft Purview コンプライアンスマネージャーを使用して、organizationの GDPR 評価を実施することで、コンプライアンスリスクを評価および管理します。
* Microsoft の GDPR アドバイザリパートナーと協力して、データ主体の要求 (DSR) および DSR からの除外に対応するための社内ガイドラインを確立します。
* Microsoft の GDPR アドバイザリパートナーと協力して、組織の GDPR コンプライアンスのギャップ分析を実施し、GDPR コンプライアンスへの行程を図化するロードマップを作成します。
* Microsoft Purview コンプライアンスポータルで GDPR ダッシュボードとデータ主体要求機能を使用する方法について説明します。

DSR に準拠するために、保持している個人データの種類や保管場所を把握します。

* コンテンツ検索と電子情報開示 (標準) ケースを使用して、メールボックス、パブリックフォルダー、Microsoft 365 グループ、Microsoft Teams、SharePoint サイト、One Drive for Business サイト、Skype for Business会話を簡単に検索できます。機密情報の種類を使用して EU 市民の個人データを検索する方法をご確認ください
* 大量のコンテンツを操作する場合は、機械学習テクノロジを利用した従来のキーワード (keyword)検索よりも迅速かつ正確に、特定の対象 (コンプライアンス調査など) に関連するドキュメントを特定Microsoft Purview eDiscovery (Premium) を使用して検索します。
* 検索結果のプレビュー、1 つ以上の検索のキーワード (keyword)統計の取得、コンテンツ検索の一括編集、セキュリティ & コンプライアンスセンターを使用した結果のエクスポート。

90 日間 — 強化されたコンプライアンス

タスクの計画と実装に少し時間がかかりますが、GDPR コンプライアンスの取り組み全体が強化されます。

領域	タスク
Microsoft 365 データガバナンスとコンプライアンスの機能を使用してコンプライアンス要件の実装を開始します。	* Microsoft Purview コンプライアンスポータル内で Microsoft Purview コンプライアンスマネージャーに対する GDPR コンプライアンスを管理します。 * GDPR で定義されている個人データを識別して分類するのに役立ちます。分類スキーマと、Exchange メール、SharePoint サイト、OneDrive for Work and school サイト、Microsoft 365 グループに関連付けられたOffice 365ラベルを使用します。「Microsoft 365 を使用してデータプライバシー規制の情報保護を展開する」を参照してください。
Microsoft 365 のセキュリティ機能を使用して、データ侵害を防止し、個人データの保護を実装します。	* すべてのユーザーアカウントに対して多要素認証を有効にし、すべてのアプリに対して先進認証を有効にすることで、Microsoft Cloud の管理者とエンドユーザーの認証を改善します。推奨されるポリシー構成については、「ID とデバイスのアクセス構成」を参照してください。 * 悪意のあるコードからの保護とデータ侵害の防止と対応のために、すべてのデスクトップに Microsoft Defender for Endpoint を展開します。 * すべての Exchange メールボックスに対して監査ログ記録とメールボックス監査を有効にして、潜在的な悪意のあるアクティビティを監視し、データ侵害のフォレンジック分析を可能にします。 * 金融、医療など、個人を特定できる情報を含むドキュメントやメール内の 80 種類を超える一般的な機密データを特定、監視、自動保護するためのデータ損失防止 (DLP) ポリシーを構成、テスト、展開します。 * Office 365 セキュリティソリューションを実装し、フィッシングメールや悪意のあるリンクや添付ファイルを含む Office ドキュメントなど、最も一般的な攻撃ベクトルを防止するのに役立ちます。

領域

タスク

Microsoft 365 データガバナンスとコンプライアンスの機能を使用してコンプライアンス要件の実装を開始します。

* Microsoft Purview コンプライアンスポータル内で Microsoft Purview コンプライアンスマネージャーに対する GDPR コンプライアンスを管理します。
* GDPR で定義されている個人データを識別して分類するのに役立ちます。分類スキーマと、Exchange メール、SharePoint サイト、OneDrive for Work and school サイト、Microsoft 365 グループに関連付けられたOffice 365ラベルを使用します。「Microsoft 365 を使用してデータプライバシー規制の情報保護を展開する」を参照してください。

Microsoft 365 のセキュリティ機能を使用して、データ侵害を防止し、個人データの保護を実装します。

* すべてのユーザーアカウントに対して多要素認証を有効にし、すべてのアプリに対して先進認証を有効にすることで、Microsoft Cloud の管理者とエンドユーザーの認証を改善します。推奨されるポリシー構成については、「ID とデバイスのアクセス構成」を参照してください。
* 悪意のあるコードからの保護とデータ侵害の防止と対応のために、すべてのデスクトップに Microsoft Defender for Endpoint を展開します。
* すべての Exchange メールボックスに対して監査ログ記録とメールボックス監査を有効にして、潜在的な悪意のあるアクティビティを監視し、データ侵害のフォレンジック分析を可能にします。
* 金融、医療など、個人を特定できる情報を含むドキュメントやメール内の 80 種類を超える一般的な機密データを特定、監視、自動保護するためのデータ損失防止 (DLP) ポリシーを構成、テスト、展開します。
* Office 365 セキュリティソリューションを実装し、フィッシングメールや悪意のあるリンクや添付ファイルを含む Office ドキュメントなど、最も一般的な攻撃ベクトルを防止するのに役立ちます。

90 日以降 – 継続的なプライバシー、データ管理、および報告

これらの構成は、これまでの作業に基づいて構築された重要なプライバシー対策です。

領域	タスク
Microsoft 365 の高度なデータガバナンスツールと情報保護を使用して、個人データの継続的な管理プログラムを実装します。	* 秘密度ラベルを使用して、ドキュメントやメールの個人情報を識別します。 * Microsoft Intune を展開することにより、組織全体のデバイスに保存された個人データを保護します。 * Microsoft Intune を使用して AAD 条件付きアクセスポリシーを実装し、社内ポリシーに従って機密の個人情報を確実に保存しアクセスするようにします。推奨されるポリシー構成については、「ID とデバイスのアクセス構成」を参照してください。 * 秘密度ラベル、Microsoft Purview データライフサイクル管理、保持ポリシーを使用してデータ保持ポリシーを実装し、管轄区域で必要な限り個人データを保持します。
Microsoft 365 および他のクラウドアプリケーション間で進行中のコンプライアンスを監視します。 EU 個人データのデータ所在地要件に対処することを検討してください。	データ損失防止レポートとMicrosoft Defender for Cloud Appsを使用して、クラウドアプリケーションの使用状況を監視し、ヒューリスティックとユーザーアクティビティに基づいて高度なアラートポリシーを実装します。組織、地域、およびローカルのデータ所在地の要件に対処しながら、Exchange Online メールボックス、OneDrive for Work and School サイト、および SharePoint サイト用の Microsoft の複数地域機能を使用して、1 つのグローバル organizationとして構成します。

領域

タスク

Microsoft 365 の高度なデータガバナンスツールと情報保護を使用して、個人データの継続的な管理プログラムを実装します。

* 秘密度ラベルを使用して、ドキュメントやメールの個人情報を識別します。
* Microsoft Intune を展開することにより、組織全体のデバイスに保存された個人データを保護します。
* Microsoft Intune を使用して AAD 条件付きアクセスポリシーを実装し、社内ポリシーに従って機密の個人情報を確実に保存しアクセスするようにします。推奨されるポリシー構成については、「ID とデバイスのアクセス構成」を参照してください。
* 秘密度ラベル、Microsoft Purview データライフサイクル管理、保持ポリシーを使用してデータ保持ポリシーを実装し、管轄区域で必要な限り個人データを保持します。

Microsoft 365 および他のクラウドアプリケーション間で進行中のコンプライアンスを監視します。 EU 個人データのデータ所在地要件に対処することを検討してください。

データ損失防止レポートとMicrosoft Defender for Cloud Appsを使用して、クラウドアプリケーションの使用状況を監視し、ヒューリスティックとユーザーアクティビティに基づいて高度なアラートポリシーを実装します。

組織、地域、およびローカルのデータ所在地の要件に対処しながら、Exchange Online メールボックス、OneDrive for Work and School サイト、および SharePoint サイト用の Microsoft の複数地域機能を使用して、1 つのグローバル organizationとして構成します。

詳細情報

Microsoft サービスと GDPR の詳細

アクションプランの結果

30 日 — 強力なクイック勝利

90 日間 — 強化されたコンプライアンス

90 日以降 – 継続的なプライバシー、データ管理、および報告

詳細情報

フィードバック

フィードバック

その他のリソース

Microsoft 365 GDPR のアクション プラン - 最初の 30 日間、90 日間、およびそれ以降の優先事項

アクション プランの結果

30 日 — 強力なクイック 勝利

90 日間 — 強化されたコンプライアンス

90 日以降 – 継続的なプライバシー、データ管理、および報告

詳細情報

フィードバック

フィードバック

その他のリソース

Microsoft 365 GDPR のアクションプラン - 最初の 30 日間、90 日間、およびそれ以降の優先事項

アクションプランの結果

30 日 — 強力なクイック勝利