Microsoft サポート/プロフェッショナル サービスと GDPR の下での違反の通知
Microsoft Professional Services には、さまざまな技術アーキテクト、エンジニア、コンサルタント、サポート プロフェッショナルのグループが含まれており、お客様がより多くのことを行い、より多くのことを達成できるようにするという Microsoft の使命を遂行することに専念しています。 当社のプロフェッショナルサービスチームには、191カ国で働く21,000人以上のコンサルタント、デジタルアドバイザー、統合サポート、エンジニア、セールスプロフェッショナルが含まれており、46の異なる言語をサポートし、毎月数百万のエンゲージメントを管理しています。 チームは、オンプレミス、電話、Web、コミュニティ、自動ツールを通じて、顧客とパートナーの対話に取り組んでいます。 このorganizationは、Microsoft ポートフォリオ全体で幅広い専門知識を提供し、パートナー、技術コミュニティ、ツール、診断、チャネルの広範なネットワークを活用して、エンタープライズのお客様とつながります。
Microsoft Professional Services のグローバル データ保護インシデント対応チームの推進は、(a) データ保護インシデントの発生を防ぐために厳格な操作とプロセスを採用し、(b) 発生した場合に専門的かつ効率的に管理し、(c) 定期的な事後分析とプログラムの改善を通じてこれらのデータ保護インシデントから学習することです。 Microsoft の Professional Services データ保護インシデント対応チームのプロセスと結果は、複数のセキュリティ監査とコンプライアンス監査 (ISO/IEC 27001 など) によってレビューされ、証明されます。
データ保護インシデント対応の概要
Microsoft Professional Services は、お客様の保護に取り組んでおり、お客様の信頼を維持する手段として、データ保護インシデントが発生しないようにかなりの対策を講じています。 Professional Services organizationのデータ保護インシデントは、Microsoft によって処理されている間に、個人データまたはプロフェッショナル サービス データの偶発的または違法な破壊、損失、改変、不正な開示、またはアクセスにつながるセキュリティ違反です。 統合サポートまたは業界ソリューションを購入した商用のお客様の場合は、 Microsoft 製品およびサービスデータ保護補遺 (DPA) でデータ保護インシデント対応言語を参照する必要があります。
データ保護のインシデント対応プロセスの範囲と制限
個人データ漏洩の通知プロセスは、Microsoft が [個人データ漏洩] が発生したことを宣言した時点で開始されます。
宣言するには、Microsoft データ保護インシデント対応チームが、以前に定義したデータ保護インシデントが発生したと判断する必要があります。 宣言は、データ保護インシデントが発生したことを判断するために、関連するすべての情報が使用可能になるとすぐに発生します。
プロフェッショナル サービスの性質上、Microsoft データ保護インシデントのように見える一部のイベントは、顧客のアクションや顧客のシステムを通じて発生したため、必ずしもそのように分類されるとは限りません。 Microsoft Professional Services は、お客様の責任の範囲内でデータ保護インシデントを監視したり、対応したりすることはありません。 ただし、Microsoft が顧客主導のデータ保護インシデントを認識すると、このインシデントを顧客主導のデータ保護インシデントとして分類します。このインシデントは、データ保護インシデントの対応チームが "イベント" と呼び、Microsoft との対話で必要な範囲で、お客様に対する観察を通知し、要求に応じて対応を支援します。 顧客主導のデータ保護インシデントの例としては、Microsoft が顧客のパスワードやその他の機密データを誤って送信すること、データの削除要求、詐欺の被害を受けるなどがあります。
一部のアクションは、完全にこのプロセスの対象外となります。たとえば、データ保護ポリシーや標準に関するお問い合わせ、データ主体の権利の要求、オプトアウト要求、データ保護に関係のない製品要望リストやバグ レポート、顧客データが関与しないデータ保護インシデント、Microsoft に対する詐欺は対象外です。
データ保護インシデントの種類
データ保護インシデント対応チームは、プロフェッショナル サービスで発生する可能性のある一連のシナリオを特定しました。 基本的なデータ保護インシデント対応フレームワークに準拠しながら、対応プロセスを迅速化するための手順が開発およびカスタマイズされています。 たとえば、誤った方向の電子メールでは、調査がほとんど必要ない場合があります。 一方、悪意のある担当者を特定するには、違反者の活動の異常な性質のために、完全なフォレンジック調査が必要になる場合があります。 この一連のシナリオは、プロフェッショナル サービスのデータ保護インシデント対応プロセスに関する分析情報を提供する場合があります。
データ保護インシデント対応プロセス
Microsoft Professional Services がデータ保護インシデントを識別すると、Microsoft (a) がイベントを評価するに従ってトリアージ プロセスが発生し、(b) このプロセスのスコープ内であるかどうかを判断し、(c) 悪意があるかどうかを判断し、(d) 予備調査を実行して重大度レベルを割り当て、(e) Microsoft 内の適切な利害関係者とアラートと調整を行います。 チームはまた、追跡目的と事後演習の詳細の記録を開始します。
検出
Microsoft Professional Services は、オンラインとオフラインの両方で、個人データを含むすべてのデータ ストアで新たに発生するデータ保護インシデントのエコシステムを継続的に監視します。 自動アラート、顧客レポート、外部関係者からのレポート、異常の観察、悪意のあるアクティビティやハッカーアクティビティの兆候など、さまざまな方法でデータ保護インシデントを検出します。
Microsoft Professional Services で使用される検出プロセスは、データ保護インシデントを検出し、調査をトリガーするように設計されています。 以下に例を示します。
- セキュリティの脆弱性は照会対象として Microsoft 全体のレポート システムに報告されるか、プロフェッショナル サービス データ保護インシデント対応チームに直接報告されます。
- お客様はカスタマー サポート ポータルを介して、不審なアクティビティについて説明するレポートを送信します。
- プロフェッショナル サービス担当者はエスカレーションを送信します。 Microsoft スタッフは潜在的なセキュリティ問題を特定してエスカレーションする訓練を受けています。
- Professional Services を提供するプロセスで使用されるツールとシステムの場合、運用チームは内部監視とアラート フレームワークを介して自動システム アラートを使用します。 これらの警告はマルウェア対策、侵入検知などのシグネチャ ベースのアラームとして出されることも、または予期されるアクティビティをプロファイル化して異常があれば警告を発するアルゴリズムを介して出されることもあります。
データ保護インシデント対応の訓練、データ保護インシデント対応計画のテスト
継続的なトレーニングに加えて、Professional Services は毎年、適切な内部部門と連携して訓練を実行し、データ保護インシデントのエスカレーション手順、役割、責任をすべての安定化チーム メンバーに伝えます。 このトレーニングは、セキュリティ、物理的、またはプライバシー主導の本質的なデータ保護インシデントに関する主要な利害関係者を準備します。 このトレーニングには、データ保護インシデント対応チーム、セキュリティ チーム、法務チーム、コミュニケーション チームの代表者との演習が含まれます。
演習の完了後、その成果と、採用を決定した是正方法を文書化します。
データ保護インシデント対応のトレーニング
データ保護インシデント対応の重要な要素は、データ保護インシデントを特定して報告するための人材トレーニングです。 Professional Services organizationの担当者は、プライバシーの基礎、GDPR 規制、およびデータ保護インシデントを特定して報告する方法に関するその他のベスト プラクティスに関するトレーニングを受ける必要があります。
定期的なオンライン トレーニングを利用でき、すべての担当者に対して完了が必須です。 トレーニング プログラムでは、トレーニングが確実に理解され、保持されるように設計されたテスト、進行中の調査、認識、フォローアップが採用されています。
プロセス
Microsoft Professional Services organizationがデータ保護インシデントを特定する場合は、データ保護インシデントの基準が満たされているという判断から始まる、文書化された業界標準の対応計画に従います。 データ保護インシデントが発生した場合、一般にトリアージの直後に宣言されますが、複雑さに応じて、調査ステージの後を含め、必要な情報のレベルが利用可能な時点で宣言が発生する可能性があります。 一方、チームは、発生の合理的な疑いに基づいてデータ保護インシデントを宣言する裁量権を持っています。 調査が進むにつれて、チームはさまざまな段階を交互に行うこともできます。
重大度レベルに基づいて、Microsoft はデータ保護インシデントの内部事後分析を完了する場合もあります。 この演習の一環として、対応手順と運用手順の十分性が評価され、 データ保護インシデント対応標準運用手順 または関連プロセスに必要な更新プログラムが特定され、実装されます。 データ侵害の内部事後分析は、非常に機密性の高い社外秘の記録であり、顧客には公開されません。 ただし、事後分析は要約され、顧客のイベント通知に含まれる場合があります。 定期的な監査サイクルの一環として、事後処理は外部監査者によってレビューされ、フォローアップが確実に行われます。
通知
Microsoft プロフェッショナル サービスが GDPR に基づいてデータ保護インシデントを宣言した場合、Microsoft はその 72 時間以内にお客様に通知することを目標としています。
データ保護インシデントの宣言後、通知プロセスは可能な限り迅速に行われますが、迅速に移行するセキュリティ リスクを考慮します。 通知が正常に配信されるようにするには、該当する各アカウント、サブスクリプション、ポータルの管理連絡先情報オンライン サービス正しいことを確認する必要があります。 目標は、影響を受けるお客様に正確で実用的でタイムリーな通知を提供することですが、72 時間の通知コミットメントを達成するために、データ保護インシデントの初期段階ではすべての詳細が利用できない可能性があるため、最初の通知に完全な詳細が含まれていない可能性があります。 さらに、データ保護インシデントの状況により、Microsoft が詳細を差し控える必要がある場合があります。 たとえば、通知を提供する行為が他のお客様にリスクを高めたり、悪意のあるアクターをキャッチする Microsoft または法執行機関の能力を妨げたりする場合は、詳細を差し控える必要があります。
Microsoft は、データ 処理者としての能力において、お客様が通知が適切かどうかを判断する責任を負い、該当する場合は、管轄のデータ保護機関 (DPA) とお客様自身のデータ主体に個人データ侵害を通知する責任があることを認識しています。 Microsoft Professional Services は、このような状況で通知を続行するために必要な情報をお客様に提供するために取り組みます。
個人データ漏洩をお客様に通知する際、Microsoft は必要に応じて、既知となっている場合は次の情報を通知に含めます。
- 侵害の性質
- Microsoft が講じる、または提案する軽減対策
- 関与する製品、サービス、アプリケーション
- 個人データが公開された期間 (既知の場合)
- 影響が及んだ、または公開された個人データ レコードの量 (既知の場合)
- サブプロセッサ/サプライヤーの詳細 (漏洩に関与する場合)
詳細情報
Microsoft プロフェッショナル サービス (https://aka.ms/pstrust) の詳細をご確認ください。