データ保護影響評価: Microsoft Azure を利用するデータ管理者向けガイダンス
一般データ保護規則 (GDPR) の下で、データ コントローラーは、"自然人の権利と自由に対するリスクが高くなる可能性が高い" 操作を処理するために、データ保護影響評価 (DPIA) を準備する必要があります。Microsoft Azure 自体には、必ずしもそれを使用するデータ コントローラーによる DPIA の作成が必要なものはありません。 むしろ、DPIA が必要かどうかは、データ管理者が Microsoft Azure をどのように展開、構成、使用するかという方法の詳細とそのコンテキストによって決まります。 いずれの場合も、DPIA はプロジェクトの早い段階で開始し、計画と開発プロセスと並行して実行する必要があります。
このドキュメントは、データ管理者に対し、DPIA が必要であるかどうかを判断し、必要な場合には DPIA に含める詳細情報を決定する上で役立つ、Microsoft Azure に関する情報を提供することを目的としています。
注:
Microsoft はこのドキュメントでいかなる法的助言も提供いたしません。 このドキュメントは、情報提供のみを目的として提供されています。 お客様は、プライバシー責任者 (指定されている場合はデータ保護責任者 (DPO)) や弁護士、法務アドバイザーと協力して、Microsoft Azure またはその他の Microsoft オンライン サービスの使用に関連する DPIA の必要性と内容を判断することをお勧めします。
パート 1: DPIA が必要であるかどうかの判断
GDPR の第 35 条では、「特に新たな技術を用いるなどのある種の処理が、その性質、範囲、コンテキストおよび処理の目的を考慮して、自然人の権利や自由に高いリスクを生じさせる可能性がある場合」に、データ管理者がデータ保護影響評価 (DPIA) を実施することを義務付けています。さらにこの条項には、このような高リスクを示す特定の要素が規定されています。それを次の表に示します。DPIA が必要であるかどうかを判断する際には、データ管理者が、管理者固有の Microsoft Azure の導入と用途の観点から、これらの要素とその他の関連要素をすべて考慮する必要があります。
| 高リスク因子 | Microsoft Azure 関連情報 |
|---|---|
| プロファイリングを含めた自動処理に基づいて、自然人に関する個人的側面を体系的かつ広範囲に評価され、その評価に基づいて決定がなされ、その決定が自然人に関する法的効果を生じさせるかまたは自然人に同様に重大な影響を与える場合。 | Microsoft Azure サービスは、個人に法的または同様に大きな影響を与える決定に基づく処理を実行するようには設計されていません。 ただし、Azure は高度にカスタマイズ可能なサービスであるため、データ コントローラーは、そのような処理に使用する Azure サービスを構成する可能性があります。 コントローラーは、Azure の使用状況に基づいてこの決定を行う必要があります。 |
| 特別な種類のデータ (人種または民族的素性、政治的思想、宗教的または哲学的信条、あるいは労働組合員資格に関する個人データ、および遺伝データ、自然人の一意な識別のための生体データ、健康に関するデータまたは自然人の性生活あるいは性的指向に関するデータの処理)、または有罪判決および犯罪に関する個人データの大規模な処理を行う場合。 | Microsoft Azure は、特別なカテゴリの個人データを大規模に処理するようには設計されていません。 ただし、データ コントローラーは Microsoft Azure を使用して、列挙された特殊なカテゴリのデータを処理できます。 Microsoft Azure は、お客様が個人データの特別なカテゴリを含む個人データを追跡または処理できるようにする、高度にカスタマイズ可能なサービスです。 ただし、データ処理者である Microsoft にはそのような利用を制御する能力はなく、そのような利用に関する情報もほとんど持っていません。 データ管理者のデータの適切な使用方法を決定することは、データ管理者の義務です。 |
| 誰でも立ち入ることのできる場所において大規模な体系的監視を行う場合。 | Microsoft Azure は、このような監視を大規模に実施または容易にするようには設計されていません。 ただし、データ コントローラーは、Azure を使用して、このような監視によって収集されたデータを処理できます。 Microsoft Azure は、監視データを含むあらゆる種類のデータを追跡または処理できるようにする、高度にカスタマイズ可能なサービスです。 ただし、データ処理者である Microsoft にはそのような利用を制御する能力はなく、そのような利用に関する情報もほとんど持っていません。 データ管理者のデータの適切な使用方法を決定することは、データ管理者の義務です。 |
パート 2: DPIA の内容
GDPR の第 35 条 7 項では、データ保護影響評価で処理の目的と、想定される処理の体系的な説明が指定されていることを義務付けています。 包括的な DPIA の体系的な説明には、処理されるデータの種類、データの保持期間、データの場所と転送場所、データにアクセスしてデータ フロー図でサポートされるサード パーティなどの要因が含まれる場合があります。 また、DPIA には次のものを含める必要があります:
- 目的に関連した処理操作の必要性と比例性の評価。
- 自然人の権利と自由に対するリスクの評価。そして
- 保護策、セキュリティ対策、個人データの保護を確保するためのメカニズムを含むリスクに対処し、データ主体およびその他の関係者の権利と正当な利益を考慮して、この規制への準拠を実証するための措置。
次の表に、これらの各要素に関連する Microsoft Azure に関する情報を示します。 パート 1 と同様に、データ コントローラーは、Microsoft Azure のコントローラーの特定の実装と use(s) のコンテキストで、テーブルに記載されている詳細と、その他の関連する要素を考慮する必要があります。
| DPIA の要素 | Microsoft Azure 関連情報 |
|---|---|
| 処理の目的 | Microsoft Azure を使用したデータ処理の目的は、Microsoft Azure を導入、構成、使用する管理者が決定します。 製品使用条件および製品およびサービス データ保護補遺 (DPA) で指定されているように、Microsoft はデータ プロセッサとして顧客データを処理し、お客様の文書化された指示に従って顧客にオンライン サービスを提供します。 標準の 製品使用条件 および 製品およびサービス データ保護補遺 (DPA) で詳しく説明されているように、Microsoft は個人データを使用して、限られた一連の業務をサポートします。 Microsoft は、これらの特定の業務をサポートするために、個人データの処理の管理者です。 一般に、Microsoft は、業務に使用する前に個人データを集計し、特定の個人を特定する Microsoft の能力を排除し、業務に必要な処理をサポートする最小限の識別可能な形式で個人データを使用します。 顧客データまたは顧客データから得られた情報を、Microsoft がプロファイリング、広告およびその他の類似する商用目的で使用することはありません。 注: Microsoft Azure は、複数の個別のオンライン サービスで構成される処理用のオンライン クラウド プラットフォームであり、それぞれに個別の処理目的があります。 各 Microsoft Azure サービスオファリングの説明 については、こちらを参照してください。 Microsoft Azure では、パーソナル化、セキュリティ、詐欺、マルウェアの防止、トラブルシューティング、改善などのサービスの提供と互換性のある目的を含む、お客様のオンライン サービスを提供するためにのみ個人データを処理します。 |
| 処理される個人データのカテゴリ |
顧客データ: すべてのテキスト、サウンド、ビデオ、またはイメージ ファイル、ソフトウェアを含む、エンタープライズ サービスの使用を通じて顧客によって、または顧客に代わって Microsoft に提供されるすべてのデータ。 顧客データには、エンド ユーザーの (1) 識別可能な情報 (たとえば、Microsoft Entra IDのユーザー名と連絡先情報) と、顧客が特定のサービスにアップロードまたは作成する顧客コンテンツ (たとえば、Azure Storage アカウントの顧客コンテンツ、Azure SQL Database の顧客コンテンツ、Azure 内の顧客の仮想マシン イメージなど) の両方が含まれます。Virtual Machines)。 サービス生成データ: これは、使用データやパフォーマンス データなど、サービスの操作を通じて Microsoft によって生成または派生されたデータです。 これらのデータのほとんどには、Microsoft によって生成された、仮の識別子が含まれています。 サポート データ: 顧客または顧客の代理によって、オンライン サービスに関するテクニカル サポートを受ける際の Microsoft とのエンゲージメントを通して Microsoft に提供されるデータ (または Microsoft がオンライン サービスから取得することを顧客が承認するデータ) を指します。 Azure によって処理されるデータの詳細については、「製品とサービスのデータ処理契約 (DPA)」(https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA)、Microsoft セキュリティ センターなど、製品の使用条件に関するページを参照してください。 |
| データ保持 | Microsoft は、顧客がオンライン サービスを使用する権利を持つ間、およびすべての顧客データがお客様によって取得されるか、製品および製品およびサービスデータ保護補遺 (DPA) の条件に従って削除されるまで、顧客データを保持および処理します。 お客様のサブスクリプション期間中は、お客様は各オンライン サービスに保存されている顧客データにアクセスし、データを抽出できます。 Microsoft は、お客様がデータを取り出せるように、お客様のサブスクリプションの有効期限または終了後 90 日間は、無料試用版と LinkedIn サービスを除くオンライン サービスに保管されている顧客データを機能制限付きアカウントにて保持します。 90 日間の保持期間が終了すると、Microsoft はお客様のアカウントを無効にして顧客データを削除します。 お客様は、Azure Data Subject Request GDPR Documentation で説明されている機能を使用して、データ主体要求に従い個人データを削除できます。 |
| 個人データの保存場所と移転 | お客様は、特定の 地域内で保存されている顧客データをプロビジョニングする機能を持ちます。ただし、 製品条項 および Microsoft 製品およびサービス データ保護補遺 (DPA) に記載されている特定の例外が適用されます。 サービスのデプロイとデータ所在地に関するその他の詳細については、 Microsoft Data Protection Addendum (DPA) から 製品条項 と Azure グローバル インフラストラクチャ Web ページを参照してください。 欧州経済地域、スイス、および英国から転送された個人データについては、Microsoft は、第 46 条 GDPR に記載されているように、第三国または国際organizationへの個人データの転送が適切な保護措置を受けられるようにします。 プロセッサおよびその他のモデル契約に関する標準契約条項に基づく Microsoft のコミットメントに加えて、Microsoft は データ プライバシー フレームワークの条項に従います。 |
| 第三者の副処理者とのデータの共有 | Microsoft は、お客様とテクニカル サポート、サービス メンテナンス、その他の操作などの機能をサポートするために、(GDPR で定義されている) サブプロセッサーとして機能する第三者とデータを共有します。 Microsoft が顧客データ、サポート データ、または個人データを転送するサブプロセッサーは、Microsoft 製品およびサービス データ保護補遺に劣らず、Microsoft と書面による契約を締結します。 Microsoft の Core Online Services の顧客データが共有されているすべてのサード パーティのサブプロセッサは、Online Services サブプロセッサの一覧に含まれます。 サポート データにアクセスできるすべてのサード パーティのサブプロセッサ (顧客がサポートの対話中に共有することを選択した顧客データを含む) は、 Online Services サブプロセッサの一覧に含まれます。 |
| データ主体の権利 | プロセッサとして処理するとき、Microsoft は、お客様 (データ管理者) がそのデータ主体の個人データを利用できるようにし、GDPR に基づいて権利を行使するときデータ主体の要求を満たすことができるようにします。 Microsoft は、製品の機能およびデータ処理者としての役割と一貫性のある方法でこれを行います。 Microsoft が、お客様のデータ主体から GDPR に基づき 1 つ以上の権利を行使する要求を受け取った場合、その要求をデータ管理者にリダイレクトします。 Azure Data Subject Requests Guide に、Azure の機能を使用してデータ主体の権利に対応する方法が説明されています。 正当なビジネス プロセスをサポートするために処理された個人データに対する GDPR に基づく権利の行使の対象となるデータからの要求は、Microsoft のプライバシーに関する声明で明らかにされているように、Microsoft に送信する必要があります。 Microsoft は一般に、業務に使用する前に個人を集計し、集計の特定の個人の個人データを識別する立場にありません。 このアクションにより、個人に対するプライバシー リスクが軽減されます。 Microsoft が個人を特定できない場合、データ主体のアクセス、消去、移植性、処理の制限または異議に対するデータ主体の権利をサポートできません。 Azure Data Subject Request GDPR Documentation に、Azure の機能を使用してデータ主体の権利に対応する方法が説明されています。 |
| 目的に対する処理作業の必要性および比例性の評価 | このような評価は、データ管理者のニーズと処理の目的に応じて異なります。 Microsoft は、サービスの提供をサポートするために業務をサポートするために Microsoft が使用する個人データの集計などの対策を講じ、サービスを使用するデータ主体に対するそのような処理のリスクを最小限に抑えます。 Microsoft により実行される処理に関して、このような処理はサービスをデータ管理者に提供するために必須であり、またこの目的に合致しています。 |
| データ主体の権利および自由に関するリスクの評価 | Microsoft Azure の使用によるデータ主体の権利と自由に対する主なリスクは、データ コントローラーが Microsoft Azure を実装、構成、および使用する方法とコンテキストによって異なります。 Microsoft は、サービスの提供をサポートするために業務をサポートするために Microsoft が使用する個人データの集計などの対策を講じ、サービスを使用するデータ主体に対するそのような処理のリスクを最小限に抑えます。 ただしどのサービスでも、サービスで保持される個人データには、不正なアクセスや不注意による漏洩のリスクがあります。 Microsoft がこのようなリスクに対処するために講じる措置については、この記事の後半で詳しく説明するように、 製品利用規約で説明します。 |
| リスクに対処するために予定された対策。個人データの保護を確保して GDPR の遵守を証明するための、データ主体および関連する他者の権利および正当な利益に配慮した保護措置、安全対策、および仕組みを含みます | Microsoft は、顧客データのセキュリティ保護に取り組んでいます。 Microsoft が取るセキュリティ対策については、「 製品利用規約」で詳しく説明されています。 Microsoft は厳しいセキュリティ基準と業界をリードするデータ保護方法論に準拠しています。 Microsoft は、新たな脅威に対応するためにシステムを継続的に改善しています。 クラウド ガバナンスとプライバシープラクティスの詳細については、 セキュリティ センターのクラウドでのコンプライアンスの管理 に関するページを参照してください。 マイクロソフトは、処理する個人データを保護するために、適切な技術的対策および組織的対策を実施しています。 これらの対策には、社内プライバシー ポリシーとその実践、契約上の約束、国際標準および地域標準の認証などがありますが、これらに限られません。 詳細については、 セキュリティ センターの [プライバシー] ページを参照してください。 Microsoft は、Microsoft による個人データの使用と処理について説明するために、お客様向けの重要で透明性の高いセキュリティとプライバシーに関する資料を提供しています。 不明な点がありましたら、Microsoft までお問い合わせいただくことをお勧めします。 さらに、Microsoft がデータ プロセッサとして機能する場合は、データ プロセッサに適用される GDPR の適用される規定に準拠します。 Microsoft は、事業運営のために個人データを処理する場合、データ 管理者に適用される GDPR 義務に準拠します。 |