データ保護影響評価: Microsoft Office 365 を利用するデータ管理者向けガイダンス
一般データ保護規則 (GDPR) に基づき、データ管理者は「自然人の権利や自由に高リスクを生じさせる可能性のある」処理作業に関するデータ保護影響評価 (DPIA) を準備することを義務付けられています。Office 365 自体には、それを使用するデータ管理者に DPIA を作成することを要求する仕組みはありません。DPIA が必要であるかどうかは、データ管理者に置ける Office 365 の展開、構成、使用する方法の詳細と状況に応じて決まります。
このドキュメントのパート 1 は、データ管理者として DPIA が必要かどうかを判断するのに役立つ Office 365 に関する情報を提供します。 答えが「はい」の場合、このドキュメントのパート 2 および 3 から、Microsoft からのドラフト作成に役立つ重要な情報を確認できます。 具体的には、パート 2 から、DPIA の必要な要素ごとにすべての Office 365 サービスに適用できる回答を確認できます。 パート 3 からは、独自の DPIA を作成する目的において、お客様にとって最も関連性の高い、数々の情報ニーズに対応する製品固有の追加情報を提供します。 パート 3 には、DPIAの作成を簡単にするためにダウンロードおよび変更できる、DPIA ドキュメントの例も含まれています。
Office 365 のアプリケーションとサービスには、Exchange Online、SharePoint Online、OneDrive for Business、Yammer、および Microsoft Teams が含まれますが、これらに限定されません。 Office 365 で利用できるサービスのより完全なリストは、Office 365 データ主体要求ガイド の表 1 および 2 に記載されています。
パート 1: DPIA が必要であるかどうかの判断
GDPR の第 35 条では、「特に新たな技術を用いるなどのある種の処理が、その性質、範囲、文脈および処理の目的を考慮して、自然人の権利や自由に高リスクを生じさせる可能性がある場合」に、データ管理者がデータ保護影響評価を実施することが義務付けられています。さらに、そのような高いリスクを示す具体的な因子も規定されています。これらの因子は次の表で説明します。DPIA が必要であるかどうかを判断する際には、データ管理者が、管理者固有の Office 365 の導入と用途の観点から、これらの要素とその他の関連要素をすべて考慮する必要があります。
| リスク要素 | Office 365 の関連情報 |
|---|---|
| プロファイリングを含めた自動処理に基づいて、自然人に関する個人的側面を体系的かつ広範囲に評価され、その評価に基づいて決定がなされ、その決定が自然人に関する法的効果を生じさせるかまたは同様に自然人に重大な影響を与える場合 | データ管理者の構成によっては、ユーザーが組織内でどのように共同作業を行っているかに関してユーザーのメールボックスのメールと予定表のヘッダー情報からデータ管理者が有益な情報を引き出すことを可能にする Workplace Analytics の分析などのような、データの特定の自動処理が Office 365 で実行される場合があります。 Office 365 は、個人に対して法的な、または重大な影響をもたらす意思決定の基準として、自動処理を実行するように設計されたものではありません。ただし、Office 365 は高度なカスタマイズが可能なサービスであるため、データコントローラーがそのような処理に使用できる可能性があります。 |
| 特別な種類のデータ (人種もしくは民族的素性、政治的思想、宗教的もしくは哲学的信条、または労働組合員資格を明かす個人データ、一意な識別を目的とした遺伝データおよび自然人の生体データの処理、健康に関するデータ、または自然人の性生活もしくは性的指向に関するデータ)、または有罪判決および犯罪に関する個人データを大規模に処理 1 する場合。 | Office 365 は、特別な種類の個人データを処理するようには設計されていません。 ただし、データコントローラーは、Office 365 を使用して列挙された特殊なカテゴリのデータを処理することもできます。Office 365 は、ユーザーが個人データの特別なカテゴリを含む、あらゆる種類の個人データを追跡または処理できるようにする、高度にカスタマイズ可能なサービスです。このような使用法は、DPIA を必要とするかどうかに関する管理者の判断に関連します。ただし、データ処理者である Microsoft にはそのような利用を制御する能力はなく、そのような利用に関する情報もほとんど持っていません。 |
| 誰でも立ち入ることのできる場所において大規模な体系的監視を行う場合 | Office 365 は、そのような監視を実施したり容易にしたりするようには設計されていません。 ただし、データ管理者が Office 365 を使用して、このような監視から得られたデータを処理する可能性があります。 |
注意
1 「大規模」な処理という条件に関して、GDPR の前文 91 では次のように説明しています。"個人データの処理は、処理が個々の医師、他の医療専門家、または弁護士の患者または依頼主に関するものである場合、大規模な処理とはみなされない。その場合、データ保護影響評価は必須ではない"。
パート 2: DPIA の内容
GDPR 第 35 条 (7) は、データ保護影響評価において処理の目的を特定し、想定される処理の体系的な説明を行うことを義務付けています。Microsoft の DPIA では、こうした体系的な説明には、処理するデータの種類、データの保存期間、データの保存場所と移動先、およびデータへのアクセス権を持つサードパーティの要素が含まれています。また、DPIA には次のものを含める必要があります。
- 目的に関する処理作業の必要性および比例性の評価
- 自然人の権利および自由に関するリスクの評価
- リスクに対処するために予定された対策。個人データの保護を確実にするとともに、データ主体と関係する他者の権利および正当な権利を考慮し、本規則の順守を実証する保護措置、安全対策、および安全メカニズムを含みます。
次の表は、DPIA の作成に役立つ Microsoft からの主要な情報を提供します。表には、DPIA の必須要素のそれぞれに関連した Office 365 についての情報が含まれます。パート 1 と同様、データ管理者は、データ管理者の組織での Office 365 の実装と使用の詳細とともに、下記の詳細を考慮する必要があります。
| リスク要因 | Office 365 の関連情報 |
|---|---|
| 処理の目的 | Office 365 を使用したデータ処理の目的は、Office 365 を導入、構成、使用する管理者が決定します。 オンライン サービスの使用条件およびデータ保護補遺に定められているように、Microsoft はデータ処理者として、お客様の文書化された指示に従って顧客データを処理し、お客様にオンライン サービスを提供します。 標準のオンライン サービスの使用条件およびデータ保護補遺に記載されているとおり、Microsoft では、以下により構成される限定的で正当な業務をサポートするために個人データを使用します。 (1) 課金およびアカウント管理。 (2) 報酬 (従業員の歩合の算出、パートナー インセンティブの算出など)。 (3) 内部レポートおよびモデリング (たとえば、予測、収益、キャパシティ プランニング、製品戦略)。 (4) 詐欺、サイバー犯罪、または Microsoft または Microsoft 製品に影響を与える可能性があるサイバー攻撃に対する対処。 (5) アクセシビリティ、プライバシー、エネルギー効率のためのコア機能の強化。 (6) 財務報告および (オンライン サービス使用条件に記載されている顧客データの開示に関する制限の対象となる) 法的義務の遵守。 Microsoft は、特定の正当な業務をサポートするために個人データを処理する管理者です。通常、Microsoft では、正当な業務のために個人データを使用する前に個人データを集計し、Microsoft が特定の個人を特定できないようにして、正当な業務の処理の実施に必要とされる最小限の識別可能な形式で個人データを使用します。 顧客データまたは顧客データから得られた情報を、Microsoft がプロファイリング、広告およびその他の類似する商用目的で使用することはありません。 |
| 処理される個人データのカテゴリ | 顧客データ: 顧客または顧客の代理が Microsoft オンライン サービスの使用を通じて Microsoft に提供する、テキスト、音声、ビデオ、画像ファイル、およびソフトウェアを含むすべてのデータを指します。 保存、処理、およびカスタマイズするために顧客がアップロードするデータも含まれます。 Office 365 で処理される顧客データの例には、Exchange Online のメール コンテンツや SharePoint Online または OneDrive for Business に保存されているドキュメントやファイルが含まれます。 サービス生成データ: 使用データやパフォーマンス データなど、サービスの操作を通じて、Microsoft によって生成または派生されるデータを指します。 これらのデータのほとんどには、Microsoft によって生成された、仮の識別子が含まれています。 診断データ: このデータは、オンライン サービスに接続されているお客様によってローカルにインストールされたソフトウェアから、Microsoft によって収集または取得され、テレメトリとも呼ばれています。 このデータは通常、ローカルにインストールされているソフトウェア、またはそのソフトウェアを実行しているコンピューターの属性によって識別されます。 サポート データ: 顧客または顧客の代理によって、オンライン サービスに関するテクニカル サポートを受ける際の Microsoft とのエンゲージメントを通して Microsoft に提供されるデータ (または Microsoft がオンライン サービスから取得することを顧客が承認するデータ) です。 顧客データ、システム生成ログ、及びサポート データには、お客様の管理者の連絡先情報、サブスクリプション情報、支払データなどの、マイクロソフトがデータ管理者として収集、処理する管理者データや請求データは含まれません。この詳細は、このドキュメントでは説明しません。 |
| データ保持 | 顧客データ: オンライン サービスの使用条件の中のデータ保護条件に規定される通り、お客様がサービスを利用する権利がある間は、お客様の指示またはオンライン サービス使用条件に従ってすべての顧客データが削除または返却されるまでは、Microsoft は顧客データを保持します。 お客様は、お客様のサブスクリプションの期間中はサービスに保管されている顧客データにいつでもアクセスし、取り出し、削除することができます。ただし、製品ドキュメントで詳しく説明されている通り、不注意による削除の危険を軽減するための特定のサービスの機能による一部の制約 (例えば、Exchange が回復したアイテム フォルダー) を受けます。 マイクロソフトは、お客様がデータを取り出せるように、お客様のサブスクリプションの有効期限または終了後 90 日間は、無料試用版と LinkedIn サービスを除くオンライン サービスに保管されている顧客データを機能制限付きアカウントにて保持します。90 日間の保持期間が終了すると、マイクロソフトはお客様のアカウントを無効にして顧客データを削除します。 サービス生成データ: サービスのセキュリティの必要上、または法律上または規制上の義務の遵守ためにより長い保持期間が必要な場合を除き、このデータは収集後、最大で 180 日間の既定の期間保持されます。 サービスに保管されている個人データをお客様がいつでも削除できるようにするサービスの機能の詳細については、「Office 365 データ主体要求ガイド」を参照してください。 |
| 個人データの保存場所と移転 | オンライン サービスの使用条件の別紙 1 で説明されるように、お客様がオーストラリア、カナダ、欧州連合、フランス、インド、日本、韓国、イギリス、または米国に Office 365 のインスタンスをプロビジョニングする場合、Microsoft は次の保存中の顧客データを次の場所にのみ保存します。(1) Exchange Online メールボックスのコンテンツ (メール本文、予定表のエントリ、メール添付ファイルの内容)、(2) SharePoint Online サイトのコンテンツとサイトに保存されているファイル、(3) OneDrive for Business にアップロードされたファイル、および (4) Project Online にアップロードされたプロジェクトのコンテンツ。 欧州経済地域、スイス、およびイギリスからの個人データについては、Microsoft は、GDPR の第 46 条に記載されているように、第三国または国際組織への個人データの転送が適切な保護措置の対象であることを保証します。 プロセッサおよびその他のモデル契約に関する標準契約条項に基づく Microsoft のコミットメントに加えて、Microsoft は引き続きプライバシー シールド フレームワークの条件を順守しますが、EU/EEA からアメリカ合衆国への個人データの転送の基礎としてこれに依存しなくなります。 |
| 第三者の副処理者とのデータの共有 | マイクロソフトは、お客様サポートやテクニカル サポートなどのサポート機能、サービス メンテナンス、およびその他の作業のために、副処理者である第三者とデータを共有します。マイクロソフトが顧客データ、サポート データ、または個人データを転送する協力会社は、マイクロソフトとの間で書面による契約を締結しています。この契約による保護は、オンライン サービスの使用条件のデータ保護条件と同等です。マイクロソフトの主要オンライン サービスでの顧客データを共有するすべての第三者の協力会社は、オンライン サービス協力会社一覧に記載されています。サポート データ (サポート連絡の最中にお客様が共有した顧客データを含む) にアクセスする可能性があるすべての第三者の協力会社は、マイクロソフト 商用サポート業者一覧に記載されています。 |
| 独立した第三者とのデータの共有 | 一部の Office 365 製品では、管理者の決定により独立した第三者とのデータ共有を有効にきる拡張性オプションが提供されています。たとえば、Exchange Online は拡張可能なプラットフォームで、第三者のアドインやコネクタが Outlook と統合して Outlook の機能セットを拡張させることが可能です。そうしたアドインまたはコネクタの第三者の提供者の活動はマイクロソフトから独立しており、提供されるアドインやコネクタに関しては、アドインまたはコネクタのアカウントでの認証によりユーザーまたはエンタープライズ管理者が有効にする必要があります。 マイクロソフトは法律で要求されない限り、顧客データまたはサポート データを開示することはありません。法執行機関からマイクロソフトに対し、顧客データまたはサポート データが要請される場合、マイクロソフトはお客様に直接要請するように法執行機関に案内するよう努めます。法律で禁止されている場合を除き、顧客データまたはサポートデータを法執行機関に開示せざるを得ない場合にはそれをお客様に速やかに通知し、コピーをお客様にお渡しします。 マイクロソフトは、法律により禁じられている場合を除き、その他の第三者から顧客データまたはサポート データが要請された場合、それをお客様に速やかに通知します。有効な要請の場合、マイクロソフトはお客様に直接データを要請するように第三者に案内するよう努めます。 |
| データ主体の権利 | Microsoft は、処理者として活動するとき、お客様 (データ管理者) がそのデータ主体の個人データを利用できるようにし、GDPR に基づいて権利を行使するときデータ主体の要求を満たすことができるようにします。製品の機能および処理者として役割と一貫性のある方法で行います。お客様のデータ主体から GDPR に基づき 1 つ以上の権利を行使する要求を受け取った場合、データ主体をリダイレクトしてデータ管理者に直接要求できるようにします。Office365 Data Subject Request GDPR Documentation に、Office 365 の機能を使用してデータ主体の権利に対応する方法が説明されています。 Microsoft プライバシー ステートメントに明記されているように、正当な業務をサポートするために処理された個人データに対して GDPR に基づき権利を行使するデータ主体からの要求は、Microsoft に転送する必要があります。 Microsoft は、通常、正当な業務のために使用する前に個人データを集計するため、その集計内から特定の個人の個人データを特定することはできません。 これにより、個人に対するプライバシー リスクが大幅に軽減されます。 Microsoft が個人を特定できない場合、データ主体のアクセス、消去、移植性、処理の制限または異議に対するデータ主体の権利をサポートできません。 |
| 目的に対する処理作業の必要性および比例性の評価 | このような評価は、管理者のニーズと処理の目的に応じて異なります。 マイクロソフトにより実行される処理に関して、このような処理はサービスをデータ管理者に提供する目的のために必須であり、またこの目的に合致しています。 |
| データ主体の権利および自由に関するリスクの評価 | Office 365 の使用に伴うデータ主体の権利および自由に関する主なリスクは、データ管理者が Office 365 を導入、構成、使用する方法およびその文脈に対応します。 Microsoft は、正当な業務をサポートするために Microsoft が使用する個人データの匿名化または集計などの手段を講じて、サービスのプロビジョニングをサポートし、データを使用するデータ主体に対するこのような処理のリスクを最小化します。 ただしどのサービスでも、サービスに保持される個人データには、不正なアクセスや不注意による漏洩のリスクがあります。このようなリスクに対する Microsoft の対策について以下で説明します。 |
| リスクに対処するために予定された対策。個人データの保護を確保して GDPR の遵守を証明するための、データ主体および関連する他者の権利および正当な利益に配慮した保護措置、安全対策、および仕組みを含みます | Microsoft は、お客様の情報のセキュリティ保護に努めています。Microsoft では、GDPR 第 32 条の規定に従い、顧客データおよびサポート データを偶発的、不正、または不法なアクセス、漏洩、改ざん、損失、破損から保護することを目的とした適切な技術的および組織的措置を導入しており、今後も維持および実施してまいります。 また、マイクロソフトはデータ処理者に適用されるその他のすべての GDPR の義務に準拠しています。これには、データ保護影響評価および記録管理の実施などが含まれます。 Microsoft が、正当な業務のために,個人データを処理する場合、データ管理者に適用される GDPR の義務を遵守します。 |
パート3: DPIA の作成に役立つ情報
組織が DPIA の草案を作成する必要があると判断した場合、このセクションの情報は、そのプロセスを簡単にするのに役立ちます。
このセクションの内容
- Office 365 および製品固有の情報に関連するサービス要素を提供します
- ダウンロード、変更、および独自の DPIA の草案作成に使用できる、空白のモデル DPIA テンプレートを提供します。
DPIA サービス要素マトリックス
DPIA Service Elements Matrix は、DPIA の文書化を開始するときに役立つ可能性があるコンテンツの編成です。 これはサービスごとに編成されており、製品固有の情報とドキュメントへのリンクを提供します。これにより、要求された DPIA 要素に対する応答性の高い回答をより簡単に作成できます。
カスタマイズ可能な DPIA ドキュメント
DPIA の草案作成は、時間のかかる作業になる可能性があります。 各顧客の DPIA は、組織が Office 365 をどのように構成および使用しているかによって異なりますが、次のドキュメントを使用すると時間を節約できます。 カスタマイズ可能な DPIA ドキュメントを変更可能なテンプレートの例としてダウンロードして、すぐに開始できます。 サービスの特定の実装に合わせて、自由にご利用ください。 このドキュメントは、Microsoft またはその関連会社が提供する法的助言として解釈されるべきではありません。 DPIA の草案作成プロセスに関して質問がある場合は、弁護士に相談することをお勧めします。