コンプライアンスとデータ プライバシー
Microsoft 最高レベルの信頼性、透明性、標準準拠、規制遵守に取り組んでいます。 Microsoftの幅広いクラウド製品とサービスはすべて、お客様の最も厳格なセキュリティとプライバシーの要求に応えるためにゼロから構築されています。
個人データの収集と使用を規定する国、地域、業界固有の要件に組織が準拠できるように、 Microsoft は、あらゆるクラウド サービス プロバイダーの中で最も包括的なコンプライアンス サービス (認定および証明書を含む) を提供します。 また、管理者が組織の活動を支援するためのツールも用意されています。 ドキュメントのこの部分では、独自の組織の要件を決定および達成するために利用できるリソースについて詳しく説明します。
セキュリティ センター
Microsoft トラスト センター は、 Microsoftの製品ポートフォリオに関する情報を取得するための集中リソースです。 これにはセキュリティ、プライバシー、コンプライアンス、および透過性での情報が含まれます。 このコンテンツにはこの情報のサブセットが含まれている場合がありますが、最新の信頼できる情報については、常に Power Appsトラスト センターを参照することが重要です。 Microsoft
クイック リファレンスとして、https://www.microsoft.com/trust-center/product-overview で Microsoft Power Platform のセキュリティ センター情報を参照してください。 これには、Power Apps、Microsoft Power Automate、Power BI の情報が含められます。
データの場所
Microsoft Powerプラットフォーム アプリケーションをサポートする複数のデータ センターを世界中で運営しています。 Microsoft 組織がテナントを確立すると、既定の地理的な (物理的) 場所が確立されます。 また、アプリケーションをサポートし、Microsoft Dataverse データを含む環境を作成する場合、環境は特定の地域を対象とすることができます。 Microsoft Power Platform の地域の現在のリストは https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location で参照できます
運用の継続性をサポートするために、 Microsoft はgeo内の他のリージョンにデータを複製する場合があります。ただし、データの回復力をサポートするために、データはgeoの外部に移動されません。 これにより、深刻な停止が発生した場合にフェイルオーバーまたはより迅速に回復する機能がサポートされます。 上記のサイトにリストされている特定の地域にデータを保持することには、法的およびサポートに重点を置いた合理的な例外がいくつかあります。 また、地域外にデータを公開するアクションを実行できる点に注意することも重要です。 他のサービスが、データにアクセスし、地域外で公開されるよう構成することもできます。 既定では、承認されたユーザーは、接続が可能な世界のどこからでもプラットフォームやアプリケーションおよびデータにアクセスできます。
データ保護
ユーザー デバイスとデータセンター間で転送されるデータは保護されます。 Microsoft 顧客とデータセンター間で確立された接続は暗号化され、すべてのパブリック エンドポイントは業界標準のTLSを使用して保護されます。 Microsoft TLS は、セキュリティが強化されたブラウザーからサーバーへの接続を確立し、デスクトップとデータセンターの間でデータの機密性と整合性を確保することができます。 また、顧客エンドポイントからサーバーへの API アクセスも同様に保護されます。 現在、サーバー エンドポイントにアクセスするには TLS 1.2 (またはそれ以上) が必要になります。
オンプレミスのデータ ゲートウェイ経由で転送されたデータも暗号化されます。 ユーザーがアップロードするデータは通常 Azure Blob Storage に送信され、システム自体のすべてのメタデータおよびアーティファクトはAzure SQL Database および Azure Table storage に保存されます。
Dataverse データベースのすべての環境は、SQL Server Transparent Data Encryption (TDE) を使用して、ディスクへの書き込み時にリアルタイムの暗号化を実行し、保管時の暗号化としても知られています。
デフォルトでは、 Microsoft が環境のデータベース暗号化キーを保存および管理するため、ユーザーが行う必要はありません。 Power Platform 管理センターの管理キー機能は、管理者が Dynamics 365 (online) の環境に関連付けられたデータベース暗号化キーを自己管理できるようにします。 独自のキーの管理の詳細については、 こちら をご覧ください。ただし、独自のキーを維持する特定のビジネス ニーズがない限り、通常は、 Microsoft キーを管理することが推奨されます。
GDPR コンプライアンスを管理するためのリソース
欧州連合 (EU) の一般データ保護規則 (GDPR) は、データに関する重要な権利を個人に与えています。 GDPRの概要については、 Microsoft Learn 一般データ保護規則 の概要 を参照してください。これには、製品およびサービスを使用する際にGDPRに基づく義務を果たすのに役立つ用語、アクション プラン、準備チェックリストが含まれます。 Microsoft
GDPRの詳細と、 Microsoft この活動と、この活動の影響を受けるお客様をどのようにサポートしているかをご覧ください。
- Microsoft トラスト センター では、データ保護影響評価、データ主体の要求、データ侵害通知など、GDPRの説明責任に役立つ一般情報、コンプライアンスのベスト プラクティス、ドキュメントが提供されます。
- サービス トラスト ポータル では、 Microsoft サービスがGDPRへの準拠をどのようにサポートするかについての情報が提供されます。
管理者としてプライバシーをサポートする主要な活動の 1 つは、データ主体の権利 (DSR) 要求に関連しています。 これらはデータ主体からデータ コントローラー (おそらく組織) に対する、システムの個人データで操作するための正式な要求です。 データ主体は、コピーの取得、修正の要求、データ処理の制限、データの削除、および別のデータ管理者に移動できるように電子形式でコピーを受信する権利を持っています。
次のリンクは、組織が使用している機能により DSR 要求への応答が容易になる詳細情報をポイントします。
| プラットフォーム機能エリア | 詳細な応答ステップへのリンク |
|---|---|
| Power Apps | データ主体の権利(DSR)による顧客データのエクスポート要求への対応 Power Apps |
| Dataverse | 顧客データに関するデータ主体の権利(DSR)要求への対応 Dataverse |
| Power Automate | データ主体の要求への対応 Power Automate |
| Microsoft アカウント (MSA) | データ主体の権利要求に応じる |
| 顧客エンゲージメント アプリ | Dynamics 365データ主体のプライバシー要求 |
Microsoft 365 セキュリティおよびコンプライアンス センター
Microsoft Purview Compliance Manager を使用すると、 Microsoft クラウド サービス全体のコンプライアンスの取り組みを1か所で管理できます。
Power Automate 監査ログのイベント
コンプライアンス センターの監査ログ検索で、管理者は Power Automate イベントの検索と表示を行うことができます。 イベントには作成済フロー、編集済フロー、削除済フロー、編集済アクセス許可、開始済有料トライアル、更新済有料トライアルが含まれます。 ポータルを使用して、検索対象および時間枠を選択できます。
ソリューションで、監査を選択します。
活動で、監査する Power Automate 活動を選択します。
検索を選びます。
検索の完了後は、それを選択して、関連する活動のリストを表示します。
リスト内の行を選択すると、活動の詳細が表示されます。
監査データは 90 日間保持されます。 データの CDSV エクスポートを実行して、さらに分析するためにデータを Excel または PowerBI に移動できます。 監査情報の使用に関する完全なチュートリアルは、こちらでご覧いただけます: https://flow.microsoft.com/blog/security-and-compliance-center/