コンプライアンスとデータ プライバシー
Microsoft は、最高レベルの信頼、透過性、標準への準拠、および法規制の順守に取り組んでいます。 Microsoft のクラウド製品およびサービスの広範なスイートは、顧客の厳格なセキュリティとプライバシーに関する需要に対応するよう、しっかりした基盤の上に構築されています。
個人のデータの収集と使用について規定している国、地域、業界固有の要件に組織が準拠するのを支援するために、Microsoft はクラウド サービス プロバイダーのコンプライアンス認証 (証明書と構成証明を含む) の最も包括的なセットを提供しています。 また、管理者が組織の活動を支援するためのツールも用意されています。 ドキュメントのこの部分では、独自の組織の要件を決定および達成するために利用できるリソースについて詳しく説明します。
セキュリティ センター
Microsoft Trust Center は、Microsoft のポートフォリオ製品の情報を取得する一元化されたリソースです。 これにはセキュリティ、プライバシー、コンプライアンス、および透過性での情報が含まれます。 このコンテンツには Power Apps に関するこの情報のサブセットが含まれている場合がありますが、最新の権限ある情報については、常にMicrosoft Trust Center を参照することが重要です。
クイック リファレンスとして、https://www.microsoft.com/trust-center/product-overview で Microsoft Power Platform のセキュリティ センター情報を参照してください。 これには、Power Apps、Microsoft Power Automate、Power BI の情報が含められます。
データの場所
Microsoft は、Microsoft Power platform アプリケーションをサポートする複数のデータ センターを世界規模で運用しています。 組織がテナントを確立すると、既定の地理的な (物理的) 場所が確立されます。 また、アプリケーションをサポートし、Microsoft Dataverse データを含む環境を作成する場合、環境は特定の地域を対象とすることができます。 Microsoft Power Platform の地域の現在のリストは https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location で参照できます
運用の継続をサポートするため、Microsoft はデータを地域内の他の地域に複製する場合がありますが、データの復元力をサポートするためにデータが地域外に移動することはありません。 これにより、深刻な停止が発生した場合にフェイルオーバーまたはより迅速に回復する機能がサポートされます。 上記のサイトにリストされている特定の地域にデータを保持することには、法的およびサポートに重点を置いた合理的な例外がいくつかあります。 また、地域外にデータを公開するアクションを実行できる点に注意することも重要です。 他のサービスが、データにアクセスし、地域外で公開されるよう構成することもできます。 既定では、承認されたユーザーは、接続が可能な世界のどこからでもプラットフォームやアプリケーションおよびデータにアクセスできます。
データ保護
ユーザー デバイスと Microsoft データセンター間で転送中のデータは、セキュリティ保護されます。 顧客と Microsoft データセンターの間で確立される接続は暗号化され、すべてのパブリック エンドポイントは業界標準の TLS を使用して保護されます。 TLS は、セキュリティが強化されたブラウザーからサーバーへの接続を確立し、デスクトップとデータセンターの間でデータの機密性と整合性を確保することができます。 また、顧客エンドポイントからサーバーへの API アクセスも同様に保護されます。 現在、サーバー エンドポイントにアクセスするには TLS 1.2 (またはそれ以上) が必要になります。
オンプレミスのデータ ゲートウェイ経由で転送されたデータも暗号化されます。 ユーザーがアップロードするデータは通常 Azure Blob Storage に送信され、システム自体のすべてのメタデータおよびアーティファクトはAzure SQL Database および Azure Table storage に保存されます。
Dataverse データベースのすべての環境は、SQL Server Transparent Data Encryption (TDE) を使用して、ディスクへの書き込み時にリアルタイムの暗号化を実行し、保管時の暗号化としても知られています。
既定では、Microsoft が環境のデータベース暗号化キーを保存および管理するため、お客様による管理は不要です。 Power Platform 管理センターの管理キー機能は、管理者が Dynamics 365 (online) の環境に関連付けられたデータベース暗号化キーを自己管理できるようにします。 独自のキーの管理の詳細については、こちら を参照できますが、一般に、独自で管理すべき固有のビジネス ニーズがある場合を除き、Microsoft にキーを管理させていただくようにすることをお勧めします。
GDPR コンプライアンスを管理するためのリソース
欧州連合 (EU) の一般データ保護規則 (GDPR) は、データに関する重要な権利を個人に与えています。 GDPR の概要については、Microsoft Learn 一般データ保護規則の概要 を参照してください。これは、用語、アクション計画、準備チェックリストを含み、Microsoft の製品やサービスの使用にともなう GDPR に基づく義務を果たす際に役立ちます。
GDPR の概要と、それに Microsoft を活用して対応する方法、さらにその影響を受けるお客様への Microsoft のサポートについて解説します。
- Microsoft セキュリティ センター は、データ保護影響評価、データ サブジェクト要求、データ侵害の通知など、GDPR の説明責任を果たすうえで役立つ一般情報、コンプライアンスのベスト プラクティス、ドキュメントを提供します。
- サービス トラスト ポータル は、Microsoft サービスを活用して GDPR への準拠に対応する方法について、情報を提供します。
管理者としてプライバシーをサポートする主要な活動の 1 つは、データ主体の権利 (DSR) 要求に関連しています。 これらはデータ主体からデータ コントローラー (おそらく組織) に対する、システムの個人データで操作するための正式な要求です。 データ主体は、コピーの取得、修正の要求、データ処理の制限、データの削除、および別のデータ管理者に移動できるように電子形式でコピーを受信する権利を持っています。
次のリンクは、組織が使用している機能により DSR 要求への応答が容易になる詳細情報をポイントします。
| プラットフォーム機能エリア | 詳細な応答ステップへのリンク |
|---|---|
| Power Apps | Power Apps 顧客データのエクスポートに対するデータ主体の権利 (DSR) 要求への応答 |
| Dataverse | Dataverse 顧客データに対するデータ主体の権利 (DSR) 要求への応答 |
| Power Automate | Power Automate に対するデータ主体の要求への応答 |
| Microsoft アカウント (MSA) | データ主体の権利要求への応答 |
| 顧客エンゲージメント アプリ | プライバシーに対する Dynamics 365 データ主体の要求 |
Microsoft 365 セキュリティおよびコンプライアンス センター
Microsoft Purview Compliance Manager を使用して、Microsoft Cloud Service におけるコンプライアンスの取り組みを一元的に管理します。
Power Automate 監査ログのイベント
コンプライアンス センターの監査ログ検索で、管理者は Power Automate イベントの検索と表示を行うことができます。 イベントには作成済フロー、編集済フロー、削除済フロー、編集済アクセス許可、開始済有料トライアル、更新済有料トライアルが含まれます。 ポータルを使用して、検索対象および時間枠を選択できます。
Microsoft Purview コンプライアンス ポータル にサインインします。
ソリューションで、監査を選択します。
活動で、監査する Power Automate 活動を選択します。
検索を選びます。
検索の完了後は、それを選択して、関連する活動のリストを表示します。
リスト内の行を選択すると、活動の詳細が表示されます。
監査データは 90 日間保持されます。 データの CDSV エクスポートを実行して、さらに分析するためにデータを Excel または PowerBI に移動できます。 監査情報の使用に関する完全なチュートリアルは、こちらでご覧いただけます: https://flow.microsoft.com/blog/security-and-compliance-center/