試用版ユーザー ガイド: Microsoft Priva

Microsoft Priva試用版ユーザー ガイドへようこそ。

プライバシーと規制の状況が継続的に進化する中で、プライバシーとデータ保護を念頭に置く必要があります。 このガイドは、個人データを保護し、プライバシーに強い職場を構築するのに役立つ無料試用版を最大限に活用するのに役立ちます。

Microsoft の推奨事項を使用して、Microsoft Privaがどのように役立つかを学習します。

  • データの占有、データ転送、データの過剰共有などのプライバシー リスクを事前に特定して保護します。
  • 大規模なサブジェクト要求を自動化および管理します。
  • 従業員がスマートなデータ処理の意思決定を行えるように支援します。

開始する

Microsoft Privaは、プライバシー リスク管理とサブジェクト権利要求という 2 つの主要なソリューションで構成されており、どちらも個別に試用および購入できます。 ライセンスと購入の詳細については、Microsoft.com Microsoft.com を参照してください。

プライバシー リスク管理

Priva プライバシー リスク管理では、Microsoft 365 環境のプライバシー リスクを特定し、簡単な修復を可能にするポリシーを設定できます。 プライバシー リスク管理ポリシーは、内部ガイドを目的としており、次の場合に役立ちます。

  • ユーザーがセキュリティで保護できるように、露出過多の個人データを検出します。
  • 部門または地域の国境を越えて個人データの転送を特定し、制限します。
  • ユーザーが、保存する未使用の個人データの量を特定して減らすのに役立ちます。

プライバシー リスク管理には、これらのシナリオ用の組み込みのテンプレートが用意されており、ポリシーを簡単に作成するのに役立ちます。 これらのテンプレートのいずれかを出発点として使用して、カスタム ポリシーを作成することで、アプローチを微調整することもできます。 ポリシーの一致が見つかった場合、管理者は結果に関するアラートを確認し、ユーザーによるさらなるアクションに関する問題を作成することで、データの処理方法を決定できます。 また、メール通知を構成したり、サポートされているポリシーの種類に対して Teams 通知を構成して、ポリシーの一致についてコンテンツ所有者に直接通知したりすることもできます。 これらの通知から是正措置を講じ、独自のトレーニング資料に提供するリンクを使用してデータを処理するためのベスト プラクティスの詳細を確認できます。

サブジェクト権利要求

世界中のいくつかのプライバシー規制により、個人(またはデータ主体)は、企業が収集した個人データを確認または管理するための要求を行う権利を与えます。 これらのサブジェクト権利要求は、データ主体要求 (DSR)、データ主体アクセス要求 (DSAR)、またはコンシューマー権利要求とも呼ばれます。 大量の情報を格納する企業の場合、関連するデータを見つけることは手ごわい作業になる可能性があります。 ほとんどの組織で要求を満たすことは、非常に手動で時間のかかるプロセスです。

Microsoft Priva 主体の権利要求ソリューションは、データ主体の問い合わせへの対応に伴う複雑さと時間の長さを軽減するために設計されています。 組織がより自信を持って効率的に要求を満たすのに役立つ自動化、分析情報、ワークフローを提供します。

Microsoft Priva試用版を開始する

Microsoft Privaの使用を開始する準備ができたら、次の手順に従って前提条件を設定し、プライバシーに関する分析情報の調査を開始します。

  1. サブスクリプションとライセンスを確認する
  2. ユーザー権限の設定とロールの割り当て
  3. [ 試用版の開始]を選択すると、次の処理が行われます。
    • Priva 試用版ライセンスが有効になっています (これはリアルタイムで発生します)
    • プライバシーに関する分析情報が生成されます (これには 24 時間かかります)

ようこそ画面のスクリーン キャプチャ。

プライバシー リスクの検出と視覚化を開始する

Priva は、個人データ資産の検出を自動化し、重要な情報の視覚化を提供することで、組織が格納するデータを理解するのに役立ちます。 これらの視覚化は、概要ページとデータ プロファイル ページにあります。

まず、Microsoft Purview コンプライアンス ポータルの Priva セクションに移動し、次のページを表示します。

  1. 概要: Microsoft 365 の組織のデータの全体的なビューを提供します。 プライバシー管理者は、傾向とアクティビティを監視し、個人データに関連する潜在的なリスクを特定して調査し、ポリシー管理や主体の権利要求アクションなどの主要なアクティビティに取り組むことができます。
  2. データ プロファイル: 組織が Microsoft 365 に格納する個人データのスナップショットを提供します。 このページは、個人データの存在場所、組織内で最も普及している種類、および Microsoft 365 環境内の場所に存在するさまざまな種類の数を視覚化するのに役立ちます。 また、この場所から個人データを探索することもできます。

Priva プライバシー リスク管理 ポリシー

Priva プライバシー リスク管理ポリシーは、組織にとって重要なリスク シナリオに対処するのに役立ちます。 Microsoft のポリシー テンプレートは、健全なデータ処理プラクティスの促進を中心にしています。 ポリシーの一致が検出され、さらに調査が必要になる場合がある場合は、管理者に通知されます。 Microsoft Teams のEmail通知とヒントは、ユーザーがプライバシー リスクを伴うアクティビティを理解するのに役立ち、ユーザーが問題を直ちに修正し、プライバシー トレーニングをポイントするのに役立ちます。

すぐに開始するには、既定の設定のテンプレートを使用して、データの露出超過、データ転送、データの最小化とシナリオに関する新しいポリシーを作成します。 また、テンプレート設定をカスタマイズして、組織のニーズに合ったポリシーを作成することもできます。

[ポリシーの 作成と管理 ] ページで、クイック ポリシーの設定からポリシーの編集と削除まで、あらゆる操作を行う方法について説明します。

  1. テンプレートを使用したクイック ポリシー設定: ほとんどの設定は、すぐに起動して実行できるように自動的に選択されます。
  2. カスタム ポリシーの設定: テンプレートを選択し、各設定を確認してポリシーをカスタマイズします。
  3. アラートの設定: 管理者は、ユーザー イベントがポリシーの条件と一致するタイミングを把握するのに役立ちます。 これらは省略可能であり、アラートを生成する頻度、アラートを生成するしきい値、重大度を制御します。
  4. ポリシーのテスト: ポリシーが有効になる前に分析情報を表示できるため、ポリシーの動作と生成される可能性があるアラートの種類を測定できます。
  5. ポリシーのオンとオフの切り替え: テスト モードで監視した後は、いつでもポリシーをオンまたはオフにすることができます。
  6. ポリシーの編集: ポリシーの設定は、テスト モードかオンかに関係なく、いつでも編集できます。
  7. ポリシーの削除: 既存のプライバシー リスク管理ポリシーを削除する必要がある場合。

プライバシー リスク管理のアラートを調査して修復します

Microsoft Privaは、データの露出超過データの最小化、またはデータ転送ポリシーからの重要な検出を可視化するのに役立ちます。 プライバシー リスク管理ソリューション内で、管理者はポリシー条件に一致するコンテンツに関する アラート を確認できます。 アラートを確認すると、フォローアップが必要なケースを特定できます。 これを行うには、 問題を作成します。 問題により、ユーザーはコンテンツを確認し、問題の重大度を割り当て、問題の修復に協力して取り組む構造化された方法が提供されます。

[ アラートの調査と修復 ] ページには、次のアクションに関する情報が表示されます。

  1. 現在のアラートと問題を表示する: Priva の [概要] ページには、主な懸念事項に関する更新に関する最新の結果が表示されます。
  2. アラートの管理: [アラート] ページにアクセスして、アクティブなアラートを評価し、フォローアップが必要なアラートを指定します。
  3. 問題の管理: ポリシーの一致に関するアラートを評価しながら管理者が問題を作成し、[問題] ページから解決できます。
  4. コンテンツの確認と問題の修復: 問題に関連するコンテンツを確認します。[コンテンツ] タブを開き、ファイル、レコードに関するアクティビティ、修復履歴の詳細を表示し、[修復] を選択して 1 つ以上のアクションを実行します。

プライバシー リスク管理のユーザー通知

Priva プライバシー リスク管理でポリシーを設定するときに、ユーザーのアクションがポリシーで設定した条件を満たしたときにユーザーに通知するように選択できます。 通知には、3 つのポリシーの種類すべてに使用できる電子メールと、データ転送ポリシーの種類に対してのみ使用できる Teams に表示されるヒントの 2 種類があります。 ポリシーを作成または編集するときに、これらの通知を有効にするかどうか、通知を送信する頻度、およびそれらのコンテンツをカスタマイズできるかどうかを決定できます。

ユーザーに通知を送信することは、組織がプライバシー目標を達成するのに役立つ重要な要素です。 通知は次のように設計されています。

  • ユーザーの行動がプライバシー リスクに個人データを公開する可能性がある場合は、すぐにユーザーに認識を持たせる。
  • ユーザーが危険にさらされているデータを保護するための迅速なアクションを実行できるように、修復方法を電子メール内に直接提供します。
  • ユーザーを組織のプライバシー ガイドラインとベスト プラクティスに誘導します。

ユーザー通知を調べて、組織で設定できる内容を確認します。

  1. 通知用のトレーニング コンテンツを準備する: ポリシーの一致が検出されたときにユーザー通知を送信する場合は、プライバシー トレーニングへのリンクを含める必要があります。
  2. ユーザーの電子メール通知を設定する: 新しいポリシーを作成するか、既存のポリシーを編集するときに、すべてのポリシーの種類の電子メール通知を設定します。
  3. Teams で通知を送信する: データ転送ポリシーの場合は、ポリシーの一致が検出されたときに、セキュリティで保護された Teams チャネルでポリシーのヒントと推奨事項をユーザーが受け取ることができます。
  4. メール コンテンツのプレビューとカスタマイズ: ポリシーの一致に関する電子メール通知をユーザーが受け取ると、電子メールのプロンプトに従って、直ちに是正措置を取ることができます。 ポリシーの作成または編集プロセスでこの設定を調整するときに、電子メールコンテンツをプレビューし、独自の変更を加えることができます。

サブジェクト権利要求ワークフローについて

Subject Rights Requests ソリューションで要求を作成すると、指定した情報を使用して、組織の Microsoft 365 環境でデータ主体に関する一致が検索されます。 一致した項目は、必要に応じて、確認、含める内容の選択、および情報の編集のためにコンパイルされます。 複数のユーザーが、サブジェクト権限要求インターフェイス内でこれらの手順で共同作業を行うことができます。 要求の [概要] ページには、進行状況ステージの状態と、次に実行する手順に関するガイダンスが表示されます。

要求の進行状況ステージと要求の詳細ページを理解する

Microsoft Purview コンプライアンス ポータルの左側のナビゲーションから [Priva 主体の権利要求] を選択して、組織によって作成された要求にアクセスし、その状態を表示します。

ここでは、要求アクティビティのスナップショットと、要求に設定された期限に基づいて緊急の注意が必要な要求を取得できます。 このポータルで作成された要求 (配信元: Microsoft 365) と API (配信元: 外部) を介して作成された要求を確認できます。 また、ビュー内のリストまたはグループの要求を、データ主体の所在地、規制、組織とのデータ主体の関係などによって並べ替えることもできます。

"Stage" 列には、対応する要求が含まれるステップが表示されます。 要求を選択すると、次に何を行う必要があるかをガイドするのに役立つ、要求のステージの詳細を確認するのに役立つ概要ページが表示されます。

要求を作成し、検索設定を定義する

要求を作成するには、サブジェクト権利要求管理者ロール グループ内のロールが必要です。 要求を作成する主な方法は 2 つあります。

  • テンプレートから、カスタマイズされた既定の設定を使用するクイック "すぐに使用できる" オプション。または
  • カスタム オプション。これは、すべての設定を確認するためのガイド付きプロセスです。

要求を 作成し、検索設定を定義するための情報:

  1. 要求の種類を理解する: Priva 主体の権利要求では、アクセス、エクスポート、タグ付けされた一覧の 3 種類の要求がサポートされています。
  2. 最初の要求の概要: 既定の設定を使用する最初の要求の簡単ですぐに使用できるセットアップ。 この最初の実行エクスペリエンスは、サブジェクト権限要求ワークフローを調べて、その機能を理解するのに役立ちます。
  3. データ要求テンプレート: いくつかの詳細だけで、既定の設定を使用して要求を作成し、すばやく起動して実行できます。 必要に応じて、これらの設定を編集して柔軟性を高めることができます。
  4. カスタム要求: ポリシーを作成するためのガイド付きプロセス。 カスタム テンプレート オプションを選択したら、各設定を確認して検索をカスタマイズできます。
  5. 検索設定を定義する: データ主体の検索に使用する識別子を拡張し、検索設定を使用して検索の対象を絞り込むオプションがあります。 また、コンテンツ アイテムを取得する前にデータの見積もりを取得することもできます。これにより、検索した内容に基づいて結果をプレビューしたり、検索クエリを編集したりできます。 これらの選択は、要求作成ウィザードの [検索設定] ページで行うことができます。
  6. 検索の絞り込み: [検索設定] ページで [検索の絞り込み] を選択するか、[データ見積もり] ステージで検索クエリを編集します。個人属性の詳細を指定するように求めるメッセージが表示され、検索結果をさらにターゲットにする条件を設定するオプションが表示されます。

データの推定と取得

要求を作成すると、Priva はすぐに Microsoft 365 環境内のコンテンツ内のデータ主体と一致する検索を開始します。 条件に一致する項目を特定すると、要求の [概要] ページの [データ見積もりサマリー] カードに見積もりが表示され、進行状況タイルのデータ推定ステージがチェックマークに切り替わります。 検索範囲内のデータの量は、見積もりの完了にかかる時間に影響します。

要求はデータ取得の次の段階に自動的に移動します。ここで、すべてのコンテンツ 項目がまとめられた結果、関係者はデータのレビューに関して共同作業を行うことができます。 場合によっては、取得に進む前にデータの見積もりを一時停止し、続行する前に次の手順を実行することを通知します。

データの見積もりと取得中に何が起こっているかを理解します。

  1. データ見積もりの一時停止: データ見積もりステージで要求が一時停止する理由は、"最初に見積もりを取得する" を選択した場合、または見積もりが多数のアイテムを返して確認する予定の場合 (10,000 を超える項目) の 2 つの理由があります。
  2. 検索クエリの表示と編集: 要求の検索に関する詳細情報を表示するには、[データ見積もりサマリー] カードで [検索クエリの詳細の表示] を選択します。 ポップアップ ウィンドウが開き、クエリが要約され、検出された内容の詳細が表示されます。
  3. データの取得: データ主体の個人データを含むファイル、電子メール、チャット、画像、その他のコンテンツ項目が取得されます。 このステージが完了すると、要求の概要ページの進行状況タイルが自動的に [データの取得] ステージをオフにします。 取得したデータは、要求の [収集されたデータ] タブでレビューの準備が整います。

データを確認し、件名の権利要求で共同作業する

サブジェクト権利要求のデータが収集された後、次のステージでは、項目を確認し、要求の一部として含める項目を決定し、必要に応じて情報を編集します。 既定では、含まれている項目のみが、アクセス要求またはエクスポート要求のデータ主体レポートの一部になります。 必要に応じて、アイテムを除外したり、一致しないマークを付けたりして、アイテムを確認し、要求に適用できないか、誤検知の一致であると判断したことを示すことができます。

以下のポイントの詳細については、 データの確認と共同作業 に関するページを参照してください。

  1. データ レビューを完了するためのタスクを理解する: [データの確認] ステージは、コラボレーターが [データ収集] タブのコンテンツ 項目を調べる場合です。Teams チャネルは、すべての関係者によるコンテンツ レビューを容易にするために自動的に設定されます。 設定内の新しい要求に対する Teams チャネルの作成を無効にするには、こちらを参照してください。
  2. データ レビューで共同作業する: サブジェクト権利要求管理者はすべての要求を表示できます。 要求で共同作業する他のユーザーを追加できます。これにより、要求を表示するためのアクセス権が付与され、その要求内で収集されたデータを操作して、要求を完了に移動できます。
  3. レビューを完了する" すべてのアイテムがレビューされ、必要なコンテンツが含まれている場合は、レビュー手順を終了します。 要求のコラボレーターは、レビューを完了できます。

レポートを生成して要求を閉じる

サブジェクト権利要求のデータ レビューを完了した後、次のステージでは、要求を満たすために必要なレポートを生成します。 Priva はレポートを作成し、データ レビュー プロセス中にインクルードとしてマークされたファイルを収集します。 これらのデータ パッケージから選択したファイルをデータ主体に送信して、要求を完了できます。

レポートを取得し、要求を閉じる方法については、次の手順を実行します。

  1. レポートについて: サブジェクト権限要求の [データのレビュー] ステージで [レビューの完了] を選択すると、要求の最終レポートが自動的に生成されます。
  2. データ パッケージについて: サブジェクト権限要求データ パッケージには、プロセスのデータ レビュー 段階で "含める" とマークされた項目が含まれています。
  3. レポートとデータのデータ保持期間を選択する: 既定の保持期間は、サブジェクト権利要求が閉じられた日付から 30 日です。 データ保持期間は Priva "Settings" で定義され、すべてのサブジェクト権利要求に適用されます。 そこでデータ保持期間を表示または変更できます。
  4. [要求を閉じる]: サブジェクト権限要求に関連するすべての必要なアクションを実行したら、要求の詳細ページの右上にある [要求を閉じる] を選択して、要求をクローズ済みとしてマークします。

Microsoft Graph API と Power Automate を統合して拡張する

Microsoft Graph Subject Rights Request API を使用して、Priva 主体の権利要求を既存のビジネス プロセスやツールと統合できます。 また、カレンダーアラームの設定や ServiceNow でのケースの作成などのタスクに対して、組み込みの Power Automate フローを使用して、サブジェクト権利要求の自動化機能を拡張することもできます。

Microsoft Graph APIとの統合

Microsoft 365 Subject Rights Request API は、既存のサブジェクト権利戦略に自動化を導入するためのシンプルで強力な方法を提供します。 個々のユーザーが組織に情報を要求すると、その要求の条件に基づいて Microsoft 365 内でこれらの要求を作成できます。 Microsoft 365 でサブジェクト権限要求を作成し、その進行状況を追跡し、要求がレポートの生成を完了したときにコンテンツを取得できます。

MICROSOFT の API は、ISV、ソリューションに Microsoft 365 を対応しようとしているパートナー、基幹業務アプリケーションで API を使用しようとしている組織など、ソリューションの拡張性を高めるために使用できるすべてのユーザーが利用できます。 完全なドキュメントについては、「 Microsoft Graph サブジェクト権限要求 API を使用する」を参照してください。

Power Automate テンプレートを使用する

Microsoft Power Automate は、アプリケーションとサービス間でアクションを自動化するワークフロー サービスです。 サブジェクト権利要求には、ユーザーがサブジェクト権限要求を管理するのに役立つ組み込みの Power Automate テンプレートが含まれています。 ユーザーは、ServiceNow でチケットを作成したり、期限に関する予定表のリマインダーを追加したりなどのプロセスの自動化フローを設定できます。 Power Automate の詳細については、Power Automate のドキュメントを参照してください。

サブジェクト権限要求のデータ マッチング

組織は、データマッチングを使用して、Microsoft Privaが指定された正確なデータ値に基づいてデータ主体を識別できるようにします。 これにより、内部担当者と対話する外部ユーザーの両方に対して、これらのデータ値に対応するデータ主体のコンテンツを特定する精度を高めることができます。 また、サブジェクト権限要求の作成時にフィールドを手動で指定する必要も簡素化されます。

注: データ照合機能を使用するには、プライバシー管理ロール グループのメンバーである必要があります。 Microsoft Purview コンプライアンス ポータルの Priva 内から、上部のナビゲーションで [設定] を選択し、[データ照合] を選択します。 ここから、次に示すように、個人データ スキーマを定義し、個人データのアップロードを提供する必要があります。 項目は追加でき、追加した項目は削除できますが、項目を変更することはできません。

データ マッチングを設定する方法について説明します。

  1. データインポートの準備: スキーマを定義するか、データをアップロードする前に、データ主体情報のソースを特定する必要があります。
  2. 個人データ スキーマを定義する" データ照合を設定する最初の手順は、データ主体の属性を記述する個人データ スキーマを定義することです。
  3. 機密情報の種類を作成する: データ照合を設定する 2 番目の手順は、個人データ一致 (PDM) の一意の機密情報の種類を作成することです。 機密情報の種類 (SID) は、社会保障やクレジット カード番号などの機密情報を検出するパターンベースの分類子です。
  4. 個人データのアップロード: 個人データ スキーマと機密情報の種類を定義した後、3 番目の手順は個人データをアップロードすることです。

その他のリソース

Microsoft Learn: Microsoft Privaのしくみと、組織に最適に実装する方法に関する詳細情報を取得します。 詳細については、 Priva の概要に関するページを参照してください。

Microsoft Priva試用版: 無料でMicrosoft Privaを試すには、 を参照してくださいhttps://aka.ms/trypriva

Microsoft Priva理由: Priva 機能の詳細については、このビデオを参照してください。

詳細情報または購入Microsoft Priva: プライバシー リスク管理とサブジェクト権利要求は個別に販売されています。 ブログ、ライセンス、購入の詳細については、 Microsoft.com を参照してください。