プライバシー リスク管理におけるデータ転送ポリシー

個人データの転送は、特にorganizationの外部に転送された場合、またはorganization内の特定の部門または地理的な場所間で送信される場合、リスクを伴います。 たとえば、暗号化されていないメールや未承認の受信者にデータが送信された場合、データはセキュリティで保護されなくなる可能性があります。 このようなデータ転送アクティビティは、規制に影響を与えたり、確立された組織のプライバシープラクティスに違反したりする可能性があります。

Microsoft Priva プライバシー リスク管理のデータ転送ポリシーを使用すると、organization外での個人データ転送と、さまざまな部門または国または地域間の内部転送を監視できます。 ポリシーの一致が検出されると、Microsoft Teamsでユーザー通知を送信したり、アイテムへのアクセスの取り消し、保持、削除を含む修復オプションを含む電子メールを送信したりできます ( ポリシー作成プロセスの手順 10 の詳細を参照してください)。

ポリシー設定プロセスを使用すると、ポリシー条件を簡単に設定できます。 ユーザーが安全なデータ処理プラクティスに注意を向ける、Microsoft Teamsのアラートのタイミングと頻度と、Microsoft Teamsのその場のヒントを完全に制御できます。

ポリシーを作成するには、 テンプレートからという 2 つの方法があります。これは、既定の設定を使用したクイック "すぐに使用できる" オプションです。または カスタム オプション。これは、条件、アラート、通知を設定するためのガイド付きプロセスです。

クイック セットアップ: 既定の設定でテンプレートを使用する

既定のデータ転送ポリシーは、個人データがorganization外の受信者に送信されるタイミングを検出します。 たとえば、organizationのユーザーが[宛先]、[Cc]、または [Bcc] フィールドの外部受信者に Exchange メールを送信すると見なされます。

既定のデータ転送ポリシーを作成するには、次の手順に従います。

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、次のいずれかのポータルにサインインします。

   • 新しい Priva ポータル (プレビュー)。 詳細については、「 新しい Priva ポータル (プレビュー)について」を参照してください。
   • Microsoft Purview コンプライアンス ポータル。 このポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

2. プライバシー リスク管理ソリューションに移動し、[ポリシー] ページ を 選択します。

3. [ ポリシーの作成] を選択します。

4. [ データ転送 ] ボックスで、[ 作成] を選択します。

5. ポップアップ ウィンドウには、ポリシーの詳細が含まれています。 [ 設定の表示 ] を選択すると、 既定の設定が表示されます。 ここから設定を編集できます。これにより、以下に説明するガイド付きプロセスが表示されます。 既定の設定を使用して引き続きポリシーを作成するには、わかりやすい名前を入力し、[ ポリシーの作成] を選択します。

ポリシーが作成され、[ ポリシー ] ページに表示されます。 テスト モードで開始されるため、オンにする前に動作を監視できます。

既定のデータ転送ポリシー設定

テンプレートから作成されたデータ転送ポリシーによって、次の情報が検出されます。

• organization内の個人データが、organizationの外部の受信者または場所に転送または共有されている場合。

• 個人データが、organization内の次のいずれかの場所から外部で共有されている場合:

  • Exchange。 例: 個人データを含むメールを、organizationの外部にある受信者のメール アドレスに送信する。
  • OneDrive と SharePoint。 例: 個人データを含むファイルまたはサイトへのリンクをorganization外のユーザーに送信する、ファイルをコピーまたは移動して、organizationの外部にある OneDrive または SharePoint の場所に移動する。
  • Teams。 例: 個人データを含む Teams チャット メッセージを、organizationの外部にいる受信者に送信する。

• 次の 分類グループに基づくデータの種類:

  • EU 一般データ保護規則 (GDPR)
  • 米国の個人を特定できる情報
  • 米国愛国者法
  • 米国の州違反通知法
  • US Gramm-Leach-Bliley Act (GLBA)
  • 米国医療保険の移植性と説明責任に関する法律 (HIPAA)
  • オーストラリア健康記録法 (HRIP)
  • オーストラリアプライバシー法
  • 日本の個人を特定できる情報
  • 個人情報の保護について

カスタム セットアップ: ガイド付きポリシー作成プロセス

カスタム ポリシー オプションは、条件を設定し、アラートの重大度と頻度を指定し、ユーザーの電子メール通知を有効にすることで、新しいポリシーを作成するためのガイド付きプロセスです。

新しいデータ転送ポリシーを作成するには、次の手順を実行します。

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、次のいずれかのポータルにサインインします。

   • 新しい Priva ポータル (プレビュー)。 詳細については、「 新しい Priva ポータル (プレビュー)について」を参照してください。
   • Microsoft Purview コンプライアンス ポータル。 このポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

2. プライバシー リスク管理ソリューションに移動し、[ポリシー] ページ を 選択します。

3. [ ポリシーの作成] を選択します。

4. [ カスタム ] ボックスで、[ 作成] を選択します。

5. [ 名前と種類 ] ページで、[ データ転送 ポリシー] テンプレートを選択します。 [ポリシー ] ページの 一覧から簡単に識別できるポリシー名を入力し、オプションの説明を入力して、[ 次へ] を選択します。

6. [ データ ソース ] ページで、ポリシーでカバーするすべてのデータ データ ソースを Microsoft 365 で選択します。 Exchange メール アカウント、OneDrive アカウント、Teams チャットとチャネル メッセージ、SharePoint サイトから選択します。

   SharePoint 内では、すべてのサイトまたは特定のサイトを指定できます。 [特定の SharePoint サイト] を選択した場合は、[URL] フィールドにサイト URL を入力できます。 [+サイトの選択] を選択し、ポップアップ ウィンドウで、選択するサイト名の左側にあるボックスをチェックすることもできます。

   データ ソースの選択の詳細については、こちらをご覧ください。 完了したら、[ 次へ] を選択します。

7. [ 監視するデータ ] ページで、ポリシーで監視する個人データの種類を選択します。 次の 2 つのオプションがあります。

   • 分類グループ: 個人データまたは特定の規制に関連するコンテンツを検出するために使用される機密情報の種類のグループ。 このオプションを選択した場合は、[ +分類グループの追加] を選択して、指定されたリストから 1 つ以上のグループを選択する必要があります。
   • 個々の機密情報の種類: 個々の 機密情報の種類の一覧から選択するには、このオプションを選択します。

   詳細については、 監視するデータの選択に関するページを参照してください。 監視するデータの選択が完了したら、[ 次へ] を選択します。

8. [ユーザーとグループ] ページで、ポリシーを適用するorganization内のユーザーを選択します。 個々のすべてのユーザーとすべてのOffice 365配布グループを選択することも、特定のユーザーとグループを選択することもできます。 ユーザーとグループの選択について詳しくは、こちらをご覧ください。 完了したら、[ 次へ] を選択します。

9. [ 条件 ] ページで、ポリシーで検出されるデータ転送条件の種類を選択します。

   • organization外への転送: organization内のユーザーまたはグループから、organization外の外部またはゲスト ユーザーへの転送を検出します。
   • 国の境界またはリージョンを越えた転送: このオプションでは、送信者リージョンと受信者リージョンを選択します。 表示されるポップアップ ウィンドウから指定した国または地域を選択し、[ 追加] を選択します。
   • ユーザー間の転送: 部門、郵便番号、役職などのユーザーのMicrosoft Entra属性に基づいて転送を検出します。
   • Microsoft 365 グループ間の転送: 2 つの Microsoft 365 グループのユーザー間の転送を検出します。 これには、グループに関連付けられている Exchange メールボックスと SharePoint サイトが含まれます。
   • SharePoint サイト間の転送: 個人データを含むアイテムが、ある SharePoint サイトから別の SharePoint サイトにコピーまたは移動されたことを検出します。

10. [結果] ページ で 、ポリシー条件が満たされたときにユーザーに通知するかどうかを決定します。 次のオプションの 1 つまたは両方を選択するか、チェック ボックスを空白のままにしてどちらも選択できません。

    • コンテンツがポリシー条件と一致する場合は、ユーザーにポリシーのヒントと推奨事項を提供します。データ処理のヒントは、ポリシーの条件に一致するアクションを実行すると、Microsoft Teamsのユーザーのインスタンスに表示されます。 推奨されるプライバシー トレーニングの URL を指定する必要があります。これはヒントにも表示されます。

    • ポリシーの一致が発生したときにユーザーに通知メールを送信する: ユーザーは、アクションがポリシー条件と一致すると電子メール通知を受け取ります。 ボックスをチェックしたら、メールをプレビューして編集し、頻度を設定し、プライバシー トレーニングへのリンクを指定できます (通知メールの詳細については、こちらをご覧ください)。 メールの修復オプションは、データ ソースによって異なります。

      • SharePoint または OneDrive から - 修復オプションは [アクセスの取り消し] と [保持] です。
      • Teams から - 修復オプションは ごみ箱 と 保持です。
      • Exchange から - 修復オプションは [保持] です。

      結果の定義が完了したら、[ 次へ] を選択します。

11. [アラート] ページで、トグル スイッチを使用して、プライバシー リスク管理の [ポリシー] セクションの [アラート] ページに管理者に表示されるアラートを有効にします。 アラートが生成される頻度、アラートが生成される前の一致のしきい値、アラートの重大度を指定します。 ポリシーの一致に対するアラートの設定について詳しくは、こちらをご覧ください。 完了したら、[ 次へ] を選択します。

12. [ モード ] ページで、ポリシーを配置するモードを選択します。 最初にテスト するか、 すぐにオンにします。 テスト モードでは、アラートや通知は送信されません。 推奨事項の詳細と、 ポリシーをテストするときに分析する内容について説明します。 完了したら、[ 次へ] を選択します。

13. [ 完了 ] ページで、選択内容を確認します。 設定を調整するには、いずれかのセクションの下にある [ 編集] を 選択します。 ポリシーの設定に問題がなければ、[ 送信] を選択してポリシーを作成します。

数秒後に、ポリシーが作成されたことを確認するメッセージが表示されます。 確認ページで [ 完了] を 選択すると、[ ポリシー] ページに移動し、テーブルの上部に新しいポリシーが表示されます。

次の手順

ポリシーを編集および管理する方法の詳細については、「 プライバシー リスク管理ポリシー 」を参照してください。

法的免責事項

Microsoft Priva法的免責事項