GDPR の確認
欧州議会は 2016 年 4 月、欧州連合 (EU) の一般データ保護規則 (GDPR とも呼ばれます) を制定しました。 この規則は、ヨーロッパ全体でデータ プライバシー法に調和をもたらすために設計されました。 これは、EU に居住するユーザーの個人データを処理するデータ管理者 (主にコンシューマー サービス) とデータ処理者 (エンタープライズ サービス) の両方に適用されます。
Microsoft オンライン サービスでは、Microsoft がデータ処理者となります。
- Microsoft は、データ管理者のプライバシー ステートメントをデータ主体に提示します。
- Microsoft は、データ主体の権利に合わせて、既存のサービス機能の変更や新機能を設計しています。
- Microsoft は、侵害が 「個人の権利または自由に対するリスクをもたらす」可能性がある場合に、データ侵害が発生した場合に通知を提供します。当社は、データ侵害が宣言された72時間以内に適切な当事者に通知することを約束します。
適切かつ効果的な技術的対策と組織的対策を実施するための GDPR の規定に沿って、Microsoft は ISO 27001 と ISO 27018 の制御要件に準拠し、Microsoft のサービス全体で ISO 27701 に準拠した対策を展開しています。
データ主体要求 (DSR)
GDPR では、個人 (またはデータ主体) に対して、個人データの処理に関連した特定の権利が付与されます。それには、不正確なデータを修正する権利、データを抹消する権利、処理を制限する権利、自分のデータを受け取る権利、および自分のデータを別の管理者に送信するという要求を実行する権利が含まれます。 コントローラーには、タイムリーで一貫性のある GDPR 応答を提供する責任があります。 Microsoft (データ処理者) は、顧客 (管理者) の DSR への準拠と対応を促進して可能にする機能を提供し、顧客を支援します。
Microsoft は、個人データの検索や DSR への対応を支援する管理ツールを顧客に提供しています。
- 検出: 検索および検出ツールを使用して、DSR の対象である可能性がある顧客データを検索します。
- アクセス: Microsoft のサービス内にある個人データを取り出し、要求がある場合は、データ主体が利用できるようにするコピーを作成します。
- 修正: 必要に応じて、個人データを変更したり、要求された他の操作を個人データに対して実行したりします。
- 制限: さまざまな Microsoft のサービスのライセンスを削除するか、可能な場合は該当するサービスを無効にすることで、個人データの処理を制限します。 また、顧客がデータを Microsoft クラウドから削除し、オンプレミスまたは別の場所で保持することもできます。
- 削除: Microsoft のサービスに格納されていた個人データを完全に削除します。
- エクスポート/受信 (移植性): 個人データまたは個人情報の電子コピー (コンピューターで読み取り可能な形式) をデータ主体に提供します。
データ保護影響評価
GDPR では、"自然人の権利と自由に対するリスクが高くなる可能性が高い" 操作に対して、コントローラーがデータ保護影響評価 (DPIA) を準備する必要があります。DPIA の作成を必要とする Microsoft の製品やサービスに固有の何もありません。 ただし、Microsoft の製品とサービスは高度なカスタマイズが可能であるため、顧客の状況の詳細に応じて DPIA が必要になる場合があります。 Microsoft がこのような情報に関して制御を行うことは一切なく、分析情報を得ることもほぼありません。 データ管理者は、データの適切な使用を決定する必要があります。 ただし、Microsoft は DPIA の実施にはかなりの労力が必要となることを認識しており、顧客が必要に応じて GDPR のために DPIA の義務を果たす場合に必要なリソースを提供しています。