一般データ保護規則 (GDPR) では、欧州連合 (EU) 内の人々に商品やサービスを提供する、または EU 居住者向けのデータの収集と分析を実行する会社に対して、新しい規則を導入します。GDPR は、個人やその企業がどの場所にあるかに関係なく適用されます。 詳細については、GDPR の概要に関する 記事を参照してください。
同様に、カリフォルニア州消費者プライバシー法 (CCPA) は、カリフォルニア州の消費者にプライバシーの権利と義務を提供します。 これらの権利には、GDPR のデータ主体の権利に似た権利が含まれます。たとえば、個人情報を削除、アクセス、受信 (移植性) する権利などです。 また、CCPA では、特定の開示、権利の行使を選択する際の差別に対する保護、"売上" として分類された特定のデータ転送の "オプトアウト/オプトイン" 要件を規定します。 このドキュメントは、Microsoft の製品とサービスの使用における、GDPR および CCPA に基づくデータ主体の要求 (DSR) の完了に関する情報を提供します。
- Azure DevOps Services
- Azure
- Dynamics 365
- Intune
- Microsoft サポート/プロフェッショナル サービス
- Office 365
- Visual Studio ファミリ
- Windows 365
- Windows
用語
このドキュメントで使用されている GDPR 用語の役に立つ定義:
- データ管理者(管理者):個人データの処理の目的と手段を単独または共同で決定する法人、公的機関、機関、またはその他の機関。
- 個人データとデータ主体: 特定されたまたは特定可能な自然人 (データ主体) に関連するあらゆる情報。特定可能な自然人とは、直接または間接的に特定することができる者のことです。
- 処理者: コントローラーに代わって個人データを処理する自然人または法人、公的機関、団体、その他の組織。
- 顧客データ: ビジネス運営における日々の業務で作成および保存されるデータ。
DSR とは?
一般データ保護規則 (GDPR) は、雇用主または他の種類の機関またはorganization (データ管理者または単なる管理者と呼ばれる) が収集する個人データを管理する権限を (データ主体として規制で知られている) ユーザーに付与します。 GDPR は、データ主体に個人データに対する特定の権利を付与します。 これらの権利には、個人データのコピーの取得、変更の要求、処理の制限、削除、または電子形式で受け取って別の管理者に移動できるようにすることが含まれます。
コントローラーとして、各 DSR を迅速に検討し、要求されたアクションを実行するか、コントローラーが DSR を収容できない理由の説明を提供することによって、実質的な応答を提供する必要があります。 特定の DSR の適切な処理について、お客様自身の法律またはコンプライアンス アドバイザーに相談してください。
DSR の完了には、organizationの GDPR コンプライアンス規則に従って、いくつかのプロセスが関与する場合があります。
- 検出。 DSR を完了するために必要なデータを特定するプロセス。
- アクセス。 検出された情報の取得とデータ主体への潜在的な伝送。
- 修正。 変更またはその他の要求された個人データの変更を実施します。
- 制限。 アクセスを制限するか、Microsoft クラウドからデータを削除することで、個人データのアクセスまたは処理を変更する。
- エクスポート。 GDPR の「データの移植の権利」で規定されているように、「構造化された一般的に使用されているコンピューターが読み取り可能な形式」の個人データをデータ主体に提供します。
- Delete Microsoft クラウドから個人データを完全に削除します。
DSR に関する具体的な考慮事項
Microsoft 製品またはサービスによって生成された分析情報
分析情報 は、Viva Personal Insights などのサービスによって生成される場合があります。 Office 365には、それらを使用するユーザーや組織に分析情報を提供するオンライン サービスが含まれています。 これらのサービスによって生成されたデータは、DSR に関連する個人データを生成する可能性があります。 サービス固有の DSR プロセスの詳細については、次のセクションを参照してください。
システム生成ログに関する DSR
Microsoft が生成するログと関連データには、GDPR が個人と見なすデータが含まれている可能性があります。 システム生成ログのデータを制限または修正することはできません。 システム生成ログのデータは、Microsoft クラウドと診断データ内で実行される事実に基づくアクションです。 変更により、アクションの履歴が損なわれ、詐欺やセキュリティリスクが高まります。 Microsoft では、DSR を完了するために必要なシステム生成ログにアクセス、エクスポート、および削除する機能を提供します。 このようなデータの例を次に示します。
- 製品およびサービスの利用状況データ (ユーザー アクティビティ ログなど)
- ユーザー検索要求およびクエリ データ
- システムの機能とユーザーまたは他のシステムによる相互作用から生じる製品やサービスによって生成されたデータ。
データ主体権限 (DSR) エクスポートからのシステム生成ログの詳細については、「データ主体 要求 (DSR) エクスポートからのシステム生成ログの概要」を参照してください。
Viva Engage
ユーザーのアカウントを削除しても、Viva Engageのシステム生成ログは削除されません。 これらのアプリケーションからデータを削除するには、次のいずれかのリソースを参照してください。
国内クラウド
一部の国内クラウドでは、グローバル IT 管理者がシステム生成ログを削除する必要があります。
Microsoft サービス
organizationまたはユーザーが Microsoft の製品やサービスに関連するサポートを受けるために Microsoft と関わる場合、このデータの一部に個人データが含まれている可能性があります。 詳細については、「GDPR のための Microsoft サポート/プロフェッショナル サービス データ主体の要求」を参照してください。
Microsoft コントローラー製品
状況によっては、organizationのユーザーが、Microsoft がデータ コントローラーである Microsoft 製品またはサービスにアクセスする場合があります。 このような場合、ユーザーは自分自身の DSR を Microsoft に対して直接開始する必要があります。また、Microsoft はユーザーに対する要求を直接満たします。
サード パーティ製品
Microsoft アカウント認証を通じてアクセスされるサード パーティ製品およびサービスの場合は、該当するサード パーティにデータ主体の要求を送信します。
データ主体の要求の管理ツール
- Microsoft ポータル: Microsoft Purview ポータル またはアプリケーション内機能を使用して、ユーザーが作成または生成したデータをエクスポートします。
- Microsoft Entra 管理 センター: Microsoft Entra 管理 センターを使用して、Microsoft Entra IDおよび関連サービスからデータ主体を削除します。
- Microsoft Data Log Export: テナント管理者は、 Microsoft Data Log Export を使用してシステム生成ログをエクスポートできます。