一般データ保護規則 (GDPR) では、欧州連合 (EU) 内の人々に商品やサービスを提供する、または EU 居住者向けのデータの収集と分析を実行する会社に対して、新しい規則を導入します。GDPR は、個人やその企業がどの場所にあるかに関係なく適用されます。 このドキュメントでは、Microsoft の製品とサービスを使用する際の GDPR に基づく権利の尊重と義務の履行に役立つ情報を提供します。 「GDPR の推奨アクション プラン」および「アカウンタビリティ対応準備チェックリスト」では、GDPR コンプライアンスの評価と実装のための追加リソースを参照できます。
用語
このドキュメントで使用されている GDPR 用語の役に立つ定義:
- データ管理者(管理者):個人データの処理の目的と手段を単独または共同で決定する法人、公的機関、機関、またはその他の機関。
- 個人データとデータ主体: 特定されたまたは特定可能な自然人 (データ主体) に関連するあらゆる情報。特定可能な自然人とは、直接または間接的に特定することができる者のことです。
- 処理者: コントローラーに代わって個人データを処理する、自然人または法人、公的機関、機関、またはその他の機関。
- 顧客データ: ビジネス運営における日々の業務で作成および保存されるデータ。
GDPR とは?
GDPR は、organizationが収集した個人データを管理する権限をユーザーに付与します。 Peopleは、データ主体要求 (DSR) を通じてこれらの権利を行使できます。 organizationでは、DSR とデータ侵害に関するタイムリーな情報を提供し、データ保護影響評価 (DPIA) を実行する必要があります。
GDPR 要件を実装または評価する際には、いくつかの点を考慮してください。
- GDPR コンプライアンスのデータ プライバシー ポリシーの開発または評価。
- 組織のデータ セキュリティの評価。
- データ コントローラーの識別。
- 実行する必要がある可能性があるデータ セキュリティ プロセスを決定する。
GDPR とアアカウントビリティの準備チェックリストの推奨アクション プランは、追加の考え方を促す場合があります。
GDPR 標準を満たすには、次のタスクを実行します。 実装に関する詳細については、リスト内のリンクを参照してください。
- データ主体の要求 (DSR)。 個人データに関するアクション (変更、制限、アクセス) を実行するように、データ主体がコントローラーに対して行う正式な要求。
- 違反の通知。 GDPR では、個人データの侵害とは、「送信、保存、またはその他の方法で処理された個人データの偶発的または違法な破壊、損失、改変、不正開示、またはアクセスにつながるセキュリティ違反」です。
- データ保護影響評価 (DPIA)。 データ コントローラーは、"自然人の権利と自由に対するリスクが高くなる可能性が高い" データ操作に対して DPIA を準備するために、GDPR の下で必要です。
前述のように、GDPR とアアカウントの準備チェックリストの推奨アクション プランには、Microsoft の製品とサービスを使用して GDPR 準拠を実装または評価するためのガイドが用意されています。
Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する
Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンス マネージャーには、Enterprise E5 のお客様向けのこの規制に対する事前構築済みの評価があります。 評価の作成に使用するテンプレートについては、コンプライアンスマネージャーの [ 評価テンプレート ] を参照してください。 コンプライアンスマネージャーで評価をする方法について説明します。
データ主体の要求 (DSR)
GDPR は、個人データの処理に関連して個人 (またはデータ主体) に特定の権利を付与します。これには、不正確なデータの修正、データの消去または処理の制限、データの受信、別の管理者へのデータ送信要求の履行の権利が含まれます。 コントローラーは、GDPR に一貫性のあるタイムリーな応答を提供する責任があります。 技術的な詳細については、「データ主体の要求」を参照してください。
DSR についてよく寄せられる質問
DSR を完了するアクション
DSR には、検出、アクセス、修正、制限、エクスポート、削除の 6 つのアクティビティが含まれています。
データ ソースとは?
organizationのデータの大部分は、Excel や Outlook などの Office アプリケーションから取得されます。 また、Microsoft の製品とサービスによって生成された Insights の DSR に関連するデータや、 システムによって生成されたログを見つけることもできます。
どのような種類のデータを検索する必要がありますか?
個人データは、顧客データ、Microsoft 製品とサービスによって生成された分析情報、およびシステムによって生成されたログに含まれます。
個人データはどのように検索されますか?
個人データの検索は、Microsoft の製品とサービスによって異なります。 検索ツールには、コンテンツ検索、またはアプリ内検索能力が用意されています。 管理者は、ユーザーのアクティビティに関連付けられている システム生成ログ にアクセスできます。
個人データは、どのような形式で利用できるようにする必要がありますか?
GDPR の "データ移植性の権利" により、データ主体は、"構造化された、一般的に使用される、コンピューターが読み取り可能な形式" で個人データのコピーを要求し、これらのファイルを別のデータ コントローラーに送信organization要求できます。
GDPR で求められていること、および管理者の責任は何ですか?
GDPR で、管理者に求められる実行項目:
- データ主体に個人データのコピーを提供し、処理されるデータのカテゴリ、その処理の目的、およびデータを開示できる第三者のカテゴリの説明を提供します。
- 各個人が、不正確な個人データを修正したり、データを抹消したり、その処理を制限したり、可読形式でデータを受け取ったり、また該当する場合には別の管理者にそのデータを送信したりする権利の行使を支援します。
GDPR では何が求められていますか、また処理者としての Microsoft にはどんな責任がありますか?
Microsoft は、前に説明したように、権利を行使するデータ主体からの要求に対応するために、適切な技術的および組織的な手段を実装する必要があります。
オンプレミスのサーバーに関する GDPR の関連情報は、どこにありますか?
GDPR に関連する一連の記事については、こちらを参照してください。 これらの記事は Microsoft が作成したものであり、SharePoint Server、Exchange Server、Skype for Business Server、Project Server、Office Web Apps Server、Office Online Server のオンプレミス ワークロードと、オンプレミスのファイル共有について推奨されるアプローチを紹介しています。
Microsoft はデータ主体要求にどのように対応できるのでしょうか?
オンライン サービスは、管理者であるお客様がデータ主体の要求に対応できるようにする多数の機能を提供しています。 Microsoft のエンタープライズ オンライン サービスと管理コントロールは、データ主体の権利要求に応じた個人データの処理に役立ちます。これにより、Microsoft のクラウドに保管された、管理者の管理対象データに含まれる個人データの検出、アクセス、修正、制限、削除、エクスポートが可能になります。 また、オンライン サービスでは、必要に応じて機械可読形式のデータも提供します。
データ保護影響評価
GDPR では、データ コントローラーは、"自然人の権利と自由に対するリスクが高くなる可能性が高い" 操作を処理するために、 データ保護影響評価 (DPIA) を準備する必要があります。 DPIA の作成を必要とする Microsoft の製品やサービスには固有の何もありません。 代わりに、Microsoft 構成の詳細によって異なります。 考慮する必要がある詳細の一覧については、「 DPIA の内容」を参照してください。
DPIA についてよく寄せられる質問
DPIA はいつ実施する必要がありますか?
個人データのセキュリティに対するリスクやデータ侵害の結果として対処する場合は、DPIA を実行する必要があります。 Office のリスク要因の具体的な例については、「 DPIA が必要かどうかを判断する」を参照してください。
DPIA の完了には何が必要ですか?
GDPR では、DPIA に次の事項を含めるよう規定されています。
- DPIA の目的に関するデータ処理作業の必要性および比例性の評価。
- データ主体の権利および自由に関するリスクの評価。
- リスク、セーフガード、セキュリティ対策、メカニズムに対処して、個人データを確実に保護し、GDPR 準拠を実証するための想定された対策。
管理者としてには、どのような責任がありますか?
GDPR では、コントローラーとして、データ処理の前に DPIA を引き受ける必要があります。これは、個人の権利と自由 (特に新しいテクノロジを使用する処理) に高いリスクをもたらす可能性があります。 GDPR では、DPIA を実行する必要があるケースの次の存在しない一覧が提供されます。
- 法的効果を持つ、または同様にデータ主体に大きな影響を与える、プロファイリングと同様のアクティビティを目的とした自動処理。
- 人種的または民族的な起源、政治的意見などを明らかにするデータや、犯罪の有罪判決や犯罪に関連するデータなど、大規模な特殊なカテゴリの個人データに対する処理。
- 公開アクセス可能な地域での体系的な大規模監視。
GDPR では、データ主体に対する高リスクを最小限に抑えるための十分なプロセスを特定できない場合は、処理を開始する前に、データ保護機関 (DPA) に相談する必要もあります。
Microsoft は、どのような責任がありますか?
Microsoft は、エンジニアリング部門および業務部門でプライバシー バイ デザインとプライバシー バイ デフォルトを実施しています。 これらの取り組みの一環として、Microsoft はデータ主体の権利および自由に影響を与える可能性のあるデータ処理操作について、包括的なプライバシー レビューを実行しています。 サービス グループに埋め込まれたプライバシー チームは、サービスの設計と実装を見直し、国際法、ユーザーの期待、および Microsoft の明示的なコミットメントに従って個人データが適切な方法で処理されるようにします。
これらのプライバシー レビューはきめ細かい傾向があります。特定のサービスは数十または数百のレビューを受け取ることができます。 Microsoft では、こうした詳細なプライバシー レビューを、処理グループの大半を網羅するデータ保護影響評価 (DPIA) にまとめ、そのレビューを Microsoft EU データ保護責任者 (DPO) が実施します。 DPO は、データ処理に関連するリスクを評価して、十分な軽減策が講じられるようにします。 DPO が軽減されていないリスクを検出した場合は、エンジニアリング グループに変更を戻すようお勧めします。 DPIA は、データ保護リスクの変化に応じてレビューおよび更新されます。
処理者としての Microsoft には、GDPR に示されている DPIA 要件へのコンプライアンスを確保するよう、管理者を支援する責任があります。 お客様をサポートするために、将来の更新では、このセクションで Microsoft の DPIA 関連セクションの要約が提供される予定です。その目的は、Microsoft サービスを利用している管理者が、提供された要約を活用して独自の DPIA を作成できるようにするためです。
侵害の通知
GDPR は、個人データの侵害が発生した場合のデータ コントローラーとプロセッサの通知要件を設定します。 Microsoft は、データ プロセッサとして、お客様が GDPR の違反通知要件を満たすのを支援します。 データ コントローラーは、データ プライバシーに対するリスクを評価し、お客様の DPA に通知する必要がある違反かどうかを判断する責任があります。 Microsoft は、その評価に必要な情報を提供しています。 Microsoft が個人データの侵害を検出して対応する方法の詳細については、「 GDPR に基づくデータ侵害通知」を参照してください。
違反の通知についてよく寄せられる質問
GDPR における個人データ違反とは何ですか?
個人データは、個人に関連する情報のうち、直接的または間接的に個人を特定するために使用できるものを意味します。 個人データ侵害とは、「送信、保存、またはその他の方法で処理された個人データの偶発的または違法な破壊、損失、改変、不正開示、またはアクセスにつながるセキュリティ違反」です。
管理者には、どのような責任がありますか?
個人の権利と自由に高い危機 (差別、個人情報盗難、詐欺、金銭的損失、名誉毀損など) をもたらす可能性のある個人データ違反が発生した場合、GDPR では次の行動を求めています。
- Microsoft から通知された後など、認識されてから 72 時間以内に適切なデータ保護機関 (DPA) に通知します。 その期間内に DPA に通知しない場合は、その理由を DPA に説明する必要があります。 DPA へのこの通知は、リスクが高くなる可能性が高くない個人にリスクがある場合でも必要です。
- 違反のデータ主体を過度の遅延なく通知する。
- 侵害の性質の説明 (影響を受けたユーザーの数、影響を受けたデータ レコードの数、侵害の結果、organizationが提案または実行した修復アクションなど) を文書化します。
処理者としての Microsoft には、どのような責任がありますか?
個人データ違反の認識後、GDPR に基づいて当社は過度の遅延なく通知する義務があります。 Microsoft が処理者である場合、その義務には、GDPR の要件と共に Microsoft の標準である世界的な契約規定の両方が反映されます。 当社は、確認されたすべての個人データ侵害がスコープ内にあると見なします。害のしきい値のリスクはありません。 Microsoft は、データ侵害が Microsoft によって直接、またはサブプロセッサーによって被害を受けたかどうかをお客様に通知します。 お客様のorganizationで特定したセキュリティ インシデント担当者をすばやく特定して連絡するためのプロセスが用意されています。 さらに、すべてのサブプロセッサーは、契約上、独自の違反を Microsoft に報告し、その旨を保証する義務があります。
MIcrosoft はデータ違反をどのように検出しますか?
当社のすべてのサービスと担当者は、社内インシデント管理手順に従い、何よりもまずデータ違反を回避するための予防手段を講じます。 さらに、オンライン サービスには、複数のプラットフォームに渡る固有のセキュリティ管制が実施されていて、たとえデータ違反があったとしても検出できるようになっています。
Microsoft はデータ違反にどのように対応しますか?
個人データの侵害をサポートするために、Microsoft には、 - 特定の手順に従ってトレーニングされたセキュリティ担当者があります。 - Microsoft が詳細なレコードを確実に保持するためのポリシー、手順、およびコントロール。 この対応には、インシデントの事実、その影響、および対策について記録したドキュメンテーション、またインシデント管理システムでの情報の追跡と保存が含まれます。
データ違反発生時に、Microsoft からどのように通知されるのですか?
Microsoft は、お客様に速やかに通知するためのポリシーと手順を規定しています。 DPA に対するお客様の通知要件を満たすために、個人データの侵害が発生したかどうかを判断するために使用したプロセスの説明、侵害の性質の説明、および侵害を軽減するために取った対策の説明を提供します。
GDPR に関するアカウンタビリティ対応準備チェックリスト
これらの チェックリストは、 Microsoft 製品を使用して GDPR をサポートするために必要な情報にアクセスするための便利な方法を提供します。 チェックリスト項目を管理するには、 Microsoft Purview コンプライアンス マネージャーを使用して、[GDPR] タイルの [カスタマー マネージド コントロール] の [コントロール ID] と [コントロール タイトル] を参照します。
GDPR についてよく寄せられる質問
GDPR に関して、Microsoft はお客様に確約することはありますか?
はい。 GDPR では、コントローラー (Microsoft のエンタープライズ オンライン サービスを使用している組織など) に対して、GDPR の主要な要件を満たすのに十分な保証を提供するプロセッサ (Microsoft など) のみを使用する必要があります。 Microsoft は、契約の一環として、すべてのボリューム ライセンスのお客様に対してこれらのコミットメントを積極的に提供します。
準拠のために、どのような支援が Microsoft から得られますか?
Microsoft は、GDPR のアカウンタビリティをサポートするためのツールとドキュメントを提供しています。 このサポートには、データ主体の権利、独自のデータ保護影響評価の実行、個人データ侵害の解決に協力することが含まれます。
GDPR 条項には、どのような義務が記されていますか?
Microsoft の GDPR 条項は、第 28 条で処理者に求められる義務を反映しています。 第 28 条では、次の項目を処理者に義務付けています。
- 副処理者を従事させる場合は、必ず管理者の承諾を得ること。また、その副処理者に対する責任を負うこと。
- 個人データの処理は、移転に関する処理を含め、管理者からの指示によってのみ実施すること。
- 個人データの処理担当者に守秘義務を遵守させること。
- 個人データのリスクに応じたセキュリティ レベルを保証するために、適切な技術的対策と組織的対策を実施すること。
- GDPR の権利を行使するためのデータ主体の要求に対応するという管理者の義務を支援すること。
- 違反の通知とその支援に関する要件を満たすこと。
- データ保護影響評価を実施する際、および監査機関と相談する際に管理者を支援すること。
- サービス提供の終了時に個人データを削除または返却すること。
- GDPR への準拠の証拠に関して管理者を支援すること。
Microsoft は、何を基準にして EU 域外への個人データの転送を支援しますか?
Microsoft では長年にわたり、企業向けオンライン サービスのデータ移転の基準として、標準契約条項 (モデル条項とも呼ばれる) に従っています。 Standard契約条項は、欧州委員会が提供する標準条項であり、準拠した方法で欧州経済領域の外部にデータを転送するために使用できます。 Microsoft は、製品使用条件を通じて、Standard契約条項をすべてのボリューム ライセンス契約に組み込みました。 欧州経済地域、スイス、英国からの個人データの場合、Microsoft は、第三国/地域または国際organizationへの個人データの転送が、GDPR の第 46 条に記載されている適切な保護措置の対象となることを保証します。 プロセッサおよびその他のモデル契約に関するStandard契約条項に基づく Microsoft のコミットメントに加えて、Microsoft はプライバシー シールド フレームワークの条項に従い続けますが、EU/EEA から米国への個人データの転送の基礎として依存しなくなりました。
その他の Microsoft のコンプライアンス サービスには、どのようなものがありますか?
Microsoft は、世界中のほぼすべての国/地域に顧客を持つグローバル企業として、お客様を支援する堅牢なコンプライアンス ポートフォリオを備えています。 FedRamp、HIPAA/HITECH、ISO 27001、ISO 27002、ISO 27018、NIST 800-171、UK G-Cloud などのコンプライアンス オファリングの完全な一覧を表示するには、 コンプライアンス オファリングトピックを参照してください。
GDPR は、どのように私の会社に影響するのですか?
GDPR は、個人データを収集または処理する組織に対して、幅広い要件を課しています。これには、次の 6 つの主要な原則に準拠する要件が含まれています。
- 個人データの処理と使用における、透明性、公平性、合法性。 個人データの使用方法を個人に明確にする必要があります。また、そのデータを処理するには"合法的な基礎" も必要です。
- 個人データの処理を、指定、明示的、および正当な目的に制限します。 お客様は、最初にデータを収集した目的と "互換性" のない目的で個人データを再利用または開示することはできません。
- 個人データの収集と保存 を、目的に合った適切かつ関連性のあるもののみに最小限に抑えます。
- 個人データの正確性を確保し、消去または修正できるようにします。 保持している個人データが正確であり、エラーが発生した場合に修正できるように、手順を実行する必要があります。
- 個人データの保存を制限します。 お客様は、データを収集した目的を達成するために必要な限り、個人データを保持する必要があります。
- 個人データのセキュリティ、整合性、機密性を確保します。 組織は、個人データの安全性を維持するため、技術的および組織的なセキュリティ対策の手順を踏む必要があります。
GDPR に基づくorganizationの特定の義務とその対応方法を理解する必要があります。 Microsoft は、GDPR の取り組みを支援するためにここにいます。
GDPR において企業が認めなければならない権利は何ですか?
GDPR では、EU 域内の居住者に、一連の「データ主体の権利」を通じて自分の個人データを管理する権利が付与されています。 このセットには、次の権限が含まれます。
- 個人データの使用方法に関する情報にアクセスする。
- 組織が保有している個人データにアクセスする。
- 誤った個人データを削除または訂正させる。
- 特定の状況で個人データを修正および削除させる (「忘れられる権利」とも呼ばれます)。
- 個人データの自動処理に対して制限または異議を申し立てる。
- 個人データのコピーを受け取る。
処理者および管理者とは何ですか?
管理者は、個人データの処理の目的と手段を単独または共同で決定する、自然人または法人、公的機関、機関、またはその他の機関です。 処理者とは、管理者の代わりに個人データを処理する、自然人、法人、公共機関、行政機関、またはその他の団体を意味します。
GDPR はプロセッサとコントローラーに適用されますか?
はい。GDPR は、管理者と処理者の両方に適用されます。 管理者は、GDPR の要件を満たすための措置を講じる処理者のみを採用する必要があります。 GDPR では、プロセッサは、データ保護指令と比較して、コントローラーによって提供される命令の外部で非準拠または行動することに対して、追加の義務と責任を負います。 プロセッサの職務には以下が含まれますが、これらに限定されません。
- 管理者による指示に従ってのみデータを処理する。
- 個人データを保護するための適切な技術的および組織的な措置を講じる。
- データ主体の要求に関して管理者を支援する。
- 処理を委託する副処理者が、これらの要件を確実に満たすようにする。
企業は、違反に対してどのくらいの罰金を科せられますか?
企業は、特定の GDPR 要件を満たさねず、年間グローバル売上高の最大 2,000 万ユーロまたは 4% の罰金を科すことができます。 個別の救済策が追加されると、GDPR の要件を満たせなかった場合のリスクが高くなることがあります。
私の事業にはデータ保護責任者 (DPO) の任命が必要になりますか?
これは、この規制の範囲内で特定されている複数の要因によって決まります。 GDPR の第 37 条は、(a) 司法能力で行動する裁判所を除き、行政機関または機関が処理を行う場合に、管理者および処理者がデータ保護責任者を指定しなければならないと述べています。(b) コントローラーまたはプロセッサのコア アクティビティは、その性質、スコープ、またはその目的により、大規模なデータ主体の定期的かつ体系的な監視を必要とする処理操作で構成されます。(c) コントローラーまたはプロセッサの中核的な活動は、第9条に基づくデータの大規模な特殊なカテゴリでの処理と、第10条で言及されている犯罪の有罪と犯罪に関連する個人データで構成されます。
GDPR に準拠するために、どれくらいのコストがかかりますか?
GDPR への準拠を満たすと、ほとんどの組織にとって時間とコストがかかりますが、適切に設計されたクラウド サービス モデルで運用し、効果的なデータ ガバナンス プログラムを実施しているユーザーにとっては、よりスムーズな移行になる可能性があります。
自分の組織が処理するデータが GDPR の対象になるかどうかは、どのようにして確認しますか?
GDPR は、「個人データ」の収集、保管、使用、共有を規制しています。 GDPR は、個人データを、特定された自然人または特定可能な自然人に関連するデータとして広く定義します。
個人データには、オンライン識別子 (IP アドレスなど)、従業員情報、販売データベース、顧客サービス データ、顧客フィードバック フォーム、位置情報、生体データ、CCTV 映像、ロイヤルティ スキーム レコード、正常性、財務情報などが含まれますが、これらに限定されません。 アカウント番号や一意のコードがその情報を識別可能な個人にリンクする、人がいない風景の写真など、個人とは思えない情報を含めることもできます。 仮名を特定の個人にリンクできる場合は、仮名化した個人データも個人データになる可能性があります。
人の人種的または民族的な起源を明らかにする個人データ、または健康や性的指向に関する個人データなど、特定の「特別な」カテゴリの個人データを処理することは、「通常の」個人データの処理よりも厳しい規則の対象となります。 個人データのこの評価は非常に事実に固有であるため、専門家が特定の状況を評価する必要があります。
私のorganizationは、他の人の代わりにデータを処理するだけです。 それでも GDPR に準拠する必要がありますか?
はい。 規則は多少異なりますが、GDPR はそれぞれの目的のためにデータを収集および処理する組織 (「管理者」) だけでなく、別の組織の代わりにデータを処理する組織 (「処理者」) にも適用されます。 この要件は、これまでの管理者に適用されるデータ保護指令からの変更です。
具体的に何が個人情報とみなされますか?
個人データとは、識別された人物、または識別可能な人物に関するあらゆる情報のことです。 個人の私的、公的、または職業上の役割による区別はありません。 次の情報は個人データに含まれます。
- 名前
- 自宅の住所
- 勤務先の住所
- 電話番号
- 携帯電話番号
- メール アドレス
- パスポート番号
- 国が発行する身分証明書
- 社会保障番号 (またはこれに相当するもの)
- 運転免許証
- 身体的、生理学的、または遺伝学的な情報
- 医療情報
- 文化的アイデンティティ
- 銀行に関する詳細情報/口座番号
- 納税者番号
- 勤務先の住所
- クレジット カード/デビット カードの番号
- ソーシャル メディアの投稿
- IP アドレス (EU 地域)
- 位置/GPS データ
- Cookie
EU 域外にデータを転送することは可能ですか?
ただし、GDPR では、ヨーロッパの居住者の個人データを欧州経済地域外の目的地に転送することを厳格に規制しています。 契約などの特定の法的メカニズムを設定するか、認定メカニズムに従ってこれらの転送を有効にする必要がある場合があります。 Microsoft は、製品利用規約で使用するメカニズムについて詳しくは説明します。
コンプライアンスを通じてデータ保持の要件を満たしています。 これらの要件は消去の権利をオーバーライドしますか?
「法的義務を遵守するため、コントローラーが適用される連合または加盟国の法律による処理を必要とする」など、継続的な処理とデータ保持の正当な根拠がある場合(第17条3)(b))、GDPRは、組織がデータを保持する必要がある可能性があることを認識しています。 ただし、保持の根拠がデータ主体の権利と自由、データ収集時の期待、およびその他の関連要因に対して考慮されるように、法的助言を受けてください。
GDPR では暗号化について取り上げられていますか?
GDPR は、侵害が発生したときに個人データを理解できない保護手段として暗号化を識別します。 そのため、暗号化を使用するかどうかは、個人データ侵害の通知の要件に影響する可能性があります。 GDPR では、暗号化を、一部のリスクに対処する適切な技術的または組織的手段としても指摘しています。 暗号化は、クレジット カード業界 (PCI) データ セキュリティ スタンダード (DSS) による要件でもあり、金融サービス業界に固有の厳格なコンプライアンス ガイドラインの一部でもあります。 Azure、Dynamics 365、Enterprise Mobility + Security、Office Microsoft 365、SQL Server/Azure SQL Database、Windows 10、Windows 11などの Microsoft 製品とサービスは、転送中のデータと保存データに対して堅牢な暗号化を提供します。
GDPR によって、個人データ違反に対する組織の対応はどのように変わりますか?
GDPR は、データ保護要件を変更し、個人データ侵害の通知に関するプロセッサと管理者に対してより厳しい義務を果たします。 新しい規制の下で、プロセッサは、過度の遅延なしに、それを認識した後、個人データ侵害をデータ管理者に通知する必要があります。 管理者は、個人データ違反に気付いた場合、72 時間以内に所定のデータ保護機関に通知する必要があります。 侵害が個人の権利と自由に対して高いリスクをもたらす可能性がある場合、管理者は、影響を受ける個人に過度の遅延なく通知する必要もあります。 この項目に関する追加のガイダンスは、EU の第 29 条作業部会で策定中です。
Microsoft の製品とサービス - Azure、Dynamics 365、Enterprise Mobility + Security、Microsoft Office 365、Windows 10など- セキュリティ上の脅威と侵害を検出して評価し、GDPR の違反通知義務を満たすのに役立つソリューションを現在提供しています。