Vasu Jakkal
セキュリティコンプライアンス
アイデンティティ担当コーポレートバイスプレジデント
※本ブログは、米国時間 10 月 19 日に公開された “Simplifying the complex: Introducing Privacy Management for Microsoft 365” の抄訳を基に掲載しています。
データプライバシー規制の状況はこれまでにないほど複雑化しています。中国やインドでは新たな法律が制定され、欧州や英国では変化が起こり、米国では現在 26 の州で異なる法律が施行されています。このような状況で規制の一歩先を行くことなど不可能だと感じてしまうでしょう。
それでも対策は重要です。現在のハイブリッド環境の中で、ユーザを保護し、そのユーザ同士のつながりを保ち、仕事を片付け、繁栄するにあたって利用するツールを守るためです。
マイクロソフトでは、お客様と緊密に協力し、日々支援を継続しています。本日は、複雑なデータプライバシー規制の領域を簡素化するために当社が実践している新たな投資についてお話ししたいと思います。
Privacy Management for Microsoft 365 のご紹介
中国でまもなく新たな規制が施行されます。これにより、世界中の大半の人の個人データが最新のプライバシー規制の対象となります。しかし、組織がこうした法律を念頭に規制を管理する手法といえば、たいてい手作業のことが多く、時間もコストもかかります。
そこで本日、Privacy Management for Microsoft 365 の一般提供を開始したことを発表します。これにより、お客様は個人データを保護し、プライバシーを確保した職場環境を構築することができます。Privacy Management for Microsoft 365 は、ロールベースのアクセス制御とデータの非識別化がデフォルトとなっていることから、組織は大規模なプライバシーリスクを自動的にエンドツーエンドで可視化できます。
- 重要なプライバシーリスクやトラブルを特定します: プライバシー管理の中でも特に大きな課題のひとつに、個人データの保管場所を探し出すことが挙げられます。中でも非構造化環境においては困難を極める作業です。大半の企業では、未だデータのインベントリやマッピングの管理を手動プロセスにて実施していますが、その方法は主にメールやスプレッドシート、対面でのコミュニケーションによるもので、コストもかかれば効果的でもありません。Privacy Management は、データ分類やユーザーマッピングインテリジェンスを活用し、プライバシーデータがお客様の Microsoft 365 環境のどこにどれだけ保管されているかを自動的かつ継続的に見つけ出します。組織は、個人データの量やカテゴリー、場所、それに付随するプライバシーリスクやその傾向の変化など、プライバシーの状態を集約して確認することができるようになります。
- プライバシーの運用と主体権利リクエストへの対応を自動化します: Privacy Management では、Microsoft 365 のソリューション全体のデータ信号を関連付け、実用的な知見を提供します。これによりプライバシー管理者は、すぐに使えるテンプレートでプライバシーポリシーを自動化できるようになります。テンプレートには、データ転送やデータの最小化、データの過剰露出、主体権利リクエスト管理などが用意されています。また、組織特有のニーズに合わせてカスタムポリシーを作成することも可能です。
- 従業員がデータの取り扱いをスマートに判断できるようになります: プライバシーを確保した文化を構築するには、従業員がデータを適切に扱えるよう教育する必要があります。Privacy Management は、知見や状況を管理者に提供するため、管理者はプライバシーポリシーを自動化し機密データを保護できるようになります。またデータの所有者には、推奨される行動やトレーニング、スマートなデータの取り扱いについて決断する際のヒントが提供され、プライバシーと生産性のどちらを選ぶか悩む必要がなくなります。
Novartis にてデータプライバシー部門 (スイス) のトップを務めるベニ ゲルツァー (Beni Gelzer) 氏は、「Privacy Management for Microsoft 365 は、国境を越えた個人データの転送や過剰な共有などによって生じる重要なプライバシーリスクを特定し防ぎます」と語ります。「従業員が自らリスクを軽減できるようにすることで、IT リソースをより緊急度の高い重大なリスクに集中させることができます」
Novartis の Privacy Management for Microsoft 365 に関する体験は、同社のケーススタディをご覧ください。
パートナーシップによって Microsoft 365 を越えた可視化を実現
データはさまざまなクラウドやシステム、アプリケーション内に存在していることから、データプライバシーの課題解決には優れた知見とパートナーシップが求められます。
そこでマイクロソフトでは、各社でプライバシーへの取り組み状況に応じた対応ができるよう API を構築し、既存のプロセスやソリューションを統合して Privacy Management で主体権利リクエストを自動的に作成し管理できるようにしました。
また、本日プライバシーソフトウェア分野のリーディングカンパニーである OneTrust、Securiti.ai、WireWheel とのパートナーシップを発表します。これにより、主体権利管理機能が Microsoft 365 環境外に保存されている個人データにも拡張され、お客様は主体権利リクエストに対し統一した合理的な対応ができるようになります。
「OneTrust のミッションは、企業が組織の骨幹として信頼を構築できるようにすることです。マイクロソフトとのコラボレーションは、このミッションをサポートするものです」と、OneTrust のプロダクトマネジメント担当バイスプレジデント、アダム リコウスキー (Adam Rykowski) 氏は話します。「OneTrust の Privacy Management Solution からのデータ主体アクセスリクエスト (DSAR: Data Subject Access Request) の履行を、Microsoft 365 コンプライアンスセンターにて提供される Privacy Management for Microsoft 365 で自動化し同期することで、IT 管理者を OneTrust プラットフォームからプライバシー運用にシームレスに取り入れることが可能です」
このパートナーシップに関する詳細は、本日の Tech Community ブログをご覧ください。
Microsoft Compliance Manager の新規制アセスメント機能
データプライバシー規制の一歩先を進み、コンプライアンスに対応するにあたって取るべき技術的な行動を理解するのは大変なことです。そこで Microsoft Compliance Manager では、現時点で 200 を超える規制アセスメントテンプレートを用意しています。テンプレートは、グローバル、産業、地域ごとにデータ保護およびプライバシーに関する規制をカバーしているため、規制要件を解釈して評価し、コンプライアンスを向上させることが容易になります。最近では、コロラド州プライバシー法、バージニア州消費者データ保護法 (CDPA: Virginia Consumer Data Protection Act)、エジプトのプライバシー法という 3 つのプライバシー関連のアセスメントを追加しました。
また、これらのアセスメントテンプレート全体におけるプライバシー特有の制御を、新たな Privacy Management ソリューションにマッピングし、コンプライアンス対応の取り組みを拡大できるようにしました。
Compliance Manager の詳細や、利用可能なアセスメントのリスト、アセスメントの使い方については、ドキュメントをご確認ください。また、Compliance Manager の 90 日間トライアルも用意しています。トライアルでは 25 のアセスメントにアクセスできます。
プライバシーへの道のり
複雑なデータプライバシー規制への対応は長い道ですが、その道のりをパートナーやお客様、エコシステム内にいるその他の方々と共に歩んで行けることをうれしく思います。それが、複雑さを少しでも和らげ、すべての人にとってより安全な世界へとつながれば幸いです。
Privacy Management for Microsoft 365 は、Microsoft 365 および Office 365 のサブスクリプションのアドオンとして、お客様に一般提供されます。Privacy Management をお試しになりたい場合、90 日間の無料トライアルをご活用ください。Privacy Management の詳細は、本日の Tech Community ブログや、新 Microsoft Mechanics ビデオでもご覧になれます。
マイクロソフトのセキュリティソリューションの詳細は、当社のサイトをご覧ください。セキュリティブログでは、セキュリティ関連の専門情報が入手できます。また、@MSFTSecurity でもサイバーセキュリティに関する最新ニュースや更新情報をお届けしています。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。