Microsoft Priva を使用して、対象者の権利要求を大規模に管理する

プライバシーは、お客様にとってますます重要になっています。よく知られている欧州の一般データ保護規則 (GDPR) に加えて、プライバシー規制がほぼすべての地域で出現しており、現在、70% 以上の国でデータ保護とプライバシーに関する法律が施行されています。 ¹

プライバシー基準の数と範囲が拡大するにつれて、プライバシーは、信頼できるビジネスを可能にする顧客と利害関係者の期待となっています。私が一緒に仕事をしている大規模な組織の多くは、プライバシーコンプライアンスプロセスが成熟しています。 2018 年以降、GDPR に準拠しなければならない企業もありました。GDPR 準拠の義務を負っていない企業でさえ、GDPR を分水嶺の出来事と見なし、より広範なプライバシー規制が来ることを認識していました。組織は現在、顧客とブランドに価値を提供するために、プライバシーコンプライアンスからプライバシーリーダーシップに焦点を移しています。組織のプライバシージャーニーを支援するために、マイクロソフトは 2021 年 10 月にMicrosoft Privaを導入し、お客様が個人データを保護し、プライバシーの権利を尊重できるようにしました。

個人のプライバシー権を尊重するという概念は、1980^年以来、経済協力開発機構 (OECD) によって公正情報慣行原則 (FIPPs) の「個人参加原則」として強調されてきました。独自のデータを管理します。場合によっては、このデータを修正または削除する権利があります。 GDPR が発効して以来、この概念はより主流になり、データサブジェクト要求またはサブジェクト権利要求として知られています。米国では、12 の州で、対象者のデータアクセス権を義務付ける法律が可決されているか、有効な法案が提出されています。 ³

Table of contents

サブジェクト権利要求 (SRR) の管理には時間とコストがかかります
SRR管理のスケーリングは困難です
Microsoft Priva で大規模に管理し、自信を持って対応する
プライバシーソリューションと統合する
もっと詳しく知る

サブジェクト権利要求 (SRR) の管理には時間とコストがかかります

Subject Rights Request (SRR) への対応は、リソースを大量に消費し、コストがかかり、管理が難しい場合があります。 GDPR では 30 日間の応答時間が義務付けられており、カリフォルニア州プライバシー権法 (CPRA) では 45 日間の応答時間が許可されているため、応答には困難な時間枠があります。半数以上の組織が SRR を手動で処理していますが、3 分の 1 はプロセスを自動化しています。 ⁴ Gartner® によると、ほとんどの組織は 1 か月あたり 51 ～ 100 件の SRR を処理し、1 リクエストあたり 1,500 米ドル以上の費用がかかります。 ⁵より多くのプライバシー規制が施行され、一般の人々が自分の権利についてより多くの情報を得るにつれて、SRR の量は大幅に増加し、組織のリソースにさらに影響を与えると予想されます。

3 組織に 1 組織がサブジェクト権利要求を部分的に自動化していることを示す円グラフ。

図 1. 約 3 分の 1 の組織が、サブジェクトの権利要求を部分的に自動化しています。

SRR管理のスケーリングは困難です

SRR を処理するには、組織はデータ主体を検証して、個人が本人であり、情報に対する権利を持っていることを確認してから、情報を収集し、レビューし、必要に応じて編集し、要求者に回答を提供する必要があります。監査可能な方法で。

ほとんどの組織は、SRR 対応のプロセスを用意していますが、共同作業には電子メール、検索には eDiscovery ツールを使用し、複数の人のプライバシー関連データを含むファイルなどのデータ競合を特定するには手動レビューに依存しています。これらのプロセスは機能しますが、スケーリングしません。また、データの無秩序な広がりと、セキュリティとコンプライアンスのリスクも増大します。

Microsoft Priva で大規模に管理し、自信を持って対応する

組織がこれらの課題に対処できるように、Microsoft はMicrosoft Priva を作成しました。これは、SRR への対応プロセスを合理化しながら、プライバシーを保護および尊重するのに役立つプライバシー管理ソリューションです。

Microsoft Priva SRR は、要求者の個人データを含む電子メール、メッセージ、ドキュメント、スプレッドシートなど、Microsoft 365 環境からサブジェクトのデータを自動的に収集するのに役立ちます。次に、収集したファイルに含まれる他人の個人データや機密情報などの競合を検出してフラグを立てます。自動化されたデータ収集と検出により、競合をより正確に把握して、データの漏洩を防ぐことができます。

さらに、このソリューションでは、利害関係者が収集したファイルをネイティブビューでレビュー、トリアージ、編集するための保護されたプラットフォームでのコラボレーションが可能になります。ファイルパスのレポートのみを提供する他のソリューションとは異なり、Microsoft Priva はファイルを提供し、ブラウザーでファイルパスを手動でコピーして貼り付けたり、他のユーザーにファイルを電子メールで送信したりメッセージを送ったりして確認する時間と労力を節約できます。

Microsoft 365 コンプライアンスダッシュボードユーザーの編集ファイルのアニメーション画像。

図 2. 複数の人物のデータが検出された場合、ネイティブビューで収集されたファイルを確認、トリアージ、編集します。

プライバシー管理者は、Microsoft Priva ソリューションと統合されたMicrosoft TeamsとPower Automateを活用して、人事、法務、およびその他の部門と、効率的でコンプライアンスに準拠した監査可能な方法で作業することもできます。コラボレーションデータはすべて 1 つのプラットフォームに一元化され、その過程でセキュリティとコンプライアンスが保証されます。 Microsoft Priva SRR は、組織が個人データのスプロール化を回避しながら、自信を持って大規模な SRR を管理するのに役立ちます。

Microsoft Priva Subject Rights Requests が大規模かつ自信を持って要求を管理するのにどのように役立つかを示すフローチャート。

図 3. Microsoft Priva SRR は、要求を大規模かつ確実に管理するのに役立ちます。

ソリューションダッシュボードは、SRR メトリックの視覚化と、リクエストをフィルタリングして完了まで管理する機能を提供します。これにより、社内の利害関係者と規制当局は、SRR の対応が必要な時間枠内で準拠したプロセスで行われたことを確認できます。

Microsoft 365 コンプライアンスセンターのダッシュボードは、SRR の進行状況を経時的に示しています。

図 4: Microsoft Priva SRR は、SRR の進行状況に関する洞察を提供し、経時的な傾向を示すのに役立ちます。

プライバシーソリューションと統合する

多くの組織は、他のツールを使用して SRR を管理しています。 Microsoft Priva と Microsoft 365 とのネイティブ統合の価値を彼らにも提供し、より良い組み合わせのソリューションを提供したいと考えています。これの一部は、Microsoft Priva を、 Microsoft Graph サブジェクト権利要求 APIを通じて、他のソフトウェアベンダーのソリューションおよび顧客の自社製ソリューションと統合することです。この API を使用すると、OneTrust、Securiti.ai、WireWheel などのプライバシーに依存しないソフトウェアベンダー (ISV) と統合して、SRR 処理プロセスを自動化し、組織のデータ資産全体を網羅する応答を提供できます。

たとえば、組織は API を使用して、独自のアプリケーションで受け取った要求を Microsoft Priva に送信できます。これにより、対象者の個人データが自動的に収集され、共同作業でファイルの確認と編集が可能になり、データパッケージへのリンクが作成され、送信されます。 API を介して自家製のアプリケーションに戻します。その後、組織はさまざまな環境からのすべてのレポートとデータを組み合わせて、要求者に応答できます。

Microsoft Graph A P I は、組織が Microsoft Priva と既存のプライバシーツールをどのように活用しているかを示しています。

図 5. Microsoft Graph API により、組織は Microsoft Priva と既存のプライバシーツールを活用できます。

もっと詳しく知る

SRR 管理の複雑さを軽減できることを嬉しく思います。 SRR を大規模に管理する方法の詳細については、Microsoft から電子書籍の 5 つのヒントをダウンロードして SRR を自動化するか、2022 年 4 月 19 日のウェビナーに参加してください。

Microsoft Privaソリューションは、すべての Microsoft 365 または Office 365 エンタープライズサブスクリプションへのアドオンとして一般に利用できます。 Microsoft Priva SRRを 90 日間試用するか、最大 50 件のサブジェクト権利要求を作成することができます (いずれかの制限が先に期限切れになる方)、費用はかかりません。

Microsoft セキュリティソリューションの詳細については、当社の Web サイトを参照してください。セキュリティブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

¹UNCTAD のデータ保護とプライバシーに関する世界的な法律

²プライバシー保護および個人データの越境フローに関する OECD ガイドライン、OECD。 2013年。

³米国州プライバシー法トラッカー、Taylor Kay Lively、iapp. 2022 年 3 月 3 日。

⁴IAPP-EY Consulting and Annual Privacy Governance Report for 2021 、iapp、EY。 2021年。

⁵Subject Rights Request Automation のマーケットガイド、Gartner。 2021 年 11 月。

参照: https://www.microsoft.com/en-us/security/blog/2022/03/16/manage-subject-rights-requests-at-scale-with-microsoft-priva/