[Japan Tech summit 2017] SEC 001

Microsoft Tech Summit 2017本情報の内容（添付文書、リンク先などを含む）は、Microsoft Tech Summit 2017 開催日（2017 年 11 月 8日 - 9 日）時点のものであり、予告なく変更される場合があります。

1. 世界的なデータ保護の動きとGDPRの概要

4. マイクロソフトのソリューション

2. マイクロソフトにおけるGDPR対応～データ管理者として

3. マイクロソフトにおけるGDPR対応～データ処理者として

データ保護指令

2018年5月24日まで

General Data Protection Regulation（EU一般データ保護規則）

2018年5月25日から

個人データの「個人」EU域内の居住者

(出典：「ＥＵ一般データ保護規則（GDPR)に関わる実務ハンドブック（入門編）2016年11月日本貿易振興機構（ジェトロ））

個人のプライバシー

GDPR による主要な変更点

制御と通知 透明性のポリシー IT およびトレーニング

個人のプライバシー

GDPR による主要な変更点

• アクセス

• 修正

• 消去

• 異議申し立て

• エクスポート

GDPR による主要な変更点

• セキュリティ

• 侵害検出後 72 時間以内の当局への通知

• 同意の取得

• データ処理の詳細な記録の保持

制御と通知

GDPR による主要な変更点

• データ収集に関する明確な通知

• 処理の目的と使用事例の概要の提示

• データの保持および削除に関するポリシーの定義

透明性のポリシー

GDPR による主要な変更点

• 担当者および従業員のトレーニング

• データ ポリシーの監査と更新

• データ保護責任者の採用 (必要な場合）

• ベンダーとの法令を遵守した契約の作成と管理

IT およびトレーニング

マイクロソフト自身のGDPR対応～データ管理者として

個人データの「個人」EU域内の居住者

(出典：「ＥＵ一般データ保護規則（GDPR)に関わる実務ハンドブック（入門編）2016年11月日本貿易振興機構（ジェトロ））

マイクロソフトのデータ管理方針

➢ 全世界共通の基準・プロセス

➢ 例外的な個別対応

本人

➢ 企業のお客様➢ 消費者のお客様➢ 従業員➢ パートナー企業

EU 当局

コンプライアンスと監査

アプリケーション

社内監査運用フェーズ

への移行

プロセスを

担保する

仕組みの導入

プロセスの

精緻化

ガイドライン

の改定

データ

マッピング

・棚卸し

現状との

ギャップ

分析

GDPR

要件確認

Legal IT Privacy IA

システム改定

完璧で完全なデータガバナンス

社内教育

(IT システム + 運用)

マイクロソフトのGDPR対応～データ処理者として

個人データの「個人」EU域内の居住者

(出典：「ＥＵ一般データ保護規則（GDPR)に関わる実務ハンドブック（入門編）2016年11月日本貿易振興機構（ジェトロ））

GDPR はプライバシーの権利、セキュリティ、およびコンプライアンスについて、新しく、より高い基準を設定するもの

世界中のお客様のGDPR への取り組みをお手伝いします

Brad Smith

プレジデント兼最高法務責任者

Microsoft Corporation

マイクロソフトのコミットメント

✓ GDPR 適用開始時にクラウドサービス全体で GDPR コ

ンプライアンスを確立できているよう全力

✓ マイクロソフトの取り組みを共有します。

✓ パートナーと共に、お客様が GDPR コンプライアンスの

取り組みにおけるポリシー、人員、プロセス、およびテ

クノロジの目標を達成できるよう支援する体制

• 厳しいセキュリティ要件への準拠

• データ主体からの要請の管理をサポート

• GDPRの要件の遵守をお客様が明らかにするための書類の提供

クラウドによる一元化、保護、準拠

保護を最大限に強化

プロセスの一元化

コンプライアンス対応の効率化

どのように開始するか

保有している個人データを識別し、その保存

場所を特定検出1

個人データの使用方法とアクセス方法を管理管理2

脆弱性とデータ侵害の防止、検出、および

対応を行うセキュリティ制御を確立保護3

必要な書類を保管し、データ要求と侵害通知を

管理レポート4

検出:

スコープ内:

•

•

•

•

•

•

•

•

•

•

インベントリ:

•

•

•

•

•

•

•

Microsoft AzureMicrosoft Azure Data Catalog

Enterprise Mobility + Security (EMS)Microsoft Cloud App Security

Dynamics 365データおよびユーザー アクティビティの監査レポートと分析

Office および Office 365 データ損失防止Advanced Data GovernanceOffice 365 eDiscovery

SQL Server および Azure SQL DatabaseSQL クエリ言語

Windows および Windows ServerWindows Search

ソリューションの例

1

2

ソリューションの例管理:

データ ガバナンス:

•

•

•

•

•

•

•

•

データ分類:

•

•

•

•

•

•

•

Microsoft AzureAzure Active DirectoryAzure ロールベースのアクセス制御 (RBAC)

Enterprise Mobility + Security (EMS)Azure Information Protection

Dynamics 365セキュリティの概念

Office および Office 365 Advanced Data Governanceジャーナリング (Exchange Online)

Windows および Windows ServerMicrosoft Data Classification Toolkit

3

ソリューションの例

データ攻撃の阻止:

•

•

•

•

•

•

•

•

侵害の検出と対応:

•

•

•

•

•

•

Microsoft AzureAzure Key Vault

Enterprise Mobility + Security (EMS)Azure Active Directory PremiumMicrosoft IntuneAzure AD Identity Protection

Office および Office 365 Advanced Threat ProtectionThreat Intelligence

SQL Server および Azure SQL DatabaseTransparent Data EncryptionAlways Encrypted

Windows および Windows ServerWindows Defender Advanced Threat ProtectionWindows HelloDevice Guard

保護:

4

ソリューションの例レポート:

記録保持:

•

•

•

•

•

レポート ツール:

•

•

•

•

•

•

Microsoft Trust CenterService Trust Portal

Microsoft AzureAzure 監査とログMicrosoft Azure Monitor

Enterprise Mobility + Security (EMS)Azure Information Protection

Dynamics 365レポートと分析

Office および Office 365 サービス アシュアランスOffice 365 の監査ログCustomer Lockbox

Windows および Windows ServerWindows Defender Advanced Threat Protection

GDPR 製品マッピング検出

Right to Erasure

Right to Data Portability

管理Documentation

Privacy by Design

保護Data Security

Data Transfer

レポートDocumentation

Breach Response and Notification

Security & Compliance CenterA one-stop portal for protecting your data in Office 365. Grant permissions to people who perform compliance tasks.

Data Loss PreventionUnified policies covering client end-points, empowering IT pros

Advanced Data Governance*Classify, preserve and/or purge data based on automatic analysis and policy recommendations

Content searchrun very large searches across mailboxes, public folders, Office

365 Groups, Microsoft Teams, SharePoint Online sites, One Drive

for Business locations, and Skype for Business conversations

Data Governancearchive and preserve content in Exchange Online mailboxes,

SharePoint Online sites, and OneDrive for Business locations, and

import data into your Office 365 organization.

Threat Managementhelps you control and manage mobile device access to your

organization's data, help protect your organization from data

loss, and help protect inbound and outbound messages from

malicious software and spam

Audit Logsrecord and search desired user and admin activity

across your organization

eDiscovery use cases to manage access, place a hold on content locations

relevant to the case, associate multiple Content Searches with the

case, and export search results

Mail Flow Ruleslook for specific conditions in messages that pass through your

organization and take action on them.

Advanced Threat Protectionprovides security functions that protect user environments that

contain consumer data including Safe Attachments & Safe Links

Service Assurancedeep insights for conducting risk assessments

with details on Microsoft Compliance reports and

transparent status of audited controls.

Advanced eDiscovery*significantly reduce cost and effort to identify relevant documents

& data relationships by using machine learning to train the

system to intelligently explore large datasets

Azure Information Protectionprevent sensitive information from being printed, forwarded,

saved, edited, or copied by unauthorized people

Threat Intelligence*analyze and understand their local threat environment, including

malware detected, targeted users, and links to global security

stats

Customer Lockbox*control how a Microsoft support engineer

accesses your data during a help session

Cloud Application Securitygain enhanced visibility and granular security controls and

policies including the ability to block access to unmanaged cloud

applications

Journaling in Exchange Onlinerespond to legal, regulatory, and compliance requirements by

recording inbound and outbound email communications.

Advanced Security Management*gain enhanced visibility and granular security controls and

policies including the ability to suspend user accounts, revoking

access to personal data

Information management policies With SharePoint Online, control how long to retain content, to

audit what people do with content, and to add barcodes or labels

to documents

Secure Scoreinsights into your security position and what features are available

to reduce risk while balancing productivity and security

Azure Identity Protectionadvanced risk based identity protection with alerts, analysis, &

remediation.

https://aka.ms/gdpr_jp

• マイクロソフトトラストセンターhttps://www.microsoft.com/ja-jp/trustcenter/default.aspx

• GDPR特設サイト

https://www.microsoft.com/ja-jp/trustcenter/privacy/gdpr

• Self Assessment

https://www.gdprbenchmark.com/questions

• オンラインサービス条件https://www.microsoft.com/ja-jp/licensing/product-licensing/products.aspx#OST