Download - [Japan Tech summit 2017] SEC 001
Microsoft Tech Summit 2017本情報の内容(添付文書、リンク先などを含む)は、Microsoft Tech Summit 2017 開催日(2017 年 11 月 8日 - 9 日)時点のものであり、予告なく変更される場合があります。
1. 世界的なデータ保護の動きとGDPRの概要
4. マイクロソフトのソリューション
2. マイクロソフトにおけるGDPR対応~データ管理者として
3. マイクロソフトにおけるGDPR対応~データ処理者として
データ保護指令
2018年5月24日まで
General Data Protection Regulation(EU一般データ保護規則)
2018年5月25日から
個人データの「個人」EU域内の居住者
(出典:「EU一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編)2016年11月日本貿易振興機構(ジェトロ))
個人のプライバシー
GDPR による主要な変更点
制御と通知 透明性のポリシー IT およびトレーニング
個人のプライバシー
GDPR による主要な変更点
• アクセス
• 修正
• 消去
• 異議申し立て
• エクスポート
GDPR による主要な変更点
• セキュリティ
• 侵害検出後 72 時間以内の当局への通知
• 同意の取得
• データ処理の詳細な記録の保持
制御と通知
GDPR による主要な変更点
• データ収集に関する明確な通知
• 処理の目的と使用事例の概要の提示
• データの保持および削除に関するポリシーの定義
透明性のポリシー
GDPR による主要な変更点
• 担当者および従業員のトレーニング
• データ ポリシーの監査と更新
• データ保護責任者の採用 (必要な場合)
• ベンダーとの法令を遵守した契約の作成と管理
IT およびトレーニング
マイクロソフト自身のGDPR対応~データ管理者として
個人データの「個人」EU域内の居住者
(出典:「EU一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編)2016年11月日本貿易振興機構(ジェトロ))
マイクロソフトのデータ管理方針
➢ 全世界共通の基準・プロセス
➢ 例外的な個別対応
本人
➢ 企業のお客様➢ 消費者のお客様➢ 従業員➢ パートナー企業
EU 当局
コンプライアンスと監査
アプリケーション
社内監査運用フェーズ
への移行
プロセスを
担保する
仕組みの導入
プロセスの
精緻化
ガイドライン
の改定
データ
マッピング
・棚卸し
現状との
ギャップ
分析
GDPR
要件確認
Legal IT Privacy IA
システム改定
完璧で完全なデータガバナンス
社内教育
(IT システム + 運用)
マイクロソフトのGDPR対応~データ処理者として
個人データの「個人」EU域内の居住者
(出典:「EU一般データ保護規則(GDPR)に関わる実務ハンドブック(入門編)2016年11月日本貿易振興機構(ジェトロ))
GDPR はプライバシーの権利、セキュリティ、およびコンプライアンスについて、新しく、より高い基準を設定するもの
世界中のお客様のGDPR への取り組みをお手伝いします
Brad Smith
プレジデント兼最高法務責任者
Microsoft Corporation
マイクロソフトのコミットメント
✓ GDPR 適用開始時にクラウドサービス全体で GDPR コ
ンプライアンスを確立できているよう全力
✓ マイクロソフトの取り組みを共有します。
✓ パートナーと共に、お客様が GDPR コンプライアンスの
取り組みにおけるポリシー、人員、プロセス、およびテ
クノロジの目標を達成できるよう支援する体制
• 厳しいセキュリティ要件への準拠
• データ主体からの要請の管理をサポート
• GDPRの要件の遵守をお客様が明らかにするための書類の提供
クラウドによる一元化、保護、準拠
保護を最大限に強化
プロセスの一元化
コンプライアンス対応の効率化
どのように開始するか
保有している個人データを識別し、その保存
場所を特定検出1
個人データの使用方法とアクセス方法を管理管理2
脆弱性とデータ侵害の防止、検出、および
対応を行うセキュリティ制御を確立保護3
必要な書類を保管し、データ要求と侵害通知を
管理レポート4
検出:
スコープ内:
•
•
•
•
•
•
•
•
•
•
インベントリ:
•
•
•
•
•
•
•
Microsoft AzureMicrosoft Azure Data Catalog
Enterprise Mobility + Security (EMS)Microsoft Cloud App Security
Dynamics 365データおよびユーザー アクティビティの監査レポートと分析
Office および Office 365 データ損失防止Advanced Data GovernanceOffice 365 eDiscovery
SQL Server および Azure SQL DatabaseSQL クエリ言語
Windows および Windows ServerWindows Search
ソリューションの例
1
2
ソリューションの例管理:
データ ガバナンス:
•
•
•
•
•
•
•
•
データ分類:
•
•
•
•
•
•
•
Microsoft AzureAzure Active DirectoryAzure ロールベースのアクセス制御 (RBAC)
Enterprise Mobility + Security (EMS)Azure Information Protection
Dynamics 365セキュリティの概念
Office および Office 365 Advanced Data Governanceジャーナリング (Exchange Online)
Windows および Windows ServerMicrosoft Data Classification Toolkit
3
ソリューションの例
データ攻撃の阻止:
•
•
•
•
•
•
•
•
侵害の検出と対応:
•
•
•
•
•
•
Microsoft AzureAzure Key Vault
Enterprise Mobility + Security (EMS)Azure Active Directory PremiumMicrosoft IntuneAzure AD Identity Protection
Office および Office 365 Advanced Threat ProtectionThreat Intelligence
SQL Server および Azure SQL DatabaseTransparent Data EncryptionAlways Encrypted
Windows および Windows ServerWindows Defender Advanced Threat ProtectionWindows HelloDevice Guard
保護:
4
ソリューションの例レポート:
記録保持:
•
•
•
•
•
レポート ツール:
•
•
•
•
•
•
Microsoft Trust CenterService Trust Portal
Microsoft AzureAzure 監査とログMicrosoft Azure Monitor
Enterprise Mobility + Security (EMS)Azure Information Protection
Dynamics 365レポートと分析
Office および Office 365 サービス アシュアランスOffice 365 の監査ログCustomer Lockbox
Windows および Windows ServerWindows Defender Advanced Threat Protection
GDPR 製品マッピング検出
Right to Erasure
Right to Data Portability
管理Documentation
Privacy by Design
保護Data Security
Data Transfer
レポートDocumentation
Breach Response and Notification
Security & Compliance CenterA one-stop portal for protecting your data in Office 365. Grant permissions to people who perform compliance tasks.
Data Loss PreventionUnified policies covering client end-points, empowering IT pros
Advanced Data Governance*Classify, preserve and/or purge data based on automatic analysis and policy recommendations
Content searchrun very large searches across mailboxes, public folders, Office
365 Groups, Microsoft Teams, SharePoint Online sites, One Drive
for Business locations, and Skype for Business conversations
Data Governancearchive and preserve content in Exchange Online mailboxes,
SharePoint Online sites, and OneDrive for Business locations, and
import data into your Office 365 organization.
Threat Managementhelps you control and manage mobile device access to your
organization's data, help protect your organization from data
loss, and help protect inbound and outbound messages from
malicious software and spam
Audit Logsrecord and search desired user and admin activity
across your organization
eDiscovery use cases to manage access, place a hold on content locations
relevant to the case, associate multiple Content Searches with the
case, and export search results
Mail Flow Ruleslook for specific conditions in messages that pass through your
organization and take action on them.
Advanced Threat Protectionprovides security functions that protect user environments that
contain consumer data including Safe Attachments & Safe Links
Service Assurancedeep insights for conducting risk assessments
with details on Microsoft Compliance reports and
transparent status of audited controls.
Advanced eDiscovery*significantly reduce cost and effort to identify relevant documents
& data relationships by using machine learning to train the
system to intelligently explore large datasets
Azure Information Protectionprevent sensitive information from being printed, forwarded,
saved, edited, or copied by unauthorized people
Threat Intelligence*analyze and understand their local threat environment, including
malware detected, targeted users, and links to global security
stats
Customer Lockbox*control how a Microsoft support engineer
accesses your data during a help session
Cloud Application Securitygain enhanced visibility and granular security controls and
policies including the ability to block access to unmanaged cloud
applications
Journaling in Exchange Onlinerespond to legal, regulatory, and compliance requirements by
recording inbound and outbound email communications.
Advanced Security Management*gain enhanced visibility and granular security controls and
policies including the ability to suspend user accounts, revoking
access to personal data
Information management policies With SharePoint Online, control how long to retain content, to
audit what people do with content, and to add barcodes or labels
to documents
Secure Scoreinsights into your security position and what features are available
to reduce risk while balancing productivity and security
Azure Identity Protectionadvanced risk based identity protection with alerts, analysis, &
remediation.
https://aka.ms/gdpr_jp
• マイクロソフトトラストセンターhttps://www.microsoft.com/ja-jp/trustcenter/default.aspx
• GDPR特設サイト
https://www.microsoft.com/ja-jp/trustcenter/privacy/gdpr
• Self Assessment
https://www.gdprbenchmark.com/questions
• オンラインサービス条件https://www.microsoft.com/ja-jp/licensing/product-licensing/products.aspx#OST