日本マイクロソフトは9月12日、メディア向けのセキュリティ勉強会を開催した。今回は2回目で、プライバシーのリスク管理ソリューション「Microsoft Priva」を題材に、プライバシー保護の重要性などを紹介。「Microsoft Privaでデータの転送抑止、過度な公開、最小化が可能」(米Microsoft コンプライアンス Global Black Beltの小林伸二氏)などと説明した。
米Microsoft コンプライアンスGlobal Black Beltの小林伸二氏
プライバシー関連の動向としては、4月に施行された改正個人情報保護法で、情報開示請求方式のデジタル化や事業者の報告義務強化、法定刑の引き上げが行われた。特に対消費者ビジネスを手掛ける企業では、マーケティングなどに個人情報を活用したいと考えつつも、取り扱いを間違えれば、組織の運営体制やコンプライアンス文化などが指摘され、消費者から拒絶されかねない。
経済産業省と総務省が作成した「DX時代における企業のプライバシーガバナンスガイドブック」では、プライバシーのガバナンスを実現するため組織層で、「プライバシーガバナンスに係る姿勢の明文化」「プライバシー保護責任者の指名」「プライバシーへの取組に対するリソース投入」が欠かせないと指摘している。
だが、個人情報の取り扱いは煩雑である。前述の各省は「ISO/IEC29134:2017」をベースに「PIA(プライバシーリスク評価)」を提唱し、定期的な個人情報漏えいのリスク判断を企業に求めている。これについて小林氏は、「全ては企業の責任。プライバシーに対する方針を明文化し、公開するのが重要」だと強調した。Microsoft Privaについては、「(個人情報の)収集・保管・管理・利用・移転・削除に対してリスク分析し、低減・保有・回避・移転の確認や公表を行う」(小林氏)と説明している。
Subscribe to get access
Read more of this content when you subscribe today.
Microsoft Privaの概要
Microsoft Privaは、「Microsoft 365」「Office 365」のアドオンとして動作し、クラウド上のファイルに含まれる個人情報を検出するソリューションになる。小林氏は利点として、「何らかのエージェントをインストールする必要がなく、クラウド上で利用を開始できる。機密情報のタイプもマイナンバーやパスポート、クレジットカード番号など約250種類を組み込み済みで、(個人情報のリスクは)IT管理者ではなく従業員に通知される」とし、運用負担も増えないと紹介した。
Microsoft 365およびOffice 365のテナントを運用する企業によって異なるが、国をまたぐマルチテナントの場合では、監視対象ファイルが「Exchange Online」「SharePoint Online」「OneDrive for Business」「Microsoft Teams」に基づくため、「地域情報を付与していない場合、部署名で管理せざるを得ない」(小林氏)といい、このソリューションを導入する企業は、より明確はファイル管理ポリシーが必要になると補足した。それでも、欧州の一般データ保護規則(GDPR)のように、「欧州の営業部門と国内のマーケティング部門が管理するデータの流れを制限」(小林氏)するような場面でも利用できるとのことである。
Microsoft Privaによるメール通知の例。ファイル公開状態の修正をうながす
改正個人情報保護法で企業に求められるのは、消費者から求められた際の迅速な情報開示請求への対応になるとする。デジタル化に伴い、開示請求の頻度が高まると見られている。Microsoft Privaでは、消費者から「DSAR(データ主体権利要求)」が発生した場合、個人情報の検索や従業員による共同作業、レポートの作成、データの出力を行える。仮にマイナンバー番号を含むファイルがクラウド上に存在する場合、番号を検索キーワードとすれば、対象ファイルを列挙できるため、IT管理者のみならずコンプライアンス担当者など、複数の従業員でガバナンス強化につなげられるという。
Subscribe to get access
Read more of this content when you subscribe today.
消費者からの情報開示請求に対する主な機能
同ソリューションは、基本的にはMicrosoftのDLP(データ損失防止)と同等の原理で動作し、個人情報を含むファイルを現状ではMicrosoft Teamsでブロックできるとのこと。まだ一般提供を開始したばかりのため、個人情報を含むデータの転送阻止、データが社外に公開されいないかのチェック、SharePoint Onlineの保持ラベルに沿って長期参照されないファイルの検出の3種類の機能にとどまる。小林氏によれば、現在はファイルの参照先が固定されているものの、今後は、例えば従業員が海外出張時に国内テナントのファイルを参照する際の個人情報リスクを軽減する方向で開発を進めていく予定だとしている。
Microsoft Privaの管理画面