[Japan Tech summit 2017] SEC 001

Microsoft Tech Summit 2017本情報の内容（添付文書、リンク先などを含む）は、Microsoft Tech Summit 2017 開催日（2017 年 11 月 8日 - 9 日）時点のものであり、予告なく変更される場合があります。

1. 世界的なデータ保護の動き
とGDPRの概要
4. マイクロソフトの
ソリューション
2. マイクロソフトにおける
GDPR対応
～データ管理者として
3. マイクロソフトにおける
GDPR対応
～データ処理者として

データ保護指令
2018年5月24日まで
General Data
Protection Regulation
（EU一般データ保護規則）
2018年5月25日から

個人データの「個人」
EU域内の居住者
(出典：「ＥＵ一般データ保護規則（GDPR)に関わる実務ハンドブック（入門編）
2016年11月日本貿易振興機構（ジェトロ））

個人の
プライバシー
GDPR による主要な変更点
制御と通知透明性のポリシー IT および
トレーニング

個人の
プライバシー
• アクセス
• 修正
• 消去
• 異議申し立て
• エクスポート

• セキュリティ
• 侵害検出後 72 時間以内の当局への通知
• 同意の取得
• データ処理の詳細な記録の保持
制御と通知

• データ収集に関する明確な通知
• 処理の目的と使用事例の概要の提示
• データの保持および削除に関する
ポリシーの定義
透明性のポリシー

• 担当者および従業員のトレーニング
• データポリシーの監査と更新
• データ保護責任者の採用 (必要な場合）
• ベンダーとの法令を遵守した契約の作成
と管理
IT および
トレーニング

マイクロソフト自身のGDPR対応
～データ管理者として

マイクロソフトのデータ管理方針
➢ 全世界共通の基準・プロセス
➢ 例外的な個別対応

本人
➢ 企業のお客様
➢ 消費者のお客様
➢ 従業員
➢ パートナー企業
EU 当局
コンプライアンス
と監査
アプリケーション

社内監査
運用フェーズ
への移行
プロセスを
担保する
仕組みの導入
プロセスの
精緻化
ガイドライン
の改定
データ
マッピング
・棚卸し
現状との
ギャップ
分析
GDPR
要件確認
Legal IT Privacy IA
システム改定
完璧で完全な
データガバナンス
社内教育
(IT システム + 運用)

マイクロソフトのGDPR対応
～データ処理者として

GDPR はプライバシーの権利、セキュリティ、および
コンプライアンスについて、新しく、より高い基準を
設定するもの
世界中のお客様のGDPR への取り組みをお手伝いします
Brad Smith
プレジデント兼最高法務責任者
Microsoft Corporation
マイクロソフトのコミットメント
✓ GDPR 適用開始時にクラウドサービス全体で GDPR コ
ンプライアンスを確立できているよう全力
✓ マイクロソフトの取り組みを共有します。
✓ パートナーと共に、お客様が GDPR コンプライアンスの
取り組みにおけるポリシー、人員、プロセス、およびテ
クノロジの目標を達成できるよう支援する体制

• 厳しいセキュリティ要件への
準拠
• データ主体からの要請の管理を
サポート
• GDPRの要件の遵守をお客様が
明らかにするための書類の提供

クラウドによる一元化、保護、準拠
保護を最大限に強化
プロセスの一元化
コンプライアンス対応の効率化

どのように開始するか
保有している個人データを識別し、その保存
場所を特定
検出1
個人データの使用方法とアクセス方法を管理管理2
脆弱性とデータ侵害の防止、検出、および
対応を行うセキュリティ制御を確立
保護3
必要な書類を保管し、データ要求と侵害通知を
管理
レポート4

検出:
スコープ内:
•
•
•
•
•
•
•
•
•
•
インベントリ:
•
•
•
•
•
•
•
Microsoft Azure
Microsoft Azure Data Catalog
Enterprise Mobility + Security (EMS)
Microsoft Cloud App Security
Dynamics 365
データおよびユーザーアクティビティの監査
レポートと分析
Office および Office 365
データ損失防止
Advanced Data Governance
Office 365 eDiscovery
SQL Server および Azure SQL Database
SQL クエリ言語
Windows および Windows Server
Windows Search
ソリューションの例
1

2
管理:
データガバナンス:
•
•
•
•
•
•
•
•
データ分類:
•
•
•
•
•
•
•
Microsoft Azure
Azure Active Directory
Azure ロールベースのアクセス制御 (RBAC)
Azure Information Protection
Dynamics 365
セキュリティの概念
Advanced Data Governance
ジャーナリング (Exchange Online)
Microsoft Data Classification Toolkit

3
データ攻撃の阻止:
•
•
•
•
•
•
•
•
侵害の検出と対応:
•
•
•
•
•
•
Microsoft Azure
Azure Key Vault
Azure Active Directory Premium
Microsoft Intune
Azure AD Identity Protection
Advanced Threat Protection
Threat Intelligence
SQL Server および Azure SQL Database
Transparent Data Encryption
Always Encrypted
Windows Defender Advanced Threat Protection
Windows Hello
Device Guard
保護:

4
レポート:
記録保持:
•
•
•
•
•
レポートツール:
•
•
•
•
•
•
Microsoft Trust Center
Service Trust Portal
Microsoft Azure
Azure 監査とログ
Microsoft Azure Monitor
Dynamics 365
レポートと分析
サービスアシュアランス
Office 365 の監査ログ
Customer Lockbox
Windows Defender Advanced Threat Protection

GDPR 製品マッピング
検出
Right to Erasure
Right to Data Portability
管理
Documentation
Privacy by Design
保護
Data Security
Data Transfer
レポート
Documentation
Breach Response and Notification
Security & Compliance Center
A one-stop portal for protecting your data in Office 365. Grant permissions to people who perform compliance tasks.
Data Loss Prevention
Unified policies covering client end-points, empowering IT pros
Advanced Data Governance*
Classify, preserve and/or purge data based on automatic analysis and policy recommendations
Content search
run very large searches across mailboxes, public folders, Office
365 Groups, Microsoft Teams, SharePoint Online sites, One Drive
for Business locations, and Skype for Business conversations
Data Governance
archive and preserve content in Exchange Online mailboxes,
SharePoint Online sites, and OneDrive for Business locations, and
import data into your Office 365 organization.
Threat Management
helps you control and manage mobile device access to your
organization's data, help protect your organization from data
loss, and help protect inbound and outbound messages from
malicious software and spam
Audit Logs
record and search desired user and admin activity
across your organization
eDiscovery
use cases to manage access, place a hold on content locations
relevant to the case, associate multiple Content Searches with the
case, and export search results
Mail Flow Rules
look for specific conditions in messages that pass through your
organization and take action on them.
Advanced Threat Protection
provides security functions that protect user environments that
contain consumer data including Safe Attachments & Safe Links
Service Assurance
deep insights for conducting risk assessments
with details on Microsoft Compliance reports and
transparent status of audited controls.
Advanced eDiscovery*
significantly reduce cost and effort to identify relevant documents
& data relationships by using machine learning to train the
system to intelligently explore large datasets
prevent sensitive information from being printed, forwarded,
saved, edited, or copied by unauthorized people
Threat Intelligence*
analyze and understand their local threat environment, including
malware detected, targeted users, and links to global security
stats
Customer Lockbox*
control how a Microsoft support engineer
accesses your data during a help session
Cloud Application Security
gain enhanced visibility and granular security controls and
policies including the ability to block access to unmanaged cloud
applications
Journaling in Exchange Online
respond to legal, regulatory, and compliance requirements by
recording inbound and outbound email communications.
Advanced Security Management*
gain enhanced visibility and granular security controls and
policies including the ability to suspend user accounts, revoking
access to personal data
Information management policies
With SharePoint Online, control how long to retain content, to
audit what people do with content, and to add barcodes or labels
to documents
Secure Score
insights into your security position and what features are available
to reduce risk while balancing productivity and security
Azure Identity Protection
advanced risk based identity protection with alerts, analysis, &
remediation.

• マイクロソフトトラストセンター
https://www.microsoft.com/ja-jp/trustcenter/default.aspx
• GDPR特設サイト
https://www.microsoft.com/ja-jp/trustcenter/privacy/gdpr
• Self Assessment
https://www.gdprbenchmark.com/questions
• オンラインサービス条件
https://www.microsoft.com/ja-jp/licensing/product-licensing/products.aspx#OST

[Japan Tech summit 2017] SEC 001

More Related Content

[Japan Tech summit 2017] SEC 001