プライバシー リスク管理のデータ露出超過ポリシー

  • [アーティクル]

organizationには、パブリックにアクセスできる領域や制限されているその他の領域など、さまざまなレベルのアクセスでコンテンツが格納される場合があります。 Microsoft Priva プライバシー リスク管理のデータの露出超過ポリシーは、organizationによって格納されたデータが十分にセキュリティで保護されていない状況を検出して処理するのに役立ちます。 たとえば、内部サイトへのアクセスがあまりにも多くのユーザーに対して開かれている場合や、アクセス許可の設定が維持されていない場合、そのサイトに保存されている個人データは侵害に対して脆弱である可能性があります。

データの露出超過ポリシーは、データの露出超過リスクを評価し、潜在的な問題を警告することができます。 ポリシーの一致が検出されると、アイテムの保持または削除、アイテムの非公開化などの修復オプションを使用して、ユーザーに電子メール通知を送信できます ( ポリシー作成プロセスの手順 10 の詳細を参照)。

ポリシー設定プロセスを使用すると、ポリシー条件を簡単に設定できます。 ユーザーが安全なデータ処理プラクティスに注意を向ける電子メールのアラートのタイミングと頻度を完全に制御できます。

ポリシーを作成するには、 テンプレートからという 2 つの方法があります。これは、既定の設定を使用したクイック "すぐに使用できる" オプションです。または カスタム オプション。これは、条件、アラート、通知を設定するためのガイド付きプロセスです。

クイック セットアップ: 既定の設定でテンプレートを使用する

既定のデータ露出超過ポリシーでは、パブリック、外部、および内部の 3 つのアクセス レベルすべてで個人データが評価されます。

既定のデータ転送ポリシーを作成するには、次の手順に従います。

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、次のいずれかのポータルにサインインします。

  2. プライバシー リスク管理ソリューションに移動し、[ポリシー] ページ 選択します。

  3. [ ポリシーの作成] を選択します

  4. [ データの露出超過 ] ボックスで、[ 作成] を選択します。

  5. ポップアップ ウィンドウには、ポリシーの詳細が含まれています。 [ 設定の表示] を選択して、既定の設定を表示します。 ここから設定を編集できます。これにより、以下に説明するガイド付きプロセスが表示されます。 既定の設定を使用してポリシーの作成を続行するには、わかりやすい名前を入力し、[ ポリシーの作成] を選択します。

ポリシーが作成され、[ ポリシー ] ページに表示されます。 テスト モードで開始されるため、オンにする前に動作を監視できます。

既定のデータの露出超過ポリシー設定

テンプレートから作成されたデータの露出超過ポリシーによって、次の情報が検出されます。

  • ユーザーが、organizationの OneDrive または SharePoint に格納されている個人データを含むアイテムに過度に広範なアクセス権を提供する場合。 たとえば、ポリシーでは、次の方法で個人データの共有が検出されます。
    • 一般のユーザーがアクセスできるリンクを介して
    • リンクを介して、またはorganizationのすべてのユーザーがアクセスできるようにするアクセス許可のため
    • OneDrive または SharePoint ファイルへの外部ユーザーまたはゲストへのアクセス権の付与
  • 次の 分類グループに基づくデータ型:
    • EU 一般データ保護規則 (GDPR)
    • 米国の個人を特定できる情報
    • 米国愛国者法
    • 米国の州違反通知法
    • US Gramm-Leach-Bliley Act (GLBA)
    • 米国医療保険の移植性と説明責任に関する法律 (HIPAA)
    • オーストラリア健康記録法 (HRIP)
    • オーストラリアプライバシー法
    • 日本の個人を特定できる情報
    • 個人情報の保護について

カスタム セットアップ: ガイド付きポリシー作成プロセス

カスタム ポリシー オプションは、条件を設定し、アラートの重大度と頻度を指定し、ユーザーの電子メール通知を有効にすることで、新しいポリシーを作成するためのガイド付きプロセスです。

Important

データの露出超過ポリシーは、Microsoft 365 とマルチクラウド (プレビュー) の両方の場所をカバーするように設定できます。 ただし、特定のポリシー設定は Microsoft 365 の場所にのみ適用されます。 [マルチクラウドの場所の選択](risk-management-policies.md#multicloud-data sources-preview) と 場所に依存するポリシー設定の詳細を取得します。

新しいデータの露出超過ポリシーを作成するには、次の手順を実行します。

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、次のいずれかのポータルにサインインします。

  2. プライバシー リスク管理ソリューションに移動し、[ポリシー] ページ 選択します。

  3. [ ポリシーの作成] を選択します

  4. [ カスタム ] ボックスで、[ 作成] を選択します。

  5. [ 名前と種類 ] ページで、[ データの露出超過 ] ポリシー テンプレートを選択します。 [ポリシー ] ページの 一覧から簡単に識別できるようにポリシー名を入力し、必要に応じて説明を入力し、[ 次へ] を選択します。

  6. [ データ ソース ] ページで、ポリシーでカバーするすべてのデータ ソースを選択します。 データ ソースの選択に関する詳細を取得します

    • Microsoft 365 データ ソース: オプションは SharePoint サイトと OneDrive アカウントです。 SharePoint 内では、すべてのサイトまたは特定のサイトを指定できます。 [特定の SharePoint サイト] を選択した場合は、[URL] フィールドにサイト URL を入力できます。 [+サイトの選択] を選択し、ポップアップ ウィンドウで、選択するサイト名の左側にあるボックスをチェックすることもできます。

    • マルチクラウド データ ソース (プレビュー): オプションは Azure Storage、Azure SQL、Amazon S3 です。 ポリシーの作成時 にマルチクラウド データ ソースを選択 する方法の詳細を取得します。

    完了したら、[ 次へ] を選択します。

  7. [ 監視するデータ ] ページで、ポリシーで監視する個人データの種類を選択します。 次の 2 つのオプションがあります。

    • 分類グループ: 個人データまたは特定の規制に関連するコンテンツを検出するために使用される機密情報の種類のグループ。 このオプションを選択した場合は、[ +分類グループの追加] を選択して、指定されたリストから 1 つ以上のグループを選択する必要があります。

    • 機密情報の種類またはトレーニング可能な分類子: このオプションを選択し、[ 追加 ] ドロップダウン メニューを使用して [機密情報の種類 ] または [ トレーニング可能な分類子 ] を選択し、検索可能なリストから選択します。 両方のカテゴリでデータ型を選択し、条件ビルダーを使用して、型間の AND または OR リレーションシップを定義できます。

    監視するデータの選択の詳細を確認します。 監視するデータの選択が完了したら、[ 次へ] を選択します。

  8. [ユーザーとグループ] ページで、ポリシーを適用するorganization内のユーザーを選択します。 個々のすべてのユーザーとすべてのOffice 365配布グループを選択することも、特定のユーザーとグループを選択することもできます。 ユーザーとグループの選択について詳しくは、こちらをご覧ください。 完了したら、[ 次へ] を選択します。

  9. [ 条件 ] ページで、ポリシーで検出されるデータの露出超過条件の種類を選択します。

    • パブリック: リンクを持つすべてのユーザーがコンテンツにアクセスできます。
    • 外部: organization外の特定のユーザーがアクセスできます。
    • 内部: organization内のすべてのユーザーにアクセス権があります。

    複数のレベルのアクセスを選択すると、データの範囲が広がり、大量のアラートやユーザー通知が生成される可能性があります。

    選択項目の横にあるボックスにチェックを配置し、[次へ] を選択します。

  10. [ 結果 ] ページで、ポリシー条件が満た されたときにユーザーに通知する場合は、[ポリシーの一致が発生したときに通知メール をユーザーに送信する] チェック ボックスをオンにします。 ボックスがオンになっている場合は、メールをプレビューして編集し、頻度を設定し、プライバシー トレーニングへのリンクを提供できます。 メールの修復オプションは、データ ソースが Teams である アイテムをごみ箱 または 保持 し、データ ソースが SharePoint または OneDrive である アイテムを非公開 または 保持 することです。 詳細については、 ユーザー通知の設定と編集に関するページを参照してください。 結果の定義が完了したら、[ 次へ] を選択します。

  11. [アラート] ページで、トグル スイッチを使用して、プライバシー リスク管理の [ポリシー] セクションの [アラート] ページに管理者に表示されるアラートを有効にします。 アラートの生成頻度、アラートが生成される前の一致のしきい値、アラートの重大度を指定します。 ポリシーの一致に対するアラートの設定について詳しくは、こちらをご覧ください。 完了したら、[ 次へ] を選択します。

  12. [ モード ] ページで、ポリシーを配置するモードを選択します。 最初にテスト するか、 すぐにオンにします。 テスト モードでは、アラートや通知は送信されません。 推奨事項の詳細と、 ポリシーをテストするときに分析する内容について説明します。 完了したら、[ 次へ] を選択します。

  13. [ 完了 ] ページで、選択内容を確認します。 設定を調整するには、いずれかのセクションの下にある [ 編集] を 選択します。 ポリシーの設定に問題がなければ、[ 送信] を選択してポリシーを作成します。

数秒後に、ポリシーが作成されたことを確認するメッセージが表示されます。 確認ページで [ 完了] を選択 すると、[ ポリシー] ページに移動し、テーブルの上部に新しいポリシーが表示されます。

次の手順

ポリシーを編集および管理する方法の詳細については、「 プライバシー リスク管理ポリシー 」を参照してください。

Microsoft Priva法的免責事項