Microsoft 365 (プレビュー) 以外のデータに対するサブジェクト権限要求を作成および管理する

  • [アーティクル]

Microsoft 365 (プレビュー) 以外のデータに対するサブジェクト権限要求では、次の 2 種類の要求がサポートされます。

  • エクスポート: organizationのデータランドスケープで見つかったデータ主体の個人データのエクスポート。

  • 削除: organizationのデータランドスケープ内にあるデータ主体のすべての個人データの削除。

要求は、次の 2 つの方法で作成できます。

  1. データ主体は、organizationによって作成されたオンライン要求フォームを完了して送信できます。

  2. organizationのユーザーは、データ主体に代わって要求を手動で作成できます。

この記事では、要求を作成する方法、要求の進行状況ステージ、およびフルフィルメントまでの要求を管理する方法について説明します。

要求フォームから作成された要求

顧客や元従業員など、organization外のデータ主体は、作成してホストするオンライン要求フォームを使用して、organizationに直接データ主体の要求を行うことができます。

Microsoft 365 を超えるデータのサブジェクト サイト要求はプレビュー段階ですが、不要な収集や個人情報の削除を防ぐために、テストまたは人工データを使用してサブジェクトの権利要求を作成することをお勧めします。

要求を手動で作成する

organizationのユーザーは、たとえば、データ主体が個人データのエクスポートまたは削除を要求するorganizationに連絡したときに要求を作成できます。 要求を作成するには、ユーザーが要求ビルダーを入力してデータ主体に関する基本的な詳細を入力し、要求をテンプレートに接続して、要求のフルフィルメント方法を決定します。 すべてのテンプレートは、[要求フォームとテンプレート] ページの [テンプレート] タブにあります。

ヒント

要求を作成する前に、最初に テンプレートをビルドする必要があります。

サブジェクト権限要求を手動で作成するには:

  1. [ 要求管理 ] ページで、[ 新しい要求 ] を選択して要求ビルダーを開きます。

  2. [ 基本の詳細 ] ページで、要求に使用するテンプレートを選択し、[ 次へ] を選択します。

  3. [ 要求フォーム ] ページで、データ主体に関する必要な詳細を入力します。

  4. [送信] を選択します。

ポータルからサブジェクト権限要求を受け取る方法:

  1. [ 要求フォーム ] ページで、要求に使用するテンプレートを選択します。

  2. [プライバシー ポータル] リンクを選択して、organizationのオンライン プライバシー ポータルに移動します。

  3. 必要な詳細を入力し、CAPTCHA チャレンジを完了します。

  4. [送信] を選択します。

要求はシステムに作成され、要求の詳細ページに到着します。 要求は、ID の検証のプロセス 段階 になりました。 要求 のステージ を理解するには、「ステージの進行状況を表示する」を参照してください。

[要求管理] ページと [要求の詳細] ページ

[ 要求管理 ] ページには、名前、状態、現在のステージ、次に必要なアクション、応答期限、要求の連絡先、所有者などの基本的な情報を含むすべての要求が一覧表示されます。 テーブルをフィルター処理して、種類、状態、期限、またはテンプレートの連絡先によって要求を表示できます。

各要求には、独自の詳細ページがあります。 要求の詳細ページでは、要求のワークフローを追跡および管理します。 [要求管理] ページの一覧から 要求 を選択して、要求の詳細ページを開きます。

[概要] タブでステージの進行状況と基本的な状態を表示する

各要求は、完了に向けて進むにつれて異なるステージを経ます。 要求の詳細ページの [概要] タブには、要求のステージを示す進行状況バーが表示されます。 緑色のチェックマークは、完了したステージを示し、青い読み込みアイコンはステージが進行中であることを示し、それを通る線を持つ灰色の円はステージが適用されなかったことを示します。 ステージの詳細を次に示します。

  • [未開始]: すべての要求がこの段階で開始されます。は、システムが ID の検証プロセスを開始していることを示します。

  • ID 検証: 手動の ID 検証を指定するテンプレートを使用して要求が作成された場合、データ エンジニアの ID 検証タスクが作成され、データ エンジニアによってタスクが完了するまで青い読み込みアイコンが表示されます。 手動 ID 検証タスクが完了すると、緑色のチェック マークが表示されます。 要求が手動で作成され、テンプレートで手動の ID 検証が必要ない場合は、要求作成者がデータ主体の ID を検証したと見なされ、この手順では灰色の円が表示されます。

  • データの分析: 要求フォームまたはテンプレートで選択した分類または機密情報の種類 (SIT) に関係なく、データ マップ内の資産内の分類または SID に一致するものが検索されます。 資産が識別されると、[概要] タブの [スコープ] セクションに、必要な分類と SID のデータ主体の値が表示されます。 資産が識別されると、資産所有者のタスクとして作成され、[ タスク ] タブに一覧表示されます。資産所有者は、資産を確認して、資産を含むデータ主体の個人情報を見つける必要があります。

  • タスクの作業: タスクが割り当てられ、進行中です。

  • タスクの承認: すべてのタスクが完了し、承認の準備が整います。

  • 対応準備完了: すべてのタスクが承認され、要求をデータ主体にルーティングする準備が整いました。

注意

データ主体への応答は、organizationによって決定されたメソッドによって Priva の外部で行われます。

タスク

データ分析によって、要求に関連する分類または SIT が Data Map アセットに見つかったと判断されると、タスクは資産の所有者 (通常はorganizationのデータ エンジニア) に割り当てられます。 所有者は、サブジェクト権利要求に関連するタスクが割り当てられていることを通知する電子メールを受け取ります。

資産所有者のジョブは、要求に関連するデータ主体の個人データが含まれているかどうかを確認するために、資産を調査します。 要求の [概要] タブの [スコープ] セクションは、所有者が検索する必要がある特定の個人データを示します。

注意

データ主体の個人データのデータ資産を見ると、Priva の外部で行われます。

一部の資産には所有者が一覧表示されません。 所有者がいない資産に対してタスクが作成された場合は、所有者を割り当てることができます。 [ タスク ] ページで、タスクを選択して詳細ページを開きます。 [ データ所有者 ] タブで、[ データ所有者の編集] を選択し、ユーザーで検索してユーザーを選択し、[確認] を選択 します

[タスク] ページ

すべてのタスクは、基本的なプロパティと状態情報を含む [タスク] ページに一覧表示されます。 列をフィルター処理してビューをカスタマイズしたり、特定のタスクを検索したりできます。たとえば、特定の所有者に割り当てられているすべてのタスク、または特定の状態のタスク ( [未開始][進行中] など) を表示する場合などです。 各要求のタスクは、要求の詳細ページの [タスク ] タブにも表示されます。

タスクの操作

タスクの作業を開始するには、所有者が [タスク ] ページに移動し、割り当てられたタスクを検索します。 タスク名を選択して、タスクの詳細を含むポップアップ ウィンドウを開きます。

最初の手順は、所有者がタスクを要求することです。 ポップアップ ウィンドウの [ 詳細 ] タブで、[ 要求タスク] を選択します。 タスクの状態が [ 未開始] から [進行中] に変わります。 所有者は、次の手順に従ってタスクの作業を開始する準備ができました。

  1. タスクのポップアップ ウィンドウで、[ スコープ ] タブに移動して、要求のスコープ内の資産とデータ主体の値を表示します。

    • スコープ内の資産: 一覧に表示される各資産にはハイパーリンクが設定されます。 資産リンクを選択して、Data Catalog内の資産に直接移動します。

    • スコープ内の分類: 要求のスコープ内にある分類と、所有者が検索する必要がある各分類の値を確認します。 たとえば、"すべてのフル ネーム" の分類を一覧表示し、その横に "Jane Doe" という値を付けます。

  2. エクスポート要求の場合:

    • 各資産に移動して、各分類の値を見つけます。 資産に個人データが見つかった場合は、そのデータを CSV ファイルに抽出します。

    • タスクのポップアップ ウィンドウの [関連データ ] で、[アップロード] を選択し、CSV ファイルをアップロードします。 アップロード後に CSV ファイルの内容を表示するには、アップロード日の横にある表示アイコンを選択します。 コンテンツを非表示にするには、もう一度ビュー アイコンを選択します。

  3. 削除要求の場合: 各資産に移動して、各分類の値を見つけます。 資産に個人データが見つかった場合は、そのデータの削除を実行します。

  4. CSV ファイルの抽出とアップロード、またはデータの削除が完了したら、[ 完了としてマーク ] を選択してタスクを完了します。 タスクの状態が ** Completed に変わります。承認待ち**。

データ主体の個人データが見つからない場合

資産所有者が資産にデータ主体の情報を見つけられない場合は、資産のポップアップ ウィンドウの下部にある [ 適用不可 ] を選択します。 タスクの状態が [ 適用なし] に変わります。

完了後のタスクの承認

タスクで作業が完了したら、テンプレートの連絡先がタスクを承認する必要があります。 すべてのタスクを承認すると、データ主体への応答の最終段階に要求が進みます。 タスクを承認するには:

  1. [ 要求管理 ] ページから要求を選択して、その詳細ページを開きます。

  2. [ タスク ] タブで、タスクの名前の横にあるボックスを選択します。 プライバシー責任者は、収集されたデータがデータ主体の ID と一致し、不適切なデータ (別のデータ主体の情報、その他の機密情報など) が誤って CSV ファイルにキャプチャされていないことを確認するために、データを検査する必要があります。

    • [承認] は、作業項目が正しく確認され、満たされたことを示します。

    • 拒否 は、作業項目がレビューされ、承認されたと見なされる前に更新する必要があることを示します。 タスク所有者に通知が送信され、タスクの状態が [拒否] に変わります。 データ エンジニアは、戻って正しいデータをプルし、CSV ファイルをタスクに再アップロードしてから、 完了としてマークする必要があります。 プライバシー責任者または要求所有者は、承認のためにタスクをもう一度確認します。

要求内のすべてのタスクが完了して承認されると、プライバシー責任者 (要求の連絡先としてリストされている所有者) は、要求のすべてのタスクが完了し、承認を待っていることを示す電子メールを受け取ります。 要求のステージが [ 応答の準備完了] に変わります

要求への応答とエクスポート パッケージのダウンロード

データ主体への応答は、Priva の外部で行われます。 プライバシー責任者は、対象のエクスポート パッケージのデータを送信するか、データがorganizationのデータ資産から削除されたことを確認することで、データ主体に応答します。

エクスポート要求の場合:

  1. 要求の詳細ページで、[ パッケージ ] タブに移動します。
  2. [ ダウンロード] を選択します。 パッケージは、タスクごとにインポートされたすべての CSV ファイルを含む .zip ファイルとしてダウンロードされます。
  3. プライバシー責任者は、エクスポート要求を完了するために、データ主体に .zip ファイルを提供します。

削除要求の場合:

プライバシー責任者は、データ主体に連絡し、すべての個人データがシステム内で識別および削除され、サブジェクトの権利要求が完了したことを通知します。

要求の完了

すべてのタスクが完了して承認され、要求が満たされたことがデータ主体に通知されたら、要求の詳細ページを開き、右上隅の [完了としてマーク ] を選択します。 要求の状態が [完了] になりました。 タスクは 180 日間システムに残ります。

Microsoft Priva法的免責事項