データ保護に関する考慮事項
重要
この記事は従来の Workplace Analytics アプリを対象としており、更新された Viva Insights プラットフォームで利用できる機能は反映されていません。 Viva Insights の高度な分析情報に関する現在のドキュメントには、高度な分析情報のドキュメントにアクセスします。
Microsoft 365 の日常業務から生成されたデータを使用すると、さまざまなMicrosoft Viva Insights機能を使用して、限られた時間と使い方を理解し、よりスマートに作業する方法に関するインテリジェントなヒントを提示できます。
ロール、責任、データの種類、およびデータプライバシーに関する推奨事項の基本的な概要を次に示します。 ここで提供される一般的な提案は、データ保護戦略とデプロイを計画するための出発点です。 これらは、法的、プライバシー、人事、およびorganization内の他の主題の専門家と関わることで、organization固有のニーズに対処するための代わりとして意図されていません。
役割と責任
データ コントローラー、データ プロセッサ、データ主体の概念は、ヨーロッパのプライバシー法に基づくものです。 organizationがどこにあるか、欧州連合市民の個人データが関与しているかどうかに関係なく、これらの概念は、Viva Insightsを使用する際にデータ保護について考える上で役立つフレームワークを提供します。
次の図は、データ主体 (左) とデータ プロセッサ Microsoft (右) の間のデータ コントローラー (organization) の中央位置を示しています。
Viva Insightsを設定する前に、まず、個人データを保護し、データ主体の権利を尊重するために、organizationと Microsoft のそれぞれの役割と責任を検討してください。
データ コントローラー
データ コントローラーは、データ主体の個人データを処理する目的と手段を決定するグループです。
Viva Insightsを使用する場合、organizationはデータ コントローラーになります。これは、organizationが個人データを処理するかどうか、方法、理由Viva Insights決定するためです。
データ コントローラーとしての組織の役割:
分析するデータの範囲と、分析の目的および目標を決定します。
次のタスクについて、organizationの法務チーム、プライバシーチーム、人事チームと連携します。
- 社内の従業員から同意を得る必要があるかどうかを判断する。
- organizationがViva Insights内の個人データをどのように処理するかについて、従業員に提供する情報を決定する。
- ローカルまたは国固有の考慮事項を考慮します。
注:
一部の国では、職場に特定の情報技術を展開する前に、従業員の代表者と相談したり、職場の評議会の承認を求めたりする必要がある国もあれば、雇用主が特定の従業員データを処理できるタイミングと方法を制限する国もあります。 たとえば、会社にドイツまたはオランダに従業員が含まれる場合は、作業評議会のエンゲージメントまたは承認が必要かどうかを検討する必要があります。 さらに、Viva Insightsは従業員の通信からのデータを処理します。これは、フィンランドの "通信データ" ("トラフィック データ" を含む) と見なされる可能性があります。 したがって、会社にフィンランドに従業員がいる場合は、従業員の個人データと通信または交通データの処理にフィンランドの法律がどのように適用されるかを理解し、Viva Insightsの使用が許可されているかどうかを判断する必要があります。
- Viva Insightsプライバシー制御を使用して、分析されるデータ、結果へのデータの表示方法、生データと分析結果の両方にアクセスできるユーザーを指示します。
- このドキュメントと、Microsoft が提供するその他のViva Insightsプライバシー に関するドキュメントを確認し、理解しておいてください。
データ プロセッサ
データ プロセッサは、データ コントローラーの代わりに個人データを処理するパーティです。 organizationがViva Insightsを使用する場合、Microsoft はデータ プロセッサです。
データ プロセッサーとしての Microsoft の役割:
- Viva Insights内の設定構成に従って、organizationの指示に従って個人データを処理します。
- Viva Insightsの使用を通じて、Microsoft 365 と同じ一般的なプライバシーおよびセキュリティ条項 (OST) に従って、Microsoft に提供されるすべてのデータ (個人データを含む) を処理します。
- OST に基づく Microsoft のコミットメントの一部として、EU - 米国間とスイス - 米国間のプライバシー シールド フレームワークに基づく認定と、これらのフレームワークが EU とスイスから米国への個人データの移動を合法的なものにしなければならないというコミットメントを維持します。
- 2018 年 5 月 25 日から有効になる EU 一般データ保護規則 (GDPR) の適用条項に従うことを契約でコミットします。
- 組織がデータ管理者の義務を果たし、GDPR に基づくデータ主体の権利を尊重するのに役立つViva Insights機能を提供します。これには、処理、アクセス、消去からの除外権、処理方法に関する透明性の権利が含まれます。
- Viva Insightsのorganization (および従業員) データの機密性を保護するための技術的および組織的なセキュリティ対策を実装します。
さらに、Microsoft は広告にデータを使用したり、法執行機関にデータを提供したりすることはありません。
データ主体
データ主体とは、個人データを通じて識別できる人物です。 Viva Insightsのコンテキストでは、データ主体は、個人情報が処理されている従業員またはorganization内の他のユーザーです。 個人データとは、個人 (データ主体) を直接的または間接的に識別する情報です。
注:
Viva Insights製品とドキュメントでは、ほとんどの場合、データ主体を単に "ユーザー"、"人"、"個人"、または "従業員" と参照します。
データの匿名化
個人データの開示を防ぐために、Viva Insightsユーザー データの識別を解除します。 詳細については、「 個人データの識別解除 」を参照してください。
分析で使用されるデータの種類
高度な分析情報アプリとその分析ツールを使用する前に、またはマネージャーとリーダーの分析情報を使用する前に、高度な分析に含めることができるデータの種類について考える必要があります。 具体的には、分析の目的を達成するために個人データを含める必要があるかどうか、または特定の個人を識別するために使用できない他の種類のデータが、個人データを使用した場合と同じくらい効果的で洞察に富む結果を生み出すことができるかどうかを検討します。
organizationには独自のデータ分類システムがある場合がありますが、Viva Insightsを実装する場合は、次の種類のデータを考慮する必要があります。
| プライバシー リスク | データ型 | 定義 | Viva Insightsの例 |
|---|---|---|---|
| 最高 | 個人データ | 個人データは、直接的または間接的に個人を識別する情報です。 | 既定では、Viva Insightsは、Microsoft 365 または Microsoft Entra IDからの電子メール アドレスやその他の情報を識別解除します。この情報は、製品内ダッシュボードまたはクエリ結果で個人を直接識別します。 ただし、組織が分析用に提供する組織のデータセットからの情報は表示されます。 したがって、個人データ (従業員名や識別番号など) を含む組織データをアップロードすると、その個人データは製品内ダッシュボードとクエリ結果に表示されます。 |
| Higher | 仮名化データ | 仮名化されたデータは、個人識別子が個人を直接識別しない値に置き換えられた情報です (追加情報を使用せずに特定の人物に属性を付けることができない数値識別子など)。 | Viva Insightsは、分析に含める Microsoft 365 コラボレーション データの仮名 (暗号化された数字と文字の文字列) に自動的に置き換えられます。 仮名を使用すると、特定の人物を識別する可能性が低くなりますが、識別のリスクは残ります。 |
| Lower | 集計データ | 集計データは、複数の個人またはソースから計算される情報です。 | Viva Insightsは、organization全体の平均を計算します。 平均値は多くのユーザーから提供されたデータから計算されるため、特定のユーザーのアクティビティに関する情報を導き出すのはほぼ不可能になります。 集計データから誰かを識別する可能性は、サンプルのサイズによって異なります。 organizationのViva Insightsを実装する場合は、集計のサンプル サイズのしきい値を選択する必要があります。 サンプル サイズが小さい (10 人未満など) と、個々のアクティビティに関する分析情報が明らかになる場合があります。特に、個人が既知である場合や、その他の情報 (個人が休暇中であったかどうかなど) は、時間の経過に伴う平均の変化と関連付けることができます。 |
| 最低 | 識別解除されたデータ | 識別解除されたデータは、特定の個人に関連しない情報であり、特定の個人を識別できる可能性が高まらないか、特定の個人を識別するために使用できないようにレンダリングされた情報です。 | Viva Insightsで既定の設定を使用すると、分析の出力である計算されたメトリックはすべて、識別解除されたデータになります。 |
データ プライバシーに関する推奨事項
Viva Insightsの使用を開始する前に、次のデータプライバシーに関する推奨事項を実装することを検討してください。
明確な分析計画を策定する
高度な分析情報アプリで高度な分析ツールを使用すると、さまざまな方法でデータを処理できるため、開始する前に、分析する内容とその理由について明確な目的を持つことが重要です。 回答するorganizationに関する具体的な質問を決定し、Viva Insightsがそれらの回答を見つけるのにどのように役立つかを検討します。
明確な質問を行い、Viva Insightsからのデータ分析によって質問に回答する方法を決定すると、次の目標が得られます。
- 限られた目的に焦点を当てて作業を続け、アナリストが単に分析データをふるいにかけるのを防ぐことができます。
- これは、使用するデータの範囲を広げ、必要以上のデータを含める、必要以上にデータを保持する、個人データの使用方法に関する従業員との透明性の確保に失敗するなどのプライバシーの落とし穴を回避するのに役立ちます。
- organizationが GDPR の対象となる範囲で、分析の計画は、Viva Insightsを使用して個人データを処理する正当な利益を決定して文書化するための重要なステップです。
データ保護影響評価 (DPIA) を実施するかどうかを決定する
organization内の従業員やその他のユーザーに対するプライバシー リスクの程度は、主に自分の管理下にあります。 このリスクは、主に、高度な分析情報アプリにインポートする組織データセットとそのデータの使用方法によって異なります。
分析計画を作成した後、高度な分析情報アプリでデータの処理を開始する前に、DPIA を完了する必要があるかどうかを判断します。 Viva Insightsの使用を提案した場合、organizationの従業員やその他のユーザーの権利に対する高いリスクにつながる可能性のある方法で個人データを処理する場合は、DPIA を完了することが保証される可能性があります。 DPIA が必要かどうかわからない場合は、法務担当者や人事担当者など、organizationのプライバシーに関する専門家にお問い合わせください。
リスクの高いデータには、人種や民族、性別や性別、労働組合のメンバーシップなど、機密性の高い人口統計データが含まれます。 Viva Insightsのリスクの高い用途には、プロファイリングにサービスを使用することや、従業員に関する自動化された意思決定や予測を行う場合などがあります。 (Microsoft は、組織内のユーザーがデータドリブンの意思決定を行うのを支援し、それらの決定を自動化しないようにViva Insights設計されていることに注意してください)。
提案されたViva Insightsの使用に DPIA が必要であると判断した場合は、データの収集方法、処理方法、目的に関連する処理の必要性、従業員に対する処理のリスク、Viva Insights内および外部のデータ フローなど、サービスを使用して個人データを処理する方法のいくつかの側面を文書化する必要があります。;提案されたデータ処理に関して従業員から受け取ったフィードバック。その他、organizationのデータ保護責任者 (またはそれに相当する情報) が DPIA に必要と見なす情報。 データ コントローラーとして、organizationは、Viva Insightsを使用するorganizationの目的を決定する完全な責任を負います。 Microsoft は、データ プロセッサとして、サービスの構成に従って製品がどのように機能し、データを処理するかを通知します。
可能な限り、集計または識別解除されたデータを使用する
プライバシー リスクを最小限に抑えるには、調査を行うために必要な最小限のデータを使用します。 個人データを使用しないという厳格なポリシーを採用し、属性の識別と組み合わせて仮名化されたデータの使用を最小限に抑えることは、そのようなデータの使用に固有のリスクの多くに対処するのに役立ちますが、そのようなポリシーでは、Viva Insights実行できる分析の種類を制限できます。 organizationに最適なアプローチとポリシーを決定するのは、organization次第です。
たとえば、多くの企業では、organization内のさまざまなチームまたは部門間の集約コラボレーション パターンを理解する利点があります。 健康データ、リアルタイムの位置情報、ドキュメント コンテンツ、特定の種類の多様性の人口統計など、機密性の高い情報の分析に慣れる企業が少なくなる可能性があります。
領域の専門家と緊密に連携する
Viva Insightsを使用する国で、organizationの人事、プライバシー、法務分野の専門家に相談してください。 1 つの国で許容される可能性がある分析は、より多くの要件 (通知や同意義務など) の対象になるか、他の国では違法である可能性があります。 デューデリジェンスは、欧州連合のような高度に規制された管轄区域において特に重要です。
使用されるデータと、それを表示するユーザーを決定する
Viva Insightsを使用して、分析に含めるデータを完全に制御できます。 主要なデータ ソースは、Microsoft 365 からのコラボレーション データです。 このデータは、役職、場所、またはその他の属性で情報をグループ化できるように、含める人事やその他の組織データによって補完されます。
Microsoft 365 によって提供されるデータ
Viva Insightsは、Microsoft 365 のメールおよび予定表アイテムのヘッダー情報を使用します。 このヘッダー情報には、メールの送信者と受信者、日付、件名、開催者、出席者、会議の期間が含まれます。 Viva Insightsメールアイテムや予定表アイテムに添付ファイルやコンテンツが含まれることはありません。 含まれるものと除外される内容の詳細については、「 プライバシーとデータ アクセス」を参照してください。
重要なのは、この Microsoft 365 データを使用Viva Insights一方で、ほとんどのヘッダー情報がサービス内のユーザーが直接使用できることはない点に注意してください。 代わりに、Viva Insightsは、この情報に基づいて計算とメトリックを提供します。 さらに、サービス内の設定を使用して、使用するデータとそれを表示できるユーザーを決定して構成します。 詳細については、製品のプライバシー機能に関するドキュメントを参照してください。
制御できるプライバシー機能
まず、Viva Insights調査に含めるユーザーのメールボックスを決定します。 次に、複数の制御を使用して、さらにデータを制限することができます。
- 分析からメールと予定表の件名行にアクセスできるかどうかを制御できます。
- 機密性が高いと判断されるすべての会議とメールを (件名ライン内の) キーワードで除外することができます。
- 分析に含めたユーザー メールボックスの初期セットからすべての個人への参照を削除することができます。
- 部外秘のメールや個人用のメール、または Microsoft のデジタル著作権管理技術を使用して著作権が保護されているメールを除外することができます。
プライバシーの詳細については、「 プライバシーとデータ アクセス」および 「 管理者とアナリストにロールを割り当てる」を参照してください。
組織から提供されるデータ
Viva Insights分析に含めるその他の情報を制御します。
組織のラインに沿った分析を可能にするには、懲戒、役職、場所、マネージャーなどの人事データを提供します。 Viva Insightsは、個々の ID がこの情報の分析に使用されないようにします。 ただし、名前、従業員識別番号、特定のオフィスの場所など、個人データに基づいてユーザーが偶発的に識別されないように注意することが重要です。 さらに、特定の値が特定の個人を直接識別する可能性がある属性 (CEO を含むタイトル フィールドなど) を含めるリスクや、個人を簡単に識別できるようにする集計しきい値の下の個人のセットを減らす可能性がある (たとえば、少数の取締役しかいない場合など) のリスクを考慮してください。
データを表示可能な人物
分析のデータと結果を表示するユーザーを制御します。 人事システムなど、機密データを扱う他の製品と同様に、Viva Insightsは一般従業員向けではありません。 むしろ、そのユーザーは機密情報の取り扱い方法に関するトレーニングを受けることが期待されています。 トレーニングは組織に固有である必要があります。 推奨されるトピックには、organizationの人事ポリシー、従業員のプライバシー ポリシー、機密データの処理方法と格納方法、インサイダー取引が含まれる場合があります。
2 種類のアナリストは、Viva Insights内の情報にアクセスできます。 最初の種類はアナリスト (制限付きアクセス) で、データに探索的なビューを提供し、集計された情報のみを提供し、個人データを共有しない事前設定されたビューが設定されます。 このビューは、データを理解するためにViva Insightsの完全な能力を必要としないアナリストに推奨されます。 このビューに表示される分析は、ユーザー固有の情報を公開する可能性を低減します。
Viva Insightsで提供されるアクセスの 2 番目の種類は、フル アクセスを持つアナリストです。 この種類のアナリストは、分析のために会議と電子メールの情報を使用してクエリ データを実行できます。これらはすべて、識別解除されたデータのカテゴリに該当します。 ただし、個人データを提供することを選択した場合、アナリストは、どのメトリックが計算されているかを識別できます。 したがって、これらのアナリストは、Viva Insightsにアクセスする前に必要なトレーニングを提供することが重要です。 さらに、Viva Insightsは、そのようなアナリストが作成したすべてのクエリをログに記録するため、組織のポリシーと完了したすべての DPIA との整合性を監査できます。
これらの役割の両方がテナント管理者によってプロビジョニングされます。
データ主体の要求の処理のサポート
GDPR では、データ主体は、個人データの処理、アクセス、修正、または削除の除外を要求する権利を持つ場合があります。 特定のデータ主体の要求が有効かどうかを評価し、必要に応じて要求を満たすためにアクションを実行するのは、データ コントローラーとしてのorganizationの役割です。 Microsoft では、データ プロセッサとして、Viva Insightsに組み込まれているコントロールを通じてデータ主体の権利を尊重する、データ コントローラーとしてのorganizationのメカニズムを提供します。
処理からの除外 - データ主体は、個人情報を処理から除外する権利を有します。 Viva Insightsでは、Viva Insightsライセンスをその従業員に割り当てないだけで、従業員の個人情報の処理を除外できます。
アクセス - データ主体は、処理される個人情報を要求する権利を有し、Viva Insightsは、個人データを含む可能性がある生データをエクスポートする機能を提供します。 このような情報の範囲は、個人的に関連付けられるものに制限され、個人情報を収集できない集計メトリックは含まれません。
訂正 - データ主体は、個人データを修正する権利を有します。 Viva Insightsは、他のソースから提供されたデータ (Microsoft 365 からのメールや会議データ、アップロードした組織データなど) に対してのみ操作 (主に算術演算) を実行します。 このデータは、Viva Insightsによって修正されません。
削除 - Microsoft では、消去に対 する GDPR 権限がサポートされています。 さらに、必要に応じて、顧客自身がデータ主体を識別するレポートを削除することもできます。 また、顧客は、Viva Insightsに提供したその他のデータ (組織データや CRM データなど) からデータ主体を削除することもできます。
処理に関する透明性 - Viva Insightsによって計算されるメトリックとその意味の詳細については、「メトリックの説明」を参照してください。
注:
Microsoft 365 ユーザーは、Viva Insights ライセンスを持っているかどうか、その結果、データが処理されているかどうかを判断できます。 詳細については、「サブスクリプションの 状態」を参照してください。
その他のリソース
- プライバシーとデータのアクセス
- 第 29 データ保護作業部会 職場でのデータ処理に関する意見 2017 年 2 月 の記事
- EU 一般データ保護規則