Microsoftは、欧州連合(EU)の「GDPR」(一般データ保護規則)の施行に合わせて、企業のGDPR準拠を支援する「Microsoft Azure」の新しい機能やリソースを提供開始した。
Microsoftは2018年5月25日(米国時間)、欧州連合(EU)の「General Data Protection Regulation」(GDPR:一般データ保護規則)の施行に合わせて、企業のGDPR準拠や関連するポリシーニーズへの対応を支援する「Microsoft Azure」(以下、Azure)の新しい機能やリソースの提供開始を発表した。
発表された新機能やリソースの概要は以下の通り。
「データサブジェクト要求」(DSR:Data Subject Request)機能は2018年5月25日から、Azureポータルのユーザーインタフェース(UI)や、既存のAPIとUIを通じてMicrosoftのオンラインサービス全体で正式提供が開始された。
GDPRでは、ユーザーは「データサブジェクト」と呼ばれ、ユーザーデータを収集する雇用主や会社、組織は「データコントローラー」または「コントローラー」と呼ばれる。GDPRはデータサブジェクトに、コントローラーが収集した個人データを管理する権利を与えている。
AzureのDSR機能により、コントローラーであるAzureユーザーは、クラウド内の個人データに対するデータサブジェクトからのアクセス、変更、削除、エクスポートの要求に対応できる。またAzureのシステムが生成したログにもアクセス可能になる。
Azureの顧客は「Azure Policy」により、GDPRに準拠するためのポリシーを設定できる。Azure Policy機能は5月25日から正式提供が開始され、Azureの顧客は追加費用なしで利用できる。Azure Policyを使うことで、クラウド環境が社内ポリシーと外部規制を順守するためのポリシーを定義し、強制することが可能になる。
Azure Policyは「Azure Resource Manager」に深く統合されており、Azureの全てのリソースに適用される。個々のポリシーをグループ化し、複数のルールを効率的に実装することもできる。幅広いコンプライアンスシナリオで利用でき、例えば、GDPR準拠の一環として、データが特定の地域において暗号化されたり、保持されたりすることも可能だ。
「Azure Security Center」は、GDPRのセキュリティ要件を満たすのに役立つ統合型セキュリティ管理機能と高度な脅威保護機能を提供する。Azure PolicyはAzure Security Centerに統合されているため、さまざまなワークロードへのセキュリティポリシーの適用や、暗号化の有効化、脅威にさらされている状態などによって、インシデントに対応が可能だ。
「Azure Security and Compliance GDPR Blueprint」は、GDPRの要件を満たすクラウドベースアプリケーションの開発とリリースを支援する。共通レファレンスアーキテクチャ、デプロイガイダンス、GDPRの条項と実装のマッピング、顧客の責任を示すマトリックス表、迅速かつ安全にクラウドソリューションを実装するための脅威モデルを含んでいる。
Azureの「コンプライアンスマネジャー」は、Microsoftの無料クラウドサービスソリューションであり、企業がGDPR、「ISO 27001」「ISO 27018」「NIST 800-53」などの複雑なコンプライアンス義務を順守するのに役立つよう設計されている。5月25日からAzureの顧客向けに正式提供が開始されたコンプライアンスマネジャーのGDPRダッシュボードでは、GDPR準拠活動の割り当て、追跡、記録を行える。これにより、チーム間での協力や、監査報告書を作成するための文書管理が容易に行える。
「Service Trust Portal」とTrust CenterのGDPRサイトは、GDRPの要件に対応するMicrosoftサービスに関する最新情報を提供する。その中には、Azureにおける「Data Protection Impact Assessment」(DPIA:データ保護影響評価)の実施、AzureにおけるDSRへの対応、Azureにおける「Data Breach Notification」(データ侵害通知)の管理に関する詳細なガイダンスが含まれる。これらの取り組みは、GDPRアカウンタビリティープログラムの一環として行われる。
グローバルリージョンは、データレジデンシー(保存場所)に関する要件の順守に役立つ。Azureは、多くのグローバルリージョンを展開している。これにより、アプリケーションをユーザーの近くのリージョンで運用したり、データレジデンシー要件に対応したりできるため、ユーザーは「データを自分の管理下に置いている」という安心感を感じることができる。
Copyright © ITmedia, Inc. All Rights Reserved.