Microsoft、GDPR準拠を支援する「Azure」の新機能群をリリース:GDPRコンプライアンスを総合的にサポート
Microsoftは、欧州連合(EU)の「GDPR」(一般データ保護規則)の施行に合わせて、企業のGDPR準拠を支援する「Microsoft Azure」の新しい機能やリソースを提供開始した。
Microsoftは2018年5月25日(米国時間)、欧州連合(EU)の「General Data Protection Regulation」(GDPR:一般データ保護規則)の施行に合わせて、企業のGDPR準拠や関連するポリシーニーズへの対応を支援する「Microsoft Azure」(以下、Azure)の新しい機能やリソースの提供開始を発表した。
発表された新機能やリソースの概要は以下の通り。
Azureデータサブジェクト要求(DSR)ポータル
「データサブジェクト要求」(DSR:Data Subject Request)機能は2018年5月25日から、Azureポータルのユーザーインタフェース(UI)や、既存のAPIとUIを通じてMicrosoftのオンラインサービス全体で正式提供が開始された。
GDPRでは、ユーザーは「データサブジェクト」と呼ばれ、ユーザーデータを収集する雇用主や会社、組織は「データコントローラー」または「コントローラー」と呼ばれる。GDPRはデータサブジェクトに、コントローラーが収集した個人データを管理する権利を与えている。
AzureのDSR機能により、コントローラーであるAzureユーザーは、クラウド内の個人データに対するデータサブジェクトからのアクセス、変更、削除、エクスポートの要求に対応できる。またAzureのシステムが生成したログにもアクセス可能になる。
Azure Policy
Azureの顧客は「Azure Policy」により、GDPRに準拠するためのポリシーを設定できる。Azure Policy機能は5月25日から正式提供が開始され、Azureの顧客は追加費用なしで利用できる。Azure Policyを使うことで、クラウド環境が社内ポリシーと外部規制を順守するためのポリシーを定義し、強制することが可能になる。
Azure Policyは「Azure Resource Manager」に深く統合されており、Azureの全てのリソースに適用される。個々のポリシーをグループ化し、複数のルールを効率的に実装することもできる。幅広いコンプライアンスシナリオで利用でき、例えば、GDPR準拠の一環として、データが特定の地域において暗号化されたり、保持されたりすることも可能だ。
Azure PolicyとAzure Security Centerの統合機能
「Azure Security Center」は、GDPRのセキュリティ要件を満たすのに役立つ統合型セキュリティ管理機能と高度な脅威保護機能を提供する。Azure PolicyはAzure Security Centerに統合されているため、さまざまなワークロードへのセキュリティポリシーの適用や、暗号化の有効化、脅威にさらされている状態などによって、インシデントに対応が可能だ。
Azure Security and Compliance GDPR Blueprint
「Azure Security and Compliance GDPR Blueprint」は、GDPRの要件を満たすクラウドベースアプリケーションの開発とリリースを支援する。共通レファレンスアーキテクチャ、デプロイガイダンス、GDPRの条項と実装のマッピング、顧客の責任を示すマトリックス表、迅速かつ安全にクラウドソリューションを実装するための脅威モデルを含んでいる。
コンプライアンスマネジャー
Azureの「コンプライアンスマネジャー」は、Microsoftの無料クラウドサービスソリューションであり、企業がGDPR、「ISO 27001」「ISO 27018」「NIST 800-53」などの複雑なコンプライアンス義務を順守するのに役立つよう設計されている。5月25日からAzureの顧客向けに正式提供が開始されたコンプライアンスマネジャーのGDPRダッシュボードでは、GDPR準拠活動の割り当て、追跡、記録を行える。これにより、チーム間での協力や、監査報告書を作成するための文書管理が容易に行える。
AzureのGDPRサポートおよびガイダンス
「Service Trust Portal」とTrust CenterのGDPRサイトは、GDRPの要件に対応するMicrosoftサービスに関する最新情報を提供する。その中には、Azureにおける「Data Protection Impact Assessment」(DPIA:データ保護影響評価)の実施、AzureにおけるDSRへの対応、Azureにおける「Data Breach Notification」(データ侵害通知)の管理に関する詳細なガイダンスが含まれる。これらの取り組みは、GDPRアカウンタビリティープログラムの一環として行われる。
グローバルリージョン
グローバルリージョンは、データレジデンシー(保存場所)に関する要件の順守に役立つ。Azureは、多くのグローバルリージョンを展開している。これにより、アプリケーションをユーザーの近くのリージョンで運用したり、データレジデンシー要件に対応したりできるため、ユーザーは「データを自分の管理下に置いている」という安心感を感じることができる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
制裁金がある「GDPR」について「十分理解している」企業は10.0%――トレンドマイクロ調査
トレンドマイクロは「EU一般データ保護規則(GDPR)対応に関する実態調査」の結果を発表した。「内容について十分理解している」割合は10.0%なのに対して、「名前だけは知っている」または「知らない」は66.5%。欧州国民の個人情報を取り扱っているにもかかわらず対応に着手していない割合は70.3%に上った。
GDPR対策は個人情報の暗号化から
EUの新しい個人情報保護規制「GDPR」には域外適用の規定があり、多くの日本企業が規制対象となります。規制に対応するには個人情報の暗号化が第一歩。3つのステップに従って暗号化を検討する必要があります。
GDPR施行は、日本のITエキスパートにとってよそごとなのか?
EUの新しい個人情報保護規制「GDPR」の施行が半年後に迫っています。EUに立地する企業はもちろん、事業所がなかったとしてもEU域内で事業を展開する日本企業には「域外適用」として規制の対象になる場合があります。どのような企業が対象となるのか、規制に対応するためには何をすればよいのか、解説します。