NEN 7510

NEN 7510 の概要

オランダ国内で患者の医療情報を取り扱う組織は、そのデータおよび組織への統制が NEN 7510 標準で定められた要件に適合していることを実証する必要があります。 Microsoft は NEN 7510 の規制の対象外ですが、医療分野のお客様は、Microsoft クラウドで構築されたソリューションに対して、NEN 7510 への準拠を確保する必要があります。 Microsoft のクラウド サービスは、定期的にさまざまな認証や監査を受けており、その中には NEN 7510 で指定された要件に密接に関わる要素が含まれています。

Microsoft と NEN 7510:2011

Microsoft では現在の認証と保証声明を分析し、NEN 7510 カバレッジ レポート (Service Trust Platform でご利用いただけます)。それらの認証や保証声明は、Microsoft がクラウド サービス プロバイダーとして責任を負う NEN 7510 規制に対して対応付けられています。 この文書は、患者の医療情報の保管または処理に関連する Microsoft クラウド サービスの利用を NEN 7510 に準拠させるため、お客様がどの統制をさらに実施しなくてはならないか判断する上で役立ちます。

Azure セキュリティおよびコンプライアンス ブループリントを使用して NEN 7510 の展開を加速する方法を説明します。「Microsoft クラウドをダウンロードする: Azure および Office 365 NEN7510-2011 標準範囲ユーザー ガイド」をダウンロードしてください。

対象となる Microsoft のクラウド プラットフォームとサービス

  • Azure および Azure Government
  • Intune
  • Office 365

Office 365 と ISO 27001

Office 365 のクラウド環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次の Office 365 クラウド環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
商用 Azure Information Protection、Bookings、Delve、Exchange Online、Exchange Online Protection、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Graph、Microsoft Teams、Microsoft To Do for Web、MyAnalytics、Office 365 Cloud App Security、Office 365 グループ、OneDrive for Business、Planner、Power Apps、Power Automate、Power BI for Office 365、PowerApps、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Yammer Enterprise

監査、レポート、証明書

よく寄せられる質問

Microsoft クラウド サービスを利用する顧客は NEN 7510 に準拠しますか?

NEN コンプライアンスへの準拠は、医療組織 (「顧客」) がその責任を負います。 クラウド サービス ベンダーを利用する場合、お客様は通常、ベンダーの保証を求め、独自の (他の) テクノロジ、組織の決定事項や選択事項、そしてプロセスを取り入れます。 このことにより、結果的に NEN 7510 コンプライアンスに関して、総合的な評価は顧客が実施し、その内容は審査または認定のため、第三者の監査人に提出されることになります。 NEN 7510 カバレッジ レポートでは、Microsoft クラウド サービスの対象となる NEN 7510 制御に関するインサイトが提供されていますが、そのため、エンド ツー エンドのコンプライアンスは取り上げられていません。

Microsoft は NEN 7510 に準拠していますか?

NEN 7510 コンプライアンスの義務は、オランダの医療組織に適用されます。 NEN 7510 コンプライアンスでは、組織が情報セキュリティ管理システムを実行し、適切な技術的および組織的な手段により対処することが求められています。 Microsoft はクラウド サービス プロバイダーとしての役割において、NEN 7510 コンプライアンスの準拠を目指してはおらず、また技術的に実現することはできません。 顧客が Microsoft クラウド サービスを導入または利用する場合、それらのサービスが NEN 7510 評価の対象範囲に含まれている可能性があります。 ただし、組織は独自の (他の) 制御、選択事項、プロセスを取り入れる必要があり、これらは NEN7510 の総合評価に含まれます。 レポートの目的は、医療事業者が NEN 7510 に準拠する形で Microsoft クラウド サービスを導入できることを示すことにあります。

NEN カバレージ レポートで NEN 7510 コンプライアンスが 100% カバーされていないということは、同コンプライアンスへの準拠は不可能だということですか?

Microsoft クラウド サービスでは、オランダ国内の医療分野の組織が持つ NEN 7510 コンプライアンスのニーズを支援する、多くの制御を提供しています。 ただし、組織は自身で選択した実施事項、他の技術制御、そして管理プロセスに関しては、ベンダーによるそれらの保証を補完する必要があります。 同レポートでは既に、適用可能なすべての統制の 94% 以上が直接カバーされてています。 カバーされていない規制に関しては、Microsoft がレポートにおいて、準拠する方法に関するガイダンスを提供しています。

注意

NEN 7510 では、すべての規制を実施することを主要な目的としてはいませんがその大部分をカバーする Microsoft のオンライン サービスは、すべての規制に対応する上で役立ちます。 NEN 7510 では、組織がどの規制が適用されるか判断するため、組織が利用できるリスクベースの情報セキュリティ システムの実行を義務付けています。

NEN 7510 カバレッジ レポートは法的拘束力を持つ文書ですか?

いいえ。 これは、お客様の社内的な NEN 7510 保証プロセスをサポートするツールであり、NEN 7510 コンプライアンスの実行可能性への信頼と信任を確立するためのものです。 独立監査人である KPMG によって作成されたこのレポートは、説明として提供され、法的な免責事項があります。

Microsoft はレポートの作成に出資しましたか?

Microsoft は自社の世界中の保証と NEN 7510 標準の統制との対応付けを実施しました。 その後、Microsoft は NEN 7510 に対応付けられた統制に関する独立した審査を、独立監査人である KPMG に委託しました。

このレポートを共有することはできますか?

レポートは機密保持契約 (NDA) の元でお客様に提供され、お客様の参照のみを前提としており、また Microsoft の Service Trust Portal 以外のチャネルを介した複製および開示はできません。

お客様はレポートを、コンプライアンスまたは保証プロセスの一環として、社内外の監査人と共有することができます。

リソース