コンプライアンス マネージャーの規制一覧

この記事では、次の操作を行います。 コンプライアンス マネージャーで評価を構築するために使用できる 規制 の包括的な一覧を表示します。

重要

organizationの既定で使用できる規制は、ライセンス契約によって異なります。 ライセンスの詳細を確認します。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

概要

コンプライアンス マネージャーは、評価を作成するための包括的な規制テンプレートのセットを提供します。 これらの規制は、コンプライアンス マネージャーで参照されているように、organizationが、データの収集と使用を管理する国内、地域、および業界固有の要件に準拠するのに役立ちます。 新しい法律や規制が施行されると、コンプライアンス マネージャーに規制が追加されます。 また、コンプライアンス マネージャーは、基になる法律または規制が変更されたときに、その規制を更新します。 更新プログラムを確認して受け入れる方法の詳細については、こちらをご覧ください。

規制の一覧とその場所

ヒント

新しい Microsoft Purview ポータル (プレビュー) では、上部のタブとしてではなく、左側のナビゲーションに [規制 ] ページが表示されます。

コンプライアンス マネージャーの規制の完全な一覧を次に示します。 コンプライアンス マネージャーで、[ 規制 ] ページに移動し、規制名を選択して、その説明、プロパティ、コントロール、および関連する改善アクションを表示します。 以下のセクションに移動して、地域または業界別の規制を表示します。

• Ai
• Global
• Industry
• 米国政府機関
• 米国の州と地域
• アジア太平洋の国/地域
• ヨーロッパ、中東、アフリカ (EMEA)
• ラテン アメリカ
• 北アメリカ
• 南アメリカ

含まれる規制

一部の規制は、サブスクリプション レベルに応じて、既定でコンプライアンス マネージャーに含まれます。

• すべてのサブスクリプション レベルのお客様: Microsoft Data Protection ベースライン は、サブスクリプションの一部としてすべての組織に含まれます。
• A5/E5/G5 サブスクリプション レベルのお客様: Microsoft Data Protection ベースラインに加えて、無料で使用する 3 つのプレミアム規制を選択できます。
• 米国政府機関コミュニティ (GCC) Moderate、GCC High、および国防総省 (DoD) のお客様: サイバーセキュリティ成熟度モデル認定 (CMMC)、レベル 1 から 5 は、Microsoft データ保護ベースラインに加えて含まれています。

Premium 規制

以下に示す規制テンプレートは、organizationによって購入される場合があります。 一部のライセンス契約では、3 つのプレミアム規制を無料で使用できます。 ライセンスの詳細を確認します。

Ai

• EU 人工知能法
• ISO/IEC 23894:2023
• ISO/IEC 42001:2023
• NIST AI リスク管理フレームワーク (RMF) 1.0

グローバル

• 電子記録管理システムのガイドラインと機能要件 (ICA モジュール 2)
• ISO 15489-1:2016
• ISO 16175-1:2020
• ISO 19791 - 情報技術 — セキュリティ技術 — 運用システムのセキュリティ評価
• ISO 22301:2019
• ISO 23081-1:2017
• ISO 27005:2018
• ISO 27017:2015
• ISO 27034-1 情報技術 — セキュリティ技術 — アプリケーション セキュリティ
• ISO 27799: 2016, 健康情報学 — 健康における情報セキュリティ管理
• ISO 28000 – サプライ チェーンのセキュリティ管理システムの仕様
• ISO 31000:2018
• ISO 37301
• ISO 55001 – 資産管理 -- 管理システム--要件
• ISO IEC 80001-1:2010
• ISO/IEC 27001:2013
• ISO/IEC 27001:2022
• ISO/IEC 27018:2019
• ISO/IEC 27033-1:2015
• ISO/IEC 27701:2019
• NIST 800-207 - ゼロ トラスト アーキテクチャ
• SIG 2022
• システムと組織の制御 (SOC) 1
• システムと組織の制御 (SOC) 2

Industry

• AICPA/CICA 一般に受け入れられたプライバシー原則 (GAPP)
• ARMA - 一般的に受け入れられるレコード保持原則 (GARP) の実装
• CDSA Content Protection & Security Standard
• CIS 実装グループ 1、グループ 2、グループ 3
• CIS Microsoft 365 Foundation Level 1 と 2
• クラウド セキュリティ アライアンス (CSA) クラウド コントロール マトリックス (CCM)
• COBIT 5
• FINRA サイバーセキュリティ チェックリスト
• ITU X.1052 Information Security Management Framework
• 共同委員会情報管理基準
• Microsoft Cloud セキュリティ ベンチマーク v1
• Motion Picture Association (MPA) コンテンツ セキュリティのベスト プラクティス
• NERC CIP
• SWIFT 顧客セキュリティコントロール
• 開発者向け OWASP ProActive コントロール 2018 v3.0
• (NAIC)顧客情報モデル規制 MDL-673 の保護基準
• PCI DSS v3.2.1
• 消費者金融健康情報規制のプライバシー, NAIC MDL-672, Q2 2017
• 運用リスクの健全な管理に関する原則の改訂(バーゼルIII.オペリスク)
• 標準化情報収集(SIG)アンケート
• 信頼できる情報セキュリティ評価 Exchange (TISAX) 5.1

米国政府機関

• OMB サーキュラー No. への付録 III。 A-130 - 連邦自動化情報リソースのセキュリティ
• CFR - 連邦規制のコード タイトル 21、パート 11、電子レコード、電子署名
• お子様のオンライン プライバシー保護規則 (COPPA)
• CMMC レベル 1、レベル 2、レベル 3、レベル 4、レベル 5
• CMMC v2 レベル 1
• CMMC v2 レベル 2
• CMS 情報システムのセキュリティとプライバシー ポリシー (IS2P2)
• コンピューター詐欺と虐待に関する法律 (CFAA)
• 医療機器におけるサイバーセキュリティ管理のためのプリマーケット提出の内容
• 刑事司法情報サービス (CJIS) セキュリティ ポリシー
• 市販 (OTS) ソフトウェアを含むネットワーク医療機器のサイバーセキュリティ - FDA
• サイバーセキュリティ成熟度モデル認定 (CMMC) レベル 1 から 5
• DFARS
• e-CFR - ID 盗難ルール
• 連邦規制の電子コード - パート 748.0 および付録 A
• FDIC プライバシー規則
• 連邦金融機関審査委員会 (FFIEC) 情報セキュリティブックレット
• FedRAMP Moderate
• FedRAMP SSP の高ベースライン
• 情報の自由法 (FOIA)
• コンシューマー向け財務情報の FTC プライバシー
• Gramm-Leach-Bliley Act, Title V, Subtitle A, Financial Privacy
• HIPAA/HITECH
• HITRUST
• 国土安全保障大統領指令7:重要なインフラの特定、優先順位付け、保護
• IRS - 収益手順 98-25 自動レコード
• IRS-P1075
• 取引所の最小許容リスク基準 (MARS-E) 2.0
• 国立公文書館ユニバーサル電子記録管理 (ERM) の要件
• NIST 800-37
• NIST 800-53 rev.4
• NIST 800-53 rev.5
• NIST 800-63 デジタル ID ガイドライン
• NIST 800-78-4: 個人 ID 検証のための暗号化アルゴリズムとキー サイズ
• NIST 800-137A -- 情報セキュリティ継続的監視 (ISCM) プログラムの評価
• NIST 800-171
• NIST 800-184: サイバーセキュリティ イベント復旧ガイド
• NIST CSF
• NIST プライバシー フレームワーク
• NIST SP 1800-5 IT 資産管理
• NIST特報 1800-1 モバイルデバイス上の電子健康記録の保護
• NIST特別出版 800-128
• NIST 特別出版物 800-210: クラウド システムの一般的なAccess Controlガイダンス
• サーベンス・オックスリー法
• SEC 17-4(a)
• アメリカプライバシー法の米国
• 米国 - データの合法的な海外使用の明確化 (CLOUD) 法
• 米国 - 公的企業のサイバーセキュリティ開示に関する委員会の声明とガイダンス
• 米国 - エネルギー省 (DOE) による外国原子力活動への支援
• 米国 - 家族の教育の権利とプライバシーに関する法律 (FERPA)
• 米国 - 2014 年連邦情報セキュリティモダン化法 (FISMA)
• 米国 - テロ攻撃法からの化学施設の保護と確保

米国の州と地域

• アラバマ州 - ポリシー 621: データ侵害通知 - DRAFT
• アラスカ州 - 第48章 - 個人Information Protection法
• アリゾナ州 - セキュリティ システムの侵害に関する通知
• アーカンソー州コードタイトル4、サブタイトル7、第110章、個人Information Protection法
• カリフォルニア州 - 民法第1798条
• カリフォルニア州 - データベース侵害法 (カリフォルニア SB 1386)
• カリフォルニア州 - Education Code-EDC、Title 3、Division 14、Part 65、Chapter 2.5- Social Media Privacy
• カリフォルニア州 - プライバシー権利法 (CPRA)
• カリフォルニア州 - SB-327 情報のプライバシー: 接続されているデバイス
• カリフォルニア州消費者信用報告機関法
• コロラド州プライバシー法 (CPA)
• カリフォルニア州消費者プライバシー法 (CCPA)
• 消費者データのプライバシーに対するコロラド保護
• コロラド州改正法令、セクション6-1-716、セキュリティ侵害に関する通知
• コネチカット州 - 社会保障番号と個人情報の表示と使用
• コネチカット州の一般法令 - 機密情報を受け取る州請負業者の一般規定
• コネチカット情報セキュリティプログラム
• コネチカット州法 - 個人情報を含むセキュリティ再コンピューター化されたデータの侵害
• D.C. Law 16-237 - 消費者個人情報セキュリティ侵害通知法
• デラウェア州 - 学生データプライバシー保護法
• Delaware Computer Security Breaches- Commerce and Trade Subtitle II - 12B-100 から 12B-104
• フロリダタイトルXXXII、第501章、セクション501.171、機密情報のセキュリティ
• ジョージア州 (米国) 個人 ID 保護法
• 【個人情報の侵害に関する通知】
• ハワイ - 個人情報のセキュリティ侵害 第487N章
• アイダホ州の ID 盗難
• イリノイ州 (740 ILCS 14/1) 生体情報プライバシー法
• イリノイ州個人Information Protection法
• インディアナ州のセキュリティ侵害の開示
• アイオワ州 - 学生個人Information Protection法
• アイオワ コード。 タイトル 16 世。 第 715C 章。 個人情報セキュリティ侵害保護
• Kansas コンシューマー情報、セキュリティ侵害に関する法令
• ケンタッキー州のデータ侵害通知
• ルイジアナ州データベースセキュリティ侵害通知法(法律第382号)
• メイン州 - オンライン消費者情報のプライバシー保護に関する法律
• Maine - 個人データに対するリスクに関する通知
• メリーランド州政府のコード - 政府機関による情報の保護
• メリーランド州個人Information Protection法 - セキュリティ侵害通知要件、HB 1154
• メリーランド州の学生データプライバシー法
• マサチューセッツ州 - 201 CMR 17.00: 連邦の居住者の個人情報の保護のための基準
• マサチューセッツ州データ侵害通知法 93H セクション 1-6
• ミシガン州の個人情報盗難防止法
• ミシシッピセキュリティ侵害通知
• モンタナ州 - ID 盗難の障害
• Nebraska のデータ保護とデータ セキュリティ侵害法の消費者通知
• ネバダ州第603A章 - 個人情報のセキュリティとプライバシー
• ネバダ州上院法案220オンラインプライバシー法
• ニューハンプシャー州プライバシー法
• ニュージャージー州のセキュリティ侵害の開示
• ニュー メキシコ第 57 章 - プライバシー保護 (記事 57-12B-1 から 4)
• ニューメキシコ州消費者情報プライバシー法
• ニューメキシコのデータ侵害通知法
• ニューヨーク - 23 NYCRR パート 500
• ニューヨーク市行政コード - セキュリティ侵害通知
• ニューヨーク一般ビジネス法 - データ セキュリティ侵害通知とデータ セキュリティ保護
• ニューヨークプライバシー法
• ノースカロライナ州 - ID 盗難防止法
• ノースダコタ州第51-30章 個人情報のセキュリティ侵害に関するお知らせ
• オハイオ州 - セキュリティ侵害通知
• オハイオ州データ保護法 2018
• オクラホマ州セキュリティ侵害通知法
• オレゴン州消費者 ID 盗難Information Protection法
• ペンシルベニア州個人情報侵害通知法
• プエルトリコ - データバンクセキュリティ法に関する市民情報
• ロードアイランド州 - ID盗難防止法
• サウスカロライナ州 - 侵害通知
• サウスダコタ州 - 違反の通知
• テネシー州 47-18-2107 個人消費者情報のリリース
• テキサス州 - ID 盗難防止法
• 社会保障番号を保護するためのテキサス州のプライバシーポリシー
• ユタ州消費者信用保護法
• ユタ州の電子情報またはデータのプライバシー
• バーモント州 - データのプライバシーと消費者保護に関する法律
• バージニア州個人情報侵害法
• バージニア州消費者データプライバシー法 (CDPA)
• ワシントン DC - コンシューマー セキュリティ侵害通知標準
• ウェストバージニア州 - 消費者情報のセキュリティ侵害
• ウィスコンシン州のセキュリティ侵害通知

地域

Asia-Pacific の国/地域

• アジア太平洋経済協力 (APEC) プライバシー フレームワーク
• オーストラリア - ASD Essential 8
• オーストラリア - ASD Essential 8 成熟度レベル 1
• オーストラリア - ASD Essential 8 成熟度レベル 2
• オーストラリア - ASD Essential 8 成熟度レベル 3
• オーストラリア - 国立公文書館法
• オーストラリア - パブリック レコード オフィス ビクトリア レコードキーピング標準
• オーストラリア - スパム法 2003
• オーストラリアのプライバシー (クレジット レポート) コード
• オーストラリアのプライバシー保護法
• オーストラリア公記録法
• オーストラリアエネルギーセクターサイバーセキュリティフレームワーク(AESCSF)
• ISM バージョン 3.5 のオーストラリア情報セキュリティ登録済み評価プログラム (IRAP) - 公式
• ISM バージョン 3.5 のオーストラリア情報セキュリティ登録済み評価プログラム (IRAP) - Protected
• オーストラリアプルデンシャル規制当局CPS
• ビクトリア朝の保護データ セキュリティ標準 V2.0 (VPDSS 2.0)
• オーストラリア政府の情報管理基準 - オーストラリア国立公文書館 (NAA)
• 中国 - 個人情報のセキュリティ仕様
• 中華人民共和国のサイバーセキュリティ法
• 香港 - 銀行業務および支払カードのコード
• 香港 - 個人データ(プライバシー)に関する条例
• インドのデジタル個人データ保護法
• インドの情報技術 (合理的なセキュリティの慣行と手順と機密の個人データまたは情報) 規則
• インド - 情報技術法
• インド準備銀行サイバー セキュリティ フレームワーク
• インドネシア - 法律 11/2008
• 日本 - 不正アクセスの禁止に関する法律
• 日本 - 行政機関・関係機関における情報セキュリティ対策の共通モデル
• 日本 - 行政機関及び関係機関の情報セキュリティ対策に関する共通基準
• 日本プライバシーマーク - JIS Q 15001:2017
• 個人情報保護法(平成15年法律第57号)
• 韓国 - 信用情報利用保護法
• 韓国 - 情報通信ネットワーク利用及びデータ保護の推進に関する法律
• 韓国個人Information Protection法
• マレーシア - 個人データ保護法 (PDPA)
• マレーシアの技術リスク管理 (RMiT)
• ミャンマー - 市民のプライバシーとセキュリティを保護する法律
• ネパール - 情報法の権利
• ニュージーランド - プライバシー法 / 2020
• ニュージーランド - 公的記録法
• ニュージーランド - 準備銀行BS11アウトソーシングポリシー
• ニュージーランド - 電気通信情報プライバシー コード
• ニュージーランドの正常性データ保持ポリシー
• ニュージーランドの健康情報プライバシー コード
• ニュージーランド健康情報セキュリティ フレームワーク (HISF)
• ニュージーランド情報セキュリティ マニュアル (NZISM)
• パキスタン - 電子データ保護法 - ドラフト
• フィリピンの BSP 情報セキュリティ管理ガイドライン
• 2012年フィリピンデータプライバシー法
• シンガポール - アウトソーシングサービスプロバイダーの管理目標と手続きに関するABSガイドライン
• シンガポール - 銀行法 (上限.19)
• シンガポール - サイバーセキュリティ 2018
• シンガポール - IMDA IoT サイバー セキュリティ ガイド
• シンガポール - シンガポール技術リスク管理フレームワークの通貨当局
• シンガポール - 多層クラウド セキュリティ (MTCS) 標準
• シンガポール - 個人データ保護法 / 2012
• シンガポールスパム対策法
• 台湾 - 電子決済機関の内部監査・内部統制システムの実施規則 - 2015年
• 台湾 - 金融持株会社及び銀行の内部監査及び内部統制システムの実施規則
• 台湾 - 銀行間送金及び決済に従事する金融情報サービス企業の承認及び管理に関する規制
• 台湾 - 電子決済機関の情報システムとセキュリティ管理の基準を管理する規制
• 台湾 - 営業秘密法
• 台湾個人データ保護法 (PDPA)
• タイ PDPA
• 台湾 - 営業秘密法
• ウズベキスタン - 個人データに関するウズベキスタン共和国の法律
• ベトナム - 消費者権利保護法
• ベトナム - サイバーセキュリティ法
• ベトナム - ネットワーク情報セキュリティ法
• ベトナム - 情報技術に関する法律

ヨーロッパ、中東、アフリカ (EMEA)

• アルバニア - 個人データの保護に関する法律第9887号
• オーストリア電気通信法 2003
• アルメニア - 個人データの保護に関するアルメニア共和国の法律
• 情報、情報の情報、情報の保護に関するベラルーシの法律
• ベルギー - 個人データの処理に関する自然人の保護に関する法律
• ベルギー NBB 2015年12月
• 個人データの保護に関するボスニア・ヘルツェゴビナ法
• Botswana - データ保護法
• 個人データ保護のためのブルガリア法 2002
• クウェート中央銀行サイバーセキュリティフレームワーク
• 企業の持続可能性に関する報告に関する指令 (CSRD)
• キプロス 個人データ法の処理
• チェコ語 - 個人データ処理に関する法律第 110/2019 Coll. - 2019
• チェコ語 - サイバー セキュリティと関連する行為の変更に関する法律 (サイバー セキュリティに関する法律) - 法律第 181 号
• デンマーク - データ保護法
• デンマーク - End-User ターミナル機器に情報を保存し、アクセスする場合に必要な情報と同意に関する行政命令
• 欧州議会および理事会の指令2013/40/EU
• ドバイ - 健康データ保護規則
• ドバイ消費者保護規制 (電気通信規制機関)
• ドバイ ISR
• エジプト - データ保護法
• エストニア - 個人データ保護法
• エストニア - 情報システムのセキュリティ対策システム
• EU - ディレクティブ 2006/24/EC
• EU - ePrivacy ディレクティブ 2002 58 EC
• EU GDPR (一般データ保護規則)
• EudraLex - 欧州連合における医薬品を管理する規則
• 欧州ネットワーク情報セキュリティ機関 (ENISA) - クラウド コンピューティング情報保証フレームワーク
• フィンランド - データ保護法
• Cloud Servicesの情報セキュリティ評価に関するフィンランドの基準
• フランス - データ保護法
• 個人データ保護に関するジョージア法
• ドイツ - リスク管理の最小要件の注釈付きテキスト
• ドイツ - Cloud Computing Compliance Controls カタログ (C5)
• ドイツ - 連邦データ保護法
• ドイツ - 金融機関における IT の監督要件 (BAIT)
• ガーナ - データ保護法
• アイルランドデータ保護法
• イスラエル - プライバシー保護 (海外のデータベースへのデータの転送) 規制
• イスラエルプライバシー法
• ヨルダン クラウド プラットフォーム & サービス ポリシー
• ケニアデータ保護法
• ルクセンブルク法
• マルタ - データ保護法
• モーリシャスデータ保護法 2004
• モンテネグロ - 個人データ保護に関する法律
• NATO ディレクティブ AC/322-D(2021)0032
• ナイジェリアデータ保護規則
• NIS2 指令 (EU) 2022/2555 欧州議会および理事会
• オマーン - 電子取引法
• カタール クラウド セキュリティ ポリシー
• カタール国家情報保証 (NIA)
• モルドバ共和国 の個人データ保護に関する法律
• ルーマニア - データ保護法 190/2018
• ロシア - 情報、情報技術、情報セキュリティに関する連邦法 149-FZ
• 個人データに関するロシア連邦連邦法
• サウジアラビア - サウジアラビア 金融庁 (SAMA)
• サウジアラビア - 国家サイバーセキュリティ機関 (NCA)
• 南アフリカ消費者保護法 68 2008
• 南アフリカ電子通信取引法,2002年
• 南アフリカ情報アクセス促進法
• 南アフリカの POPIA
• スロバキア 個人データの保護に関する法律
• スペイン - 国家セキュリティ フレームワーク
• スイス - データ保護に関する連邦法 (FADP)
• トルコ - 情報と通信のセキュリティ ガイド
• トルコ - KVKK 個人データの保護 6698
• アラブ首長国連邦 - サイバー犯罪対策に関する連邦政令法
• アラブ首長国連邦 - 電子取引と商業に関する連邦法
• アラブ首長国連邦 - 医療分野における情報通信技術(ICT)の使用に関する2019年連邦法第2号
• アラブ首長国連邦 - NESA 情報保証基準
• アラブ首長国連邦のデータプライバシー法
• アラブ首長国連邦規制ポリシー TRA - モノのインターネット
• 通信部門を規制するアラブ首長国連邦連邦政令法
• ウガンダ - データ保護とプライバシーに関する法律
• 英国 - 防衛サプライヤーのためのサイバーセキュリティ標準05-138
• 英国 - 石油海洋活動規制 / 2011
• UK Cyber Essentials
• 英国データ保護法
• 英国データ保持法
• 英国のプライバシーと電子通信
• ウクライナ - 個人データ法の保護
• イエメン - 情報アクセス権のイエメン法

ラテン アメリカ

• アンティグア・バーブーダ - データ保護法 /2013
• バハマ - データ保護法
• バルバドス - データ保護請求書 2019
• バルバドス - 電子取引法
• バミューダ島 - 電子取引法
• セントルシアデータ保護法
• トリニダード・トバゴのデータ保護(2011年第13法)

北アメリカ

• カナダ - セキュリティ保護規則の違反
• カナダ - ブリティッシュ コロンビア州 - 情報プライバシー & セキュリティ - FOIPPA
• カナダ - 金融機関サイバーセキュリティ Self-Assessment ガイド監督局
• カナダ - 個人健康Information Protection法 (PHIPA) 2020
• カナダ - 個人Information Protection電子文書法 (PIPEDA)
• カナダ - 保護された B
• カナダのサイバーセキュリティ - 中小規模組織向けのサイバー セキュリティのベースライン制御
• CAN-SPAM 法
• 情報セキュリティ管理法 - ブリティッシュ コロンビア州
• メキシコ - 連邦消費者保護法
• メキシコ - 民間当事者が保有する個人データの保護に関する連邦法

南アメリカ

• アルゼンチン - 個人データ保護法 25.326
• ブラジル - 消費者保護法第8078号(Office 365)
• ブラジル - 一般データ保護法 (LGPD)
• コロンビア - 政令第1377/2013
• コロンビア - 2018年の外部円形手紙007
• コロンビア - 法律 1266/2008- Habeas Data Act
• ペルー法 29733 データプライバシー保護法