グラム リーチ ブライリー法 (GLBA)

GLBA の概要

Gramm-Leach-Bliley Act(GLBA)は、金融サービス業界を改革し、商業および投資銀行、証券会社、保険会社が統合することを許可し、消費者のプライバシー保護に関する懸念に対処した米国の法律です。 連邦取引委員会(FTC)やその他の金融サービス規制当局は、金融プライバシー規則やセーフガード規則などのプライバシー条項に対処するための規制を実施する必要があります。 機密性の高い消費者データを保護するための GLBA 要件は、ローン、投資アドバイス、保険など、消費者に金融商品やサービスを提供する金融機関に適用されます。 FTC はコンプライアンスの強制に対して課金されます。

Microsoft と GLBA

Microsoft Azure、Microsoft Office 365、Dynamics 365、および Microsoft Power BI は、金融サービス機関にクラウド サービスを提供するという厳しい要件を満たすのに役立ちます。 サポートの一環として、セキュリティを維持し、不正な使用を防ぐのに役立つ技術的および組織的な保護策を提供することで、GLBA の要件に準拠するためのガイダンスを提供します。

Microsoft では、Azure とOffice 365の両方に対してリスク評価ツールを開発し、Azure および Office 365 サービスのリスク評価をより効率的に実施できるようにしました。 このツール (Excel スプレッドシート) には、金融サービス規制の要件や、GLBA (Azure スプレッドシートの列 R、Office 365 スプレッドシートの列 Q) など、関連するその他の基準を追跡する多数の情報セキュリティ ドメイン (セキュリティ ポリシーやリスク管理など) が用意されています。 このツールは、Azure とOffice 365がクラウド サービス プロバイダーに適用される各要件にどのように準拠しているかを説明し、GLBA のセキュリティ要件を満たすのに役立ちます。

GLBA コンプライアンスを促進する

対象となる Microsoft のクラウド プラットフォームとサービス

  • Azure
  • Dynamics 365
  • Intune
  • 米国政府Office 365 Office 365
  • Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)

Azure、Dynamics 365、GLBA

Azure、Dynamics 365、およびその他のオンライン サービスコンプライアンスの詳細については、Azure GLBA オファリングに関するページを参照してください。

Office 365と GLBA

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
商用 Microsoft Entra ID、Azure Information Protection、Bookings、コンプライアンス マネージャー、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Defender for Office 365、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 Cloud App Security、Office 365 グループ、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Viva Engage
GCC Microsoft Entra ID、コンプライアンス マネージャー、Delve、Exchange Online、フォーム、Microsoft Defender for Office 365 Microsoft Teams、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream

よく寄せられる質問

金融機関が GLB 法に準拠する必要があるかどうかは操作方法ですか?

FTC は、GLB 法のページでこの質問に詳しく回答 します。プライバシー規則の対象となるのは誰ですか?

Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する

Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース

金融サービス向けのその他の Microsoft リソース