規制コンプライアンスの概要Introduction to regulatory compliance

これは規制コンプライアンスについての入門記事であり、したがってコンプライアンス戦略の実装については触れられていません。This is an introductory article about regulatory compliance, therefore it's not intended for implementing a compliance strategy. Azure のコンプライアンス認証の詳細については、Microsoft Trust Center をご覧ください。More detailed information about Azure compliance offerings is available at the Microsoft Trust Center. さらに、Azure の特定のお客様は、Microsoft Service Trust Portal からすべてのダウンロード可能なドキュメントを入手できます。Moreover, all downloadable documentation is available to certain Azure customers from the Microsoft Service Trust Portal.

規制コンプライアンスとは、地域の行政機関によって施行される法律、または自主的に採択された業界標準で要求されている規則に企業が従うことを保証するための規範とプロセスのことです。Regulatory compliance refers to the discipline and process of ensuring that a company follows the laws enforced by governing bodies in their geography or rules required by voluntarily adopted industry standards. IT 規制コンプライアンスの場合、ユーザーやプロセスが企業システムを監視し、これらの準拠法、規制、標準によって確立されたポリシーや手順への違反を検出して防ぎます。For IT regulatory compliance, people and processes monitor corporate systems in an effort to detect and prevent violations of policies and procedures established by these governing laws, regulations, and standards. これはさらに、幅広い監視と強制のプロセスに適用されます。This in turn applies to a wide array of monitoring and enforcement processes. 業界や地域によっては、長くて複雑なプロセスになることがあります。Depending on the industry and geography, these processes can become lengthy and complex.

多国籍組織 (特に、ヘルスケアや金融サービスなどの規制の厳しい業界) では、コンプライアンスが困難です。Compliance is challenging for multinational organizations, especially in heavily regulated industries like healthcare and financial services. 標準と規制は数多く存在し、頻繁に変更されることもあるため、企業が変わり続ける国際電子データ処理法に対応するのは困難です。Standards and regulations abound, and in certain cases may change frequently, making it difficult for businesses to keep up with changing international electronic data handling laws.

セキュリティ管理と同様、組織はクラウドでの規制コンプライアンスに関する責任の分担を理解する必要があります。As with security controls, organizations should understand the division of responsibilities regarding regulatory compliance in the cloud. クラウド プロバイダーは、そのプラットフォームとサービスを準拠させることに努めています。Cloud providers strive to ensure that their platforms and services are compliant. また、組織も提供するアプリケーション、それらのアプリケーションが依存するインフラストラクチャ、サード パーティによって提供されるサービスが準拠の認定を受けていることを確認する必要があります。Organizations also need to confirm that their applications, the infrastructure those applications depend on, and services supplied by third parties are also certified as compliant.

以下では、さまざまな業界や地域でのコンプライアンスに関する規制について説明します。The following are descriptions of compliance regulations in various industries and geographies:

HIPAAHIPAA

保護医療情報 (PHI) を処理する医療アプリケーションは、Health Information Portability and Accountability Act (HIPAA) に含まれるプライバシー規則とセキュリティ規則の両方の対象となっています。A healthcare application that processes protected health information (PHI) is subject to both the privacy rule and the security rule encompassed within the Health Information Portability and Accountability Act (HIPAA). 少なくとも、HIPAA では、受け取るか作成された PHI が保護されていることを保証する書面を、医療機関がクラウド プロバイダーから受け取ることが要求されている場合があります。At a minimum, HIPAA could likely require that a healthcare business must receive written assurances from the cloud provider that it will safeguard any PHI received or created.

PCIPCI

Payment Card Industry Data Security Standard (PCI DSS) は、Visa、MasterCard、American Express、Discover、JCB などの主要なカード支払いシステムからのブランド付きクレジット カードを処理する組織に向けた、機密情報セキュリティ標準です。The Payment Card Industry Data Security Standard (PCI DSS) is a proprietary information security standard for organizations that handle branded credit cards from the major card payment systems, including Visa, Mastercard, American Express, Discover, and JCB. PCI 標準はカード ブランドによって要求されており、Payment Card Industry Security Standards Council によって管理されています。The PCI standard is mandated by the card brands and administered by the Payment Card Industry Security Standards Council. この標準は、カード所有者データに関する管理を強化してクレジット カード不正を減らすために作成されました。The standard was created to increase controls around cardholder data to reduce credit-card fraud. コンプライアンスの検証は、大量のトランザクションを処理する組織のために準拠報告 (ROC) を作成する外部の認定セキュリティ評価機関 (QSA) や企業固有の内部セキュリティ評価部門 (ISA) によって、または企業用の自己評価アンケート (SAQ) によって毎年実行されます。Validation of compliance is performed annually, either by an external qualified security assessor (QSA) or by a firm-specific internal security assessor (ISA) who creates a report on compliance (ROC) for organizations handling large volumes of transactions, or by a self-assessment questionnaire (SAQ) for companies.

個人データPersonal data

個人データは、コンシューマー、従業員、パートナー、またはその他の個人や法人を識別するために使用できる情報です。Personal data is information that could be used to identify a consumer, employee, partner, or any other living or legal entity. 多くの新たな法律 (特にプライバシーや個人データに関するもの) では、企業自体に対してコンプライアンスに準拠し、侵害が発生した場合は報告することが義務付けられています。Many emerging laws, particularly those dealing with privacy and personal data, require that businesses themselves comply and report on compliance and any breaches that might occur.

GDPRGDPR

この分野で最も重要な開発の 1 つは、欧州連合内の個人のデータ保護を強化するように設計された一般データ保護規則 (GDPR) です。One of the most important developments in this area is the General Data Protection Regulation (GDPR), designed to strengthen data protection for individuals within the European Union. GDPR では、個人に関するデータ ("名前、自宅の住所、写真、メール アドレス、銀行の詳細、ソーシャル ネットワーキング Web サイトへの投稿、医療情報、コンピューターの IP アドレス" など) を、EU 内のサーバーの保持し、EU 外に転送してはならないことが、要求されています。GDPR requires that data about individuals (such as "a name, a home address, a photo, an email address, bank details, posts on social networking websites, medical information, or a computer's IP address") be maintained on servers within the EU and not transferred out of it. また、企業に対し、データ侵害があった場合は個人に通知することと、データ保護担当者 (DPO) を置くことが、要求されています。It also requires that companies notify individuals of any data breaches, and mandates that companies have a data protection officer (DPO). 他の国でも、同様の規制が制定済みまたは制定中です。Other countries have, or are developing, similar types of regulations.

Azure での準拠の基盤Compliant foundation in Azure

規制の対象となる業界や世界中の市場にわたり、お客様各自の遵守義務を満たす助けとなるように、Azure では、その幅の広さ (認証の総数) と深さ (評価範囲に含まれる顧客向けサービスの数) において、業界最大のコンプライアンス ポートフォリオを保持しています。To help customers meet their own compliance obligations across regulated industries and markets worldwide, Azure maintains the largest compliance portfolio in the industry, in breadth (total number of offerings) as well as depth (number of customer-facing services in assessment scope). Azure のコンプライアンス認証は、以下の 4 つのセグメントにグループ化されています。Azure compliance offerings are grouped into four segments:

  • グローバルGlobal
  • 米国政府US government
  • 業界Industry
  • 地域Regional

Azure のコンプライアンス認証は、独立したサードパーティの監査企業による正式な認証、証明、検証、承認、および評価の他に、Microsoft による契約の修正、自己評価、顧客向けのガイダンス ドキュメントを含むさまざまな種類の保証に基づいています。Azure compliance offerings are based on various types of assurances, including formal certifications, attestations, validations, authorizations, and assessments produced by independent third-party auditing firms, as well as contractual amendments, self-assessments, and customer guidance documents produced by Microsoft. このドキュメントでの各認証の説明では、評価の対象になる顧客向けのサービス、および顧客による独自のコンプライアンスへの順守を支援するダウンロード可能なリソースへのリンクを示す、最新の範囲のステートメントが提供されています。Each offering description in this document provides an up-to-date scope statement indicating which Azure customer-facing services are in scope for the assessment, as well as links to downloadable resources to assist customers with their own compliance obligations.

Microsoft Trust Center では、Azure のコンプライアンス認証の詳細をご確認いただけます。The Microsoft Trust Center provides more detailed information about Azure compliance offerings. さらに、Azure の特定のお客様は Service Trust Portal から、以下に示す区分のすべてのダウンロード可能なドキュメントを入手できます。Additionally, all downloadable documentation is available to certain Azure customers from the Microsoft Service Trust Portal in the following sections:

  • 監査レポート: FedRAMP、GRC 評価、ISO、PCI DSS、および SOC レポートのセクションが含まれます。Audit reports: Includes sections for FedRAMP, GRC assessment, ISO, PCI DSS, and SOC reports.
  • データ保護リソース: コンプライアンス ガイド、FAQ とホワイト ペーパー、および侵入テストとセキュリティ評価のセクションが含まれます。Data protection resources: Includes compliance guides, FAQ and white papers, and pen test and security assessment sections.

次のステップNext steps

クラウド セキュリティの準備の詳細を確認します。Learn more about cloud security readiness.