Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)

  • [アーティクル]

HITRUST CSF の概要

健康情報信頼アライアンス(HITRUST)は、医療業界の代表者によって管理されるorganizationです。 HITRUSTは、医療組織とそのプロバイダーが一貫した合理化された方法でセキュリティとコンプライアンスを実証するのに役立つ認定可能なフレームワークである Common Security Framework (CSF) を作成し、維持しています。

CSFは、個人を特定できる健康情報の使用、開示、保護のための要件を確立し、コンプライアンス違反を強制する米国の医療法であるHIAAとHITECH法に基づいています。 HITRUST は、クラウド サービス プロバイダーと対象となる正常性エンティティがコンプライアンスを測定できるベンチマーク (標準化されたコンプライアンス フレームワーク、評価、認定プロセス) を提供します。 また、CSF には、支払カード業界データ セキュリティ標準 (PCI-DSS)、 ISO/IEC 27001 情報セキュリティ管理標準、および交換のための最小許容リスク標準 (MARS-E) などの既存のフレームワークからの医療固有のセキュリティ、プライバシー、およびその他の規制要件も組み込まれています。

CSF は、エンドポイント保護、モバイル デバイスのセキュリティ、アクセス制御など、19 の異なるドメインに分かれています。 HITRUST は、これらのコントロールに対する IT オファリングを認定します。 HITRUSTはまた、組織、システム、規制要因に基づいて、organizationのリスクに認定の要件を適応させます。

Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)

HITRUST では、自己評価、CSF 検証、CSF 認定の 3 つのレベルの保証または評価レベルが提供されます。 各レベルは、その下のレベルで厳格を増やして構築されます。 最高レベルの CSF 認定を受けたorganizationは、CSF のすべての認定要件を満たしています。 Microsoft Azure と Office 365 は、HITRUST CSF の認定を受けた最初のハイパースケール クラウド サービスです。 HITRUST の評価会社である Coalfire は、機密情報を保護するために、Azure とOffice 365がセキュリティ、プライバシー、規制の要件をどのように実装するかに基づいて評価を行いました。 Microsoft では、HITRUST 共有責任プログラムがサポートされています。

Azure セキュリティとコンプライアンスブループリントを使用して HITRUST のデプロイを高速化する方法について説明します。

Microsoft Azure HITRUST Customer Responsibility Matrix (CRM) ブループリント v9.0d をダウンロードする

対象となる Microsoft のクラウド プラットフォームとサービス

Azure、Dynamics 365、HITRUST

Azure、Dynamics 365、およびその他のオンライン サービスコンプライアンスの詳細については、Azure HITRUST オファリングに関するページを参照してください。

Office 365と HITRUST

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
商用 アクティビティ フィード サービス、Bing サービス、Delve、Exchange Online Protection、Exchange Online、Microsoft Teams、Office 365 カスタマー ポータル、Office Online、Office サービス インフラストラクチャ、Office 使用状況レポート、OneDrive for Business、People カード、SharePoint Online、Skype for Business、Windows Ink

Office 365 監査、レポート、証明書

Office 365のHITRUST CSF認定は2年間有効です。

よく寄せられる質問

一部のOffice 365 サービスがこの認定の対象に含まれていないのはなぜですか?

Microsoft は、他のクラウド サービス プロバイダーと比較して最も包括的なオファリングを提供します。 地域や業界にわたる広範なコンプライアンス オファリングに対応するために、市場の需要、顧客からのフィードバック、製品ライフサイクルに基づいて、保証の取り組みの範囲にサービスを含めます。 サービスが特定のコンプライアンス オファリングの現在のスコープに含まれていない場合、organizationは、コンプライアンス義務に基づいてリスクを評価し、そのサービス内のデータを処理する方法を決定する責任があります。 Microsoft は、お客様からのフィードバックを継続的に収集し、規制当局や監査者と協力して、お客様のセキュリティとコンプライアンスのニーズに合わせてコンプライアンスカバレッジを拡大します。

Microsoft 認定資格は、organizationがOffice 365を使用している場合、HITRUST CSF に準拠していることを意味しますか?

Office 365などの SaaS にデータを格納する場合、コンプライアンスを実現するには、Microsoft とorganizationの間で共有の責任があります。 Microsoft は、物理的なセキュリティ、ネットワーク制御、アプリケーション レベルの制御など、インフラストラクチャ制御の大部分を管理し、organizationはアクセス制御を管理し、機密データを保護する責任があります。 Office 365 HITRUST 認定は、Microsoft の制御フレームワークのコンプライアンスを示しています。 その上で、organizationは HITRUST CSF 要件を満たすために、独自のデータ保護制御を実装して維持する必要があります。

Microsoft では、Office 365を使用するときに適切なコントロールを実装するためのorganizationに関するガイダンスを提供していますか?

はい。お客様がクラウド サービスを使用する際に、organizationが複雑なコンプライアンス義務を満たすのに役立つ、コンプライアンス マネージャーのクロス Microsoft クラウド ソリューションで推奨される顧客アクションを確認できます。 具体的には、HITRUST CSF の場合、コンプライアンス マネージャーで NIST 800-53 と NIST CSF 評価を使用してリスク評価を実行することをお勧めします。 評価では、詳細なガイダンスと、データ保護コントロールを実装するために使用できる Microsoft ソリューションを提供します。 コンプライアンス マネージャーの詳細については、 Microsoft Purview コンプライアンス マネージャーを参照してください。

Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する

Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンス マネージャーで評価を構築および管理する方法について説明します。

リソース