コンプライアンスCompliance

注意

この記事の情報は Office 365 の各国版に適用されます。Office 365 US Government、Office 365 Germany、21Vianet が運用している Office 365 など、Office 365 の国内クラウド インスタンスを使用している場合は、「Microsoft National Clouds」をご覧ください。The information in this article applies to worldwide versions of Office 365. If you are using a national cloud instance of Office 365, including Office 365 U.S. Government, Office 365 Germany, and Office 365 operated by 21Vianet, see Microsoft National Clouds.

注意

使用できるパートナー機能は、地域によって異なります。Availability of Partner features varies by region.

Microsoft Office 365 は業界標準と規制に準拠しており、ビジネスの規制要件に適合できるように設計されています。詳細については、「コンプライアンス認証」をご覧ください。Microsoft Office 365 complies with industry standards and regulations, and is designed to help you meet regulatory requirements for your business. For more information, see Compliance Offerings.

業界認定資格Industry certifications

個人データの収集と利用に関する国、地域、および業界固有の要件を組織が遵守できるようにするため、Office 365 は、クラウド サービス プロバイダーに関する政府機関またはサードパーティによる要件、認定資格、および構成証明に準拠しており、またお客様の組織がこれらに準拠できるよう支援します。To help organizations comply with national, regional, and industry-specific requirements governing the collection and use of individuals' data, Office 365 complies with or can help your organization comply with the most comprehensive set of government or third-party requirements, certifications, and attestations of any cloud service provider:

  • PDPA (アルゼンチン)Argentina PDPA

  • CSA-CCMCSA-CCM

  • CS マーク (ゴールド)CS Mark (Gold)

  • DISADISA

  • ENISA IAFENISA IAF

  • EU モデル条項EU Model Clauses

  • FDA 21 CFR Part 11FDA 21 CFR Part 11

  • FedRAMPFedRAMP

  • FERPAFERPA

  • FIPS 140-2FIPS 140-2

  • FISCFISC

  • FISMAFISMA

  • GxPGxP

  • HIPAA/HITECHHIPAA/HITECH

  • CCSL (IRAP)CCSL (IRAP)

  • ISO/IEC 27001ISO/IEC 27001

  • ISO/IEC 27018ISO/IEC 27018

  • マイナンバー法 (日本)Japan My Number Act

  • MTCSMTCS

  • NZ CC FrameworkNZ CC Framework

  • VPAT 第 508 条Section 508 / VPATs

  • 共有評価SHARED ASSESSMENTS

  • SOC 1SOC 1

  • SOC 2SOC 2

  • ENS (スペイン)ENS Spain

  • G-Cloud (英国)UK G-Cloud

  • PCI DSS レベル 1PCI DSS Level One

Office 365 のコンプライアンスと監査報告書の詳細については、Service Trust Portal で確認できます。You can find more information on Office 365 compliance and audit reports in the Service Trust Portal.

また、PCI-DSS について次の点に注意してください。In addition, note the following questions for PCI-DSS:

  • 所属組織で PCI-DSS に準拠した状態で Office 365 を使用できますか。Can my organization use Office 365 and still be PCI-DSS compliant?

    • Payment Card Industry Data Security Standard (PCI-DSS) は、クレジット カード データのコントロールを強化して不正行為を防止する目的で設計されたグローバルな情報セキュリティ規格です。PCI DSS は、クレジット カードやデビット カードを扱うすべての組織を対象としたセキュリティ標準を確立するため、PCI Security Standards Council により策定されました。The Payment Card Industry Data Security Standard (PCI-DSS) is a global information security standard designed to prevent fraud through increased control of credit card data. PCI-DSS was written by the PCI Security Standards Council to create a set of security standards for any organization handling credit and debit cards.

    • お客様は、クレジット カードによって信頼して Office 365 サービスを注文し、料金を支払うことができます。これは、お客様による Office 365 サブスクリプションの購入に使用される商取引システムは、PCI-DSS Level 1 に準拠しているためです。独立したサード パーティが監査し、Microsoft Online Commerce Platform (OCP) が PCI-DSS バージョン 1.2 を十分に満たしているかどうかを確認します。以下で説明するように、Office 365 サービスを使用することで PCI-DSS 要件に準拠できます。Customers can use credit cards to order and pay for Office 365 services with confidence because the commerce system through which customers can purchase subscriptions to Office 365 has achieved PCI-DSS Level 1 compliance. An independent third-party auditor determines that Microsoft Online Commerce Platform (OCP) has satisfactorily met the PCI-DSS version 1.2. As explained below, organizations can use the Office 365 services to help them comply with PCI-DSS requirements.

  • どのように Office 365 によって所属組織が PCI DSS に準拠できるようになりますか。How can Office 365 help my organization with PCI-DSS?

    • Office 365 は、お客様のコミュニケーションと共同作業のためのセキュアなプラットフォームを提供します。Microsoft は、サービスを安全に運用し、サービスのライフサイクル全体にわたってデータを保護するために利用できるさまざまなコンプライアンスおよびセキュリティ機能を提供します。データ損失防止 (DLP)アドバンスト データ ガバナンスAzure Information Protection (AIP) などの機能により、クレジット カード番号、SWIFT コード、ABA ルーティング番号などのデータがあるときに、機密情報を自動的に検出してラベルを付けるためのポリシーを有効にできます。組み込み機密情報タイプの一覧については、 ここで確認できます。また、ここに記載されている手順に従って、独自の機密情報タイプを作成することもできます。お客様が適切なポリシーを適用していれば、組織は特定期間にわたってデータを自動的に維持でき、ユーザーが機密データを共有できないようにすることでコンテンツを保護できます。お客様が組織内外のユーザーと電子メールで機密データを共有する必要がある場合は、Office 365 Message Encryption で暗号化と権利保護を適用できます。これにより、権限のあるユーザーのみが保護されているメッセージを閲覧できます。Office 365 provides a secure platform for customers to communicate and collaborate. Microsoft operates the service securely and provides you with a rich set of compliance and security features that you can use to protect your data throughout its life cycle. With features like Data Loss Prevention (DLP), Advanced Data Governance, Azure Information Protection (AIP), you can turn on policies to automatically detect and label sensitive content when data like Credit Card Numbers, SWIFT codes, ABA routing numbers, etc. are present. You can find a list of our built-in sensitive information types here, and you can also follow the instruction here to create your own sensitive information types. With the appropriate policies applied by the customer, organizations can automatically retain data for a certain period of time and protect their content by preventing their users from sharing sensitive data. If customers need to share sensitive data over email with anyone inside or outside the organization, customers can apply encryption and rights protection with Office 365 Message Encryption so that only authorized parties can read the protected message.
  • グラム リーチ ブライリー法 (GLB): GLB は米国の金融機関に対して、最低限のセキュリティおよびプライバシー要件を設定します。GLB 準拠には手順とポリシーも必要とするため、ソフトウェアまたはサービスを "GLB 準拠" と言うことはできません。Office 365 サービスに影響を与える GLB の 2 つの主な規制は、次のとおりです。Gramm-Leach-Bliley Act (GLB) The GLB sets minimum security and privacy requirements for financial institutions in the United States. Software or services cannot claim to be "GLB compliant" because GLB compliance also requires procedures and policies. Two of the principal regulations under GLB that affect Office 365 services are:

    • Financial Privacy Rule (金融プライバシー規則): この規則は、金融機関によるカスタマーの個人金融情報の収集および開示を規制します。Financial Privacy Rule This rule governs the collection and disclosure of customers' personal financial information by financial institutions.

    • Safeguards Rule (セーフガード規則): この規則では、すべての金融機関がカスタマー情報を保護するためのセーフガードを設計、実装、および管理する必要があります。そのような情報を金融機関自体で収集する場合も、他の金融機関から受け取る場合も必要になります。Safeguards Rule This rule requires all financial institutions to design, implement, and maintain safeguards to protect customer information, whether they collect such information themselves or receive it from other financial institutions

機能の可用性Feature availability

さまざまな Office 365 のプランで利用できる機能を確認するには、「Office 365 プラットフォーム サービスの説明」を参照してください。To view feature availability across Office 365 plans, see Office 365 Platform Service Description.