(この記事は Microsoft Office 365 Blog に 2013 年 2 月 21 日に投稿された記事の翻訳です) 

投稿者: Arpan ShahMicrosoft Office Division シニア ディレクター

私は Office 部門で 11 年以上働いていますが、当部門の事業がソフトウェアからサービスの文化に変遷するという経験をしました。この変貌に伴い多くの貴重な情報を入手できたため、重要な機能をさらに短時間でお客様に提供できるようになりました。マイクロソフトは、お客様のデータを管理する方法が、クラウドへの移行の決断を促す重要な要素であると認識しています。だからこそ、マイクロソフトはお客様と提携し、お客様固有のセキュリティ、プライバシーおよびコンプライアンスの要件を理解してそれらの要件を実現すべく尽力しています。

サービスが提供開始されてから 18 か月で、マイクロソフトは Office 365 において、主要なクラウド ベースの生産性サービスの中で最も堅牢な認証と業界標準の認定を取得すべく懸命に取り組んできました。この目的のため、以下の分野において投資を行いました (ただし、これらに限定されるものではありません)。

Impact Level 2 認定: Office 365 は英国で Impact Level 2 (IL2) 認定を取得しています。IL2 評価は、データの処理、格納および転送で「保護」レベルのセキュリティを必要とする地方公共団体、地方政府、国民健康保険 (National Health Service, NHS) 信託、一部の中央政府機関など、英国の広範な公的機関組織で役立てられます。

Health Insurance Portability and Accountability Act (HIPAA: 医療保険の携行性と責任に関する法律): マイクロソフトは、電子的に保護された医療情報を管理する HIPAA 対象機関が利用できる最も包括的な契約を提供しています。

連邦の HIPAA 法は主に患者のデータの保護義務を負う保険機関に適用されますが、教育機関でも、保護対象の医療情報を含む生徒の記録が学校のデータ システムに保管されている場合は、同じ HIPAA 規制に従う必要があります。

このため、デューク大学とトマスジェファーソン大学は Office 365 を選択し、HIPAA 要件に対処するビジネス アソシエイト契約 (BAA) を作成するためにマイクロソフトと緊密に連携している教育機関、公的機関および民間団体の先端テクノロジ、法律およびコンプライアンスの専門家から成るコンソーシアムに参加しました。

EU モデル条項 (EUMC): 2011 年 12 月よりマイクロソフトは、お客様との契約に EU モデル条項を盛り込むことを契約で確約していますが、昨年夏、さらに 1 歩踏み込んで、モデル条項への取り組みを EU のデータ保護機関と協力して入念に検査しました。このコミュニティとの取り組みの結果、マイクロソフトはそれらのフィードバックを取り入れてシステムと契約文言を調整しています。

EU 加盟国全 27 か国から成るプライバシー機関 (第 29 条作業部会とも呼ばれる) は、モデル条項の重要性を強化し、マイクロソフトの取り組みを承認しました。これにより、EU の企業を確実にクラウドに移行できる、信頼できるベンダーを選択することの重要性がさらに高まっています。

Criminal Justice Information Systems (CJIS: 刑事司法情報システム): 先ごろ Office 365 は、テキサス州の情報資源局により、10 万人を超える州職員向けのコミュニケーションおよび共同作業支援プラットフォームとして採用されました。コンプライアンスは、同州が Office 365 の採用を決めた重要な要因でした。と言うのも、テキサス州の刑事司法局、アルコール飲料委員会、保健局、保健福祉局等の複数の機関が、複雑なセキュリティとプライバシーの規制が適用されるデータへのアクセスを必要としていたからです。

テキサス州の情報資源局とマイクロソフトは、同州のコンプライアンス方針および高水準のセキュリティとプライバシーを維持するため、協力して、Health Insuran e Portability and Accountability Act (HIPAA) と刑事司法情報システム (CJIS) に基づくテキサス州の要件の対応に当たっています。マイクロソフト���、HIPAA ビジネス アソシエイト契約に加え、CJIS Addendum を締結することにより、テキサス州の情報資源局と契約上の誓約を交わしました。

FISMA: Office 365 は、米国連邦政府機関が求める標準に準拠したセキュリティ プロセスを導入し、複数の連邦政府機関から FISMA Authority to Operate (ATO: 中位影響レベル) を取得しています。Office 365 では、FISMA への準拠において最新の連邦指令に対応するため、その統制およびプロセスを更新する取り組みを継続的に行っています。

Family Education Rights and Privacy Act (FERPA: 家庭教育の権利とプライバシーに関する法): FERPA は、同意を得ない使用または開示から「教育記録」を保護することで、生徒のプライバシー権を保護するものです。Office 365 は、教育機関が FERPA のコンプライアンス要件を満たすために役立ちます。マイクロソフトは、教育機関の電子メールまたはドキュメントを宣伝目的でスキャンしないという確約を含む、FERPA により課せられる制限と要件に従うことに同意しています。

マイクロソフトのセキュリティ、プライバシーおよびコンプライアンスへの投資についてお客様に簡単に最新情報をご確認いただけるよう、Office 365 セキュリティ センターを用意しました。詳細情報についてはこのサイトでご確認ください。また、サービスを試用し、多くの企業が Office 365 を利用してクラウドに移行している理由をお確かめください。

関連情報: