ニュージーランド政府の情報セキュリティとプライバシーに関する考慮事項

2023年4月、ニュージーランド政府は更新された クラウドファーストポリシーに合意しました。 このポリシーと以前の決定では、パブリック クラウド サービスを使用する前に、ニュージーランド政府機関が次のアクションを実行する必要があります。

  • オンプレミスのシステムとインフラストラクチャから離れる
  • 情報を安全に格納する
  • クラウド プランを作成して使用する
  • Te Ao Māori の観点を検討する
  • 持続可能性の原則を採用する
  • リスクを評価する

ニュージーランド政府は、特定の組織がニュージーランド政府の情報セキュリティとプライバシーに関する考慮事項に準拠することを要求しています。 この要件は、政府最高デジタル責任者 (GCDO) の義務に該当する組織に適用されます。これには、公的および非公開のサービス部門、Te Whatu Ora Health New Zealand、Te Aka Whai Ora Māori Health Authority、Crown エンティティが含まれます。 これらの組織は、クラウド サービスの使用を決定するときにフレームワークに従う必要があります。 フレームワーク内のいくつかの質問は、プライバシー法 2020 に関連します。 これらの質問に対する Microsoft の回答は、該当する場合はニュージーランドプライバシー法 2020 に基づいています。

また、クラウド サービスを採用する方法に関する機関向けの一連のガイドラインも公開しました。 このフレームワークには、次の手順が含まれています。

  • 情報を適切に分類する
  • パブリック クラウド サービスを使用する利点を把握する
  • 組織のクラウド プランを使用する
  • パブリック クラウド サービスを購入する方法を確認する
  • リスク検出ツールを使用する
  • 組織のプロセスを使用してリスクを評価する

ニュージーランド政府は、クラウド サービスを評価して採用する際に、すべての州サービス機関がこのフレームワーク内で機能することを期待しています。 Cloud Computing の要件 は、クラウド サービスを採用するときに機関が実行する必要がある内容と、政府のクラウド ポリシーの履歴の概要を示しています。

必要なリスク評価

ニュージーランド政府機関が潜在的なクラウド ソリューションに対して一貫した堅牢なデュー デリジェンスを実施するのを支援するために、GCIO は パブリック クラウド サービス向けのリスク検出ツールを公開しました。 このツールには、データ主権、プライバシー、セキュリティ、ガバナンス、機密性、データの整合性、可用性、インシデント対応と管理に焦点を当てた約 100 の質問が含まれています。 このツールでは、クラウド サービス プロバイダーが正式なコンプライアンスを実証する必要があるニュージーランド政府の標準は定義されていません。 ただし、ドキュメントに記載されている質問の多くは、クラウド サービス プロバイダーがさまざまな関連基準にどのように準拠しているかを理解することの重要性を示しています。

リスク評価に対する Microsoft の対応

政府機関が Microsoft エンタープライズ クラウド サービスの分析と評価を行うのを支援するために、Microsoft は、Microsoft クラウド サービスが認定されている基準にリンクすることで、リスク評価ツールに記載されている質問にエンタープライズ クラウド サービスがどのように対処するかを示すドキュメントを作成しています。 これらの認定資格は、プライバシーとセキュリティのリスクを効果的に軽減し、データ主権の懸念に対処するために、クラウド サービスが設計、構築、運用されていることをパブリック部門と民間セクターのお客様の両方に保証する方法の中心です。

ニュージーランド 情報セキュリティ マニュアルに基づき、お客様の機関がその情報通信技術 (ICT) システムの認定と認定を受ける必要がある場合は、分析の一環としてこれらの応答を使用できます。

注:

Microsoft では、Microsoft Fabric の更新されたコンテンツの公開に取り組んでいます。 最新情報については、すぐにご確認ください。

リソース