Copilot Studio でのコンプライアンスを確保する
今日のデジタル環境において、コンプライアンスはこれまで以上に重要になっています。 組織は、機密データを保護し、顧客の信頼を維持し、法的な影響を避けるために、さまざまな規制や基準を遵守する必要があります。 コンプライアンスの重要な側面のひとつは、データ所在地を確保することです。これには、特定の地理的境界内でデータを保存/処理することを含みます。 Microsoft Copilot Studio は、特に地理的データ所在地に関する重要なコンプライアンス要件を満たすための強力な機能を提供します。
コンプライアンスが重要な理由
- 法的要件: 多くの国では厳しいデータ保護法があり、データの保存場所や処理方法が定められています。 遵守しない場合は、多額の罰金や法的措置の対象となる可能性があります。
- 顧客の信頼: コンプライアンス基準を遵守することで、データ セキュリティに対するコミットメントを示すことができ、顧客の信頼とロイヤルティを高めることができます。
- リスク管理: コンプライアンスは、データ侵害や不正アクセスに関連するリスクの特定と軽減に役立ちます。
- 運用効率: コンプライアンス ガイドラインに従うことで、プロセスを合理化し、全体的な運用効率を向上させることができます。
Copilot Studio はコンプライアンスを中核として設計されており、オンラインサービス規約 (OST)で定義されたオンラインサービスです。 以下の規格に準拠または対象となります:
- 医療保険の携行性と責任に関する法律 (HIPAA) の適用範囲
- Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)
- Federal Risk and Authorization Management Program (FedRAMP)
- しすてむおよび組織の制御 (SOC)
- さまざまな国際標準化機構 (ISO) の認証
- Payment Card Industry (PCI) データ セキュリティ基準 (DSS)
- Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)
- 英国政府クラウド (G-Cloud)
- 外部委託されたサービスプロバイダーの監査報告書 (OSPAR)
- 韓国情報セキュリティ管理システム (K-ISMS)
- シンガポール多層クラウド セキュリティ (MTCS) レベル3
- スペイン Esquema Nacional de Seguridad (ENS) 高レベルのセキュリティ対策
医療保険の携行性と責任に関する法律 (HIPAA) の適用範囲
HIPAA は、個人を特定できる健康情報の使用、開示、および保護に関する要件を確立する米国の医療法です。 患者の保護された健康情報 (PHI) にアクセスできる対象エンティティ (診療所、病院、健康保険会社、その他の医療会社) だけでなく、PHI を代行処理する事業提携者 (クラウドサービスや IT プロバイダー) にも適用されます。
Microsoft Copilot Studio は HIPAA(Health Insurance Portability and Accountability Act) の Business Associate Agreement (BAA) の対象となります。
コパイロットが実行できる次のシナリオのように、組織が HIPAA に拘束されている場合に、保護された健康情報を処理するコパイロットを作成できます。
- 個人に健康情報 (血圧、体重など) を提供するように依頼します。
- 健康情報と、顧客の IP アドレスやメールアドレスなどの個人を特定する情報を取得します。
Note
Copilot Studio は HIPAA の対象ですが、医療機器としての使用はまだ意図されていません。 Copilot Studio および医療機器の使用目的 に関する免責事項を参照してください。
Health Information Trust Alliance (HITRUST)
HITRUST は、ヘルスケア業界の代表者が運営している組織です。
HITRUST は、医療機関とそのプロバイダーがセキュリティとコンプライアンスを一貫して実証するための認証可能なフレームワークである Common Security Framework (CSF) を作成し、管理しています。
CSF は、米国の医療法である HIPAA と HITECH 法に基づいており、個人を特定できる健康情報の使用、開示、保護に関する要件を定め、コンプライアンス違反行為を取り締まっています。
HITRUST は、標準化されたコンプライアンス フレームワーク、評価、および認定プロセスであるベンチマークを提供し、クラウド サービス プロバイダーや対象となる医療エンティティは、このベンチマークに基づいて、コンプライアンスを測定できます。
Federal Risk and Authorization Management Program (FedRAMP)
FedRAMP は、連邦情報セキュリティ管理法 (FISMA) に基づき、クラウド コンピューティング製品とサービスの評価、監視、認可を行う標準的な手法を提供し、連邦政府機関による安全なクラウド ソリューションの導入を促進する目的で設立されました。
Microsoft の政府機関向けクラウド サービスは、FedRAMP の要件を満たしています。
Azure Government を含む保護されたサービスをデプロイすることにより、Office 365 US Government、Dynamics 365 Government、連邦および防衛機関は、準拠する豊富なサービスを使用できます。
SOC 準拠
SOC は、サービス内の制御規制を保証するための方法です。 Microsoft Copilot Studio は、SOC に準拠しているかが監査されています。
SOC 監査レポートは、マイクロソフト サービス トラスト ポータル から入手できます。
ISO 準拠
Microsoft Copilot Studio は、次の表に記載されている ISO 標準に準拠しています。 それぞれの監査レポートは、マイクロソフト サービス トラスト ポータル から入手できます。
Payment Card Industry (PCI) データ セキュリティ基準 (DSS)
Payment Card Industry (PCI) データ セキュリティ基準 (DSS) は、クレジットカードデータの管理強化による不正防止を目的とした、世界的な情報セキュリティ規格です。
あらゆる規模の組織が、5つの主要なクレジット カード ブランドの支払いカードを受け入れる場合、PCI DSS の基準に従う必要があります。
- Visa
- MasterCard
- American Express
- 検出
- 日本クレジットビューロー (JCB)。
PCI DSS への準拠は、決済データやカード保持者データを保存、処理、または送信するすべての組織に求められます。
Cloud Security Alliance (CSA) Security Trust Assurance and Risk (STAR)
Security Trust Assurance and Risk (STAR) プログラムには、透明性、厳格な監査、および標準との調和という基本原則が含まれています。 STAR を利用する企業は、ベストプラクティスを示し、クラウド製品のセキュリティ体制を検証しています。
STAR レジストリでは、人気のあるクラウド コンピューティング製品によって提供されるセキュリティとプライバシーの制御を文書化しています。 この一般に公開されているレジストリにより、クラウドの顧客は最良の調達決定を行うために自社のセキュリティ プロバイダーを評価できます。
Microsoft Copilot Studio は、CSA STAR に準拠しているかが監査されています。
英国政府クラウド (G-Cloud)
Government Cloud (G-Cloud) は、政府部門によるクラウド サービスの調達を容易にし、クラウド コンピューティングの政府全体の採用を促進する英国政府のイニシアチブです。
G-Cloud は、マイクロソフトなどのクラウド サービス サプライヤーとの一連のフレームワーク契約と、そのサービスをオンライン ストアである、Digital Marketplace に掲載することで構成されています。 これにより、公共機関が独自に審査を行うことなく、サービスを比較して調達することができます。
Digital Marketplace への参加には、コンプライアンスの自己証明が必要であり、その後、政府デジタル サービス (GDS) 支部が任意で行う検証が必要となります。
外部委託されたサービスプロバイダーの監査報告書 (OSPAR)
OSPAR フレームワークは、シンガポール銀行協会 (ABS) が創設したものであり、シンガポールの金融機関にサービスを提供するべくアウトソーシング サービス プロバイダー (OSP) 向けに IT セキュリティのガイドラインを策定したことが期限となっています。 ABS ガイドラインは、金融機関が、デュー デリジェンス、ベンダー管理、および、特に重要なワークロードのクラウド アウトソーシングの手配において実施すべき主要な技術的および組織的なコントロールのアプローチへの理解の支援を目的としています。
Microsoft Copilot Studio は、OSPAR 認証を取得しています。
韓国情報セキュリティ管理システム (K-ISMS)
K-ISMS は、固/地域固有の ISMS フレームワークです。韓国の組織が一貫して安全に情報資産を保護できるようにするために設計された、一連の厳格な管理要件を定義しています。
シンガポール多層クラウド セキュリティ (MTCS) レベル3
シンガポールの MTCS 標準は、シンガポール情報通信開発庁 (IDA) の情報技術標準化委員会 (ITSC) の指示のもとに作成されました。
ITSC は、IT と通信を標準化するための国家プログラムと、国際的な標準化活動へのシンガポールの参加を推進し、促進しています。
スペイン Esquema Nacional de Seguridad (ENS) 高レベルのセキュリティ対策
2007年、スペイン政府は法律11/2007を制定し、市民が政府や公共サービスに電子的にアクセスできるような法的枠組みを確立しました。 この法律は、Esquema Nacional de Seguridad (国家安全保障枠組み) の基礎であり、Royal Decree (RD) 3/2010 によって管理されています。
このフレームワークの目標は、電子サービスの提供に対する信頼を構築し、データ、情報、サービスのアクセス、完全性、可用性、真正性、機密性、追跡可能性、保存性を確保することです。