公開するドキュメント

1. マイクロソフトが講じる安全管理措置について
   一般的に想定されるリスクと対策に着眼し、当社が講じている安全管理策を富士ソフト株式会社がガイドラインと照らし合わせて整理しています。
2. 利用可能なマイクロソフトの製品・サービスに関する情報
   利用者が該当ガイドラインに対応する上で、利用可能なサービス毎の製品及び機能に関する情報を整理しています。
   
   

※上記の「マイクロソフトが講じる安全管理措置について」もしくは「利用可能なマイクロソフトの製品・サービスに関する情報」をクリックすると、「マイクロソフトクラウドの医療機関向けクラウドサービス対応セキュリティリファレンス (2024 年度) 利用許諾契約書」を読み、その内容に同意したものとみなされます。

マイクロソフトクラウドの医療機関向けクラウドサービス対応セキュリティリファレンス (2024 年度) 利用許諾契約書はこちらをクリックしてください。

本リファレンスの対象となるクラウドサービス

1. Microsoft Azure
2. Microsoft 365
3. Microsoft Dynamics 365・Microsoft Power Platform
   

本リファレンスの対象となるガイドライン

本リファレンスが対象としているガイドラインは「3省2ガイドライン」になります。3省2ガイドラインとは厚生労働省の「医療情報システムの安全管理に関するガイドライン」と経済産業省・総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の2つのガイドラインを合わせた総称となっており、医療情報システムを取り扱う医療機関や事業者はこの「3省2ガイドライン」を遵守する必要があります。

1. 医療情報システムの安全管理に関するガイドライン 第 6.0 版（厚生労働省、令和5年5月 ）
2. 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第 1.1 版 (経済産業省・総務省、令和 5 年 7 月)
   

厚生労働省安全管理ガイドラインは、医療情報システムやサービスを利用する医療機関、具体的には病院、⼀般診療所、⻭科診療所、助産所、薬局、訪問看護ステーション、介護事業者、医療情報連携ネットワーク運営事業者等に対する遵守事項を取りまとめたものです。

経済産業省・総務省安全管理ガイドラインは、医療機関等に対して医療情報システムや、サービスを提供している事業者に対する遵守事項を取り纏めたものです。

事業者としての日本マイクロソフトが準拠すべき項目について
クラウドサービスの利用において、想定されるリスクに対応するためにはお客様が実施しなくてはならない対策と、クラウドサービスプロバイダーが対策する対策とに責任が分かれます。一般にこれを責任共有モデルや責任分界などと呼び、お客様側ではクラウドサービスプロバイダー側が実施している対策が利用者としての期待に即した内容となっているかをご契約、ご利用前に確認し、適切なクラウドサービスを選択する必要があります。

この確認を適切に実施していただくため、ガイドラインにより示される安全対策に関し、マイクロソフトが講じている対策の実施状況等を第三者監査の結果等を根拠とし「マイクロソフトが講じる安全管理措置について(想定されるリスクとリスクに対応するための製品・機能)」にまとめています。

サービス利用者が講じるべき項目について
クラウドサービスプロバイダー側で基盤となるインフラや物理施設等に十分な安全対策が実施されていても、お客様がリスクに対して適切なサービスが利用されていなければそこにセキュリティ上の問題が発生します。

たとえば適切なID管理や不正なアクセスへの対応や権限の管理、内部不正などはそれらの例となりますが、そのため想定されるリスクに対して有効な対策を講じることが可能なサービスを「利用可能なマイクロソフトの製品・サービスに関する情報(コントロールマッピング)」にまとめ、お客様が適切なサービスを選択しやすい環境となるようデータ提供しています。

本リファレンスの見方について
本リファレンスでは「コントロールマッピング」としてガイドラインでの要求事項に対し、利用可能なマイクロソフトの製品・サービスに関する対応状況と関連情報を整理しております。また「想定されるリスクとリスクに対応するための製品・機能」として、ガイドラインで示されているリスクシナリオに対し、マイクロソフトが講じる安全管理措置によってリスクの低減が可能なMicrosoft製品・機能を整理しております。

本リファレンスを参考にガイドラインを遵守し、医療機関がDXを推進するために必要となるゼロトラストやクラウド化、AI活用などの検討材料として活用いただける事を願っております。

そして、マイクロソフトとしましては今後もすべては患者様の為にという思いで皆様が安心・安全に医療情報を活用できるようクラウド事業者としてご支援したいと考えております。

富士ソフト株式会社の関連情報

• 3省2ガイドライン対応支援コンサルティングサービス
  3省2ガイドラインに対応するために必要な文書のひな形提供から文書の作成、コンサルティングまで、トータルでサポートするサービス
• FUJISOFT Technical Report：医療情報システム開発におけるセキュリティ対策、「3省2ガイドライン」への取り組み【第2回】
  医療情報システム開発において重要となるセキュリティ対策について、3省2ガイドラインを中心とした内容を紹介

参考文献

• 医療情報システムの安全管理に関するガイドライン　第6.0版
  https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
• 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第1.1版
  https://www.meti.go.jp/policy/mono_info_service/healthcare/teikyoujigyousyagl.html

The post マイクロソフトクラウドの「医療機関向けクラウドサービス対応セキュリティリファレンス (2024 年度)」改訂版公開のお知らせ appeared first on マイクロソフト業界別の記事.

日本政府における情報システムのクラウドサービス利用を第一選択肢として検討し、情報化の速度を向上させ IT 化による利便性を向上させる取り組みであるクラウド・バイ・デフォルト方針に基づき「政府情報システムのためのセキュリティ評価制度」(Information system Security Management and Assessment Program: 通称、ISMAP (イスマップ)) が制定されました。この制度は、政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度です。
2020 年 5 月 26 日に正式な制度が公開され、独立行政法人情報処理推進機構 (IPA) に設置された公式サイト から各種の情報が閲覧できるようになっています。

ISMAP 制度創設までの流れ

日本政府では「世界最先端IT国家創造宣言・官民データ活用推進基本計画」(2017 年 5 月 30 日閣議決定) および「デジタル・ガバメント推進方針」(2017 年 5 月 30 日高度情報通信ネットワーク社会推進戦略本部・官民データ活用推進戦略会議決定) において、政府情報システムを整備するにあたり、クラウドサービスの利用を第一候補として検討するクラウド・バイ・デフォルト原則の方針が打ち出されました。
これをうけ「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(2018 年 6 月 7 日各府省情報化統括責任者 (CIO) 連絡会議決定) が発表され、2018 年 6 月からは政府調達においてクラウド・バイ・デフォルト原則が採用されています。

一連の流れを受け、「未来投資戦略2018」(2018 年 6 月 15 日 閣議決定)では『クラウドサービスの多様化・高度化に伴い、官民双方が一層安全・安心にクラウドサービスを採用し、継続的に利用していくため、情報資産の重要性に応じ、信頼性の確保の観点から、クラウドサービスの安全性評価について、諸外国の例も参考にしつつ、本年度から検討を開始する。』との戦略が打ち出され、政府情報システムにおける安全性評価制度を検討する取り組みが開始されました。

その後、「デジタル・ガバメント実行計画」(令和元年 12 月 20 日閣議決定)、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和 2 年 1 月 30 日 サイバーセキュリティ戦略本部決定) を経て『各政府機関は、クラウドサービスを調達する際は本制度において登録されたサービスから調達することを原則とし、本制度における登録がないクラウドサービスの調達や、経過措置の詳細は、サイバーセキュリティ対策推進会議、各府省情報化統括責任者 (CIO) 連絡会議において定める。』との方針が決定しています。

現在は「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和 2 年 1 月 30 日サイバーセキュリティ戦略本部決定) に基づき、ISMAP の制度が運営は内閣サイバーセキュリティセンター・情報通信技術 (IT) 総合戦略室・総務省・経済産業省を運営所轄省庁とし、独立行政法人情報処理推進機構 (IPA) が制度運用に係る実務及び評価に係る技術的な支援を担当しています。

マイクロソフトにおける日本独自のセキュリティ認証制度、コンプライアンスへの取り組み

クラウドサービスを取り巻く環境として、各国で求められる法規制やガイドラインは、ビジネス環境のグローバル化に伴い一層複雑になっています。マイクロソフトが各国において事業活動を継続していくためには、それぞれの国における法令の遵守はもとより、高い水準の行動規範のもとに日々の活動を行うことが重要だと考えています。そこで、責任あるグローバル企業として、各国の規制当局が定める基準を上回る高い水準の行動規範を策定 し、世界中の社員に遵守を促しています。

このようなフィランソロピーに基づきマイクロソフトの製品とサービスはお客様の組織がデータの収集と使用を管理する国内、地域、および業界固有の要件に準拠するための包括的なコンプライアンス製品 を提供しています。

マイクロソフトのクラウドサービスは、我が国、日本でもこれまでも日本セキュリティ監査協会「CSゴールドマーク」の取得をはじめとし、パートナー企業との連携による「金融情報システムセンター (FISC) 安全対策基準」への対応や、医療機関向けセキュリティリファレンスなど我が国固有のセキュリティ認証制度やガイドラインへの準拠にも対応しております。

コンプライアンス：クラウド セキュリティ ゴールド マーク (CS ゴールド マーク) への対応
コンプライアンス：金融情報システムセンター (FISC) への対応
医療機関向けクラウドサービス対応セキュリティリファレンス (三菱総合研究所)

マイクロソフトにおける ISMAP への取り組み

これまで述べてきました通り、マイクロソフトではそれぞれの国の法令やガイドライン、業界固有の要件への適合および準拠には積極的に対応する活動を実施しており、日本での活動も例外ではございません。
このような趣旨に基づき、「政府情報システムのためのセキュリティ評価制度」(ISMAP) 認証制度につきましても、主要なクラウドサービスにおいて早期の認証取得を目指して活動を行っております。

ISMAP に関するマイクロソフトの取り組みに関する FAQ

Q) マイクロソフトは ISMAP を取得する予定がありますか？
A) 取得する準備を進めております。2019 年に ISMAP 制度検討委員会で試験実施されたパイロット監査の活動にもご協力しています。

Q) 取得対応予定時期はいつですか？
A) ISMAP の認定監査組織およびプロバイダー製品認証の最初の時期が 2021 年 2 月～ 3 月頃になると 2020 年 8 月に発表されました。発表時期から十分な時間が確保できるわけではありませんが、当該時期を目指して準備を進めております。
ISMAP の監査および認証は本年より開始された制度であり、いまだ認証を受けたサービスはございません。このため、監査法人による監査の内容や ISMAP 運営員会による認証などにかかる時間や要求される内容が完全に判明してわけではありません。このため取得について対応を実施していることは表明できても、取得時期等についてはお約束できるものではないことについては予めご理解ください。

Q) 取得予定サービスは何ですか？
A) 以下の 2 サービスを予定しています。

• Microsoft Azure, Dynamics 365, and Other Online Services
• Microsoft Office 365

Q) なぜ EMS (Enterprise Mobility & Security) の取得予定はないのですか？
A) 取得対象予定スコープには含まれています。
具体的には「Microsoft Azure, Dynamics 365, and Other Online Services」の Other Online Services の中に大半のサービスが含まれています。
既にグローバルで監査が実施され情報を公開している SOC2 監査レポートや ISO27000 シリーズ認証、FedRAMP 認証などの監査がすべて当該区分で実施されており、監査の実施単位 (ガバナンス) を他の監査制度等と合致させて実施することを予定しています。
SOC2 監査レポート、ISMS、FedRAMP などの監査報告書やレポートはマイクロソフトのクラウドサービスご契約者様は情報を閲覧することが可能ですのでこちらの Web サイト よりご確認ください。

Q) 詳細なレベルでのサービス単位で ISMAP 認証取得予定を知りたい
A) FedRAMP SSP (System Security Plan) をこちらの Web サイト からご確認ください。
FedRAMP レポートの中には Azure および O365 の SSP (System Security Plan) のファイルが存在し、SSP のファイル内には詳細な対象サービス名が記載されています。米国の政府機関向け認証制度である FedRAMP と日本の政府機関向けの認証制度である ISMAP は同一のスコープで監査および認証を取得する予定です。

• 2020/9/8 現在の最新ファイル
  Microsoft Azure Commercial Cloud FedRAMP System Security Plan v3.3 20191218
  Office 365 – MT FedRAMP SSP v7.01 (2019)

Azure SSP の場合、以下が対象サービスとなります。

• [9.2.1.Infrastructure and Platforms a Service Offerings]に記載のサービス
• [9.2.2.Software as a Service Offerings]に記載のサービス

O365 SSP の場合には、[9.5. Service Description]に記載のサービスが対象となります。

Q) 詳細サービス例：FedRAMP SSP を調べたが MCAS が対象サービスに見当たらない
A)　Microsoft Cloud App Security という正式名称で、Azure SSP のファイルに記載があります。正式名称で検索しても出てこない場合には、現時点で監査が実施されていないサービスの場合があり、監査が実施されていない場合には日本でも監査認証を取得することはできない可能性があります。詳細は担当営業までお問い合わせください。

The post 「政府情報システムのためのセキュリティ評価制度」ISMAP について appeared first on マイクロソフト業界別の記事.