GLBA の概要
Gramm-Leach-Bliley Act (GLBA) は、金融サービス業界を改革した米国の法律です。 これにより、商業銀行、投資銀行、証券会社、保険会社を統合できます。 また、消費者のプライバシー保護に関する懸念にも対処します。 この法律では、連邦取引委員会 (FTC) やその他の金融サービス規制当局に対し、金融プライバシー規則やセーフガード規則などのプライバシー条項に対処する規制を実施するよう求めています。 機密性の高い消費者データを保護するための GLBA 要件は、ローン、投資アドバイス、保険など、消費者に金融商品やサービスを提供する金融機関に適用されます。 FTC はコンプライアンスを適用します。
Microsoft と GLBA
Microsoft Azure、Microsoft Office 365、Dynamics 365、Microsoft Power BIは、金融機関にクラウド サービスを提供するための厳しい要件を満たすのに役立ちます。 サポートの一環として、セキュリティを維持し、不正な使用を防ぐのに役立つ技術的および組織的な保護策を提供することで、GLBA の要件に準拠するためのガイダンスを提供します。
Microsoft では、AzureとOffice 365の両方のリスク評価ツールを開発し、AzureおよびOffice 365 サービスのリスク評価をより効率的に実施できるように支援しています。 このツール (Excel スプレッドシート) には、セキュリティ ポリシーやリスク管理などの多数の情報セキュリティ ドメインが用意されており、GLBA (Azure スプレッドシートの列 R、Office 365 スプレッドシートの列 Q) など、金融サービス規制やその他の関連基準の要件を追跡します。 ツールでは、AzureとOffice 365がクラウド サービス プロバイダーに適用される各要件にどのように準拠しているかを説明し、GLBA のセキュリティ要件を満たすのに役立ちます。
GLBA コンプライアンスを促進する
Microsoft のスコープ内のクラウド プラットフォームとサービス
- Azure
- Dynamics 365
- Intune
- 米国政府Office 365 Office 365
- Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)
Azure、Dynamics 365、GLBA
Azure、Dynamics 365、およびその他のオンライン サービスコンプライアンスの詳細については、Azure GLBA オファリングを参照してください。
Office 365と GLBA
Office 365環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。
Office 365 の適用性と範囲内のサービス
以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。
| 適用性 | 範囲内のサービス |
|---|---|
| 商用 | Microsoft Entra ID、Azure Information Protection、Bookings、Compliance Manager、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Office 365、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 Cloud App Security、Office 365のMicrosoft Defenderグループ、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Viva Engage |
| GCC | Microsoft Entra ID、コンプライアンス マネージャー、Delve、Exchange Online、フォーム、Office 365 Microsoft Teams、MyAnalytics、Office 365 Advanced Compliance アドオンのMicrosoft Defender、Office 365セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream |
よく寄せられる質問
金融機関が GLB 法に準拠する必要があるかどうかは操作方法ですか?
FTC は、GLB Act ページでこの質問に詳しく回答します。 プライバシー規則の対象となるのは誰ですか?
Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する
Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。
リソース
金融サービス向けのその他の Microsoft リソース
- Microsoft Cloud for Financial Services
- Service Trust Portal の金融サービス
- クラウド コンピューティングの共同責任