クリミナル ジャスティス インフォメーション サービス (CJIS) セキュリティ ポリシー
CJIS の概要
米国連邦捜査局 (FBI) のクリミナル ジャスティス インフォメーション サービス (CJIS) 部門は、州、地方、連邦の法執行機関と犯罪司法機関に対して、犯罪訴訟情報 (CJI) (指紋記録や犯罪履歴など) にアクセスできるようにします。 米国の法執行機関およびその他の政府機関は、CJI の送信、保存、または処理にクラウド サービスを使用する際に、CJI を保護するための最小限のセキュリティ要件と制御を確立する CJIS セキュリティ ポリシーに準拠していることを確認する必要があります。
CJIS セキュリティ ポリシーは、米国標準技術研究所 (NIST) のガイダンスと共に、大統領と FBI のディレクティブ、連邦法、および犯罪司法コミュニティの勧告ポリシー 委員会の決定を統合します。 ポリシーは、進化するセキュリティ要件を反映するように定期的に更新されます。
CJIS セキュリティ ポリシーでは、クラウド サービス プロバイダーなどのプライベート請負業者が評価する必要がある 13 の領域を定義し、クラウド サービスの使用が CJIS 要件と一致できるかどうかを判断します。 これらの領域は NIST 800-53 に密接に対応しています。これは、Microsoft が Government Cloud オファリングの認定を受けている 連邦リスクおよび承認管理プログラム (FedRAMP) の基礎でもあります。
さらに、CJI を処理するすべての個人請負業者は、セキュリティ ポリシーに必要な CJI のセキュリティと機密性を確保するのに役立つ米国司法長官によって承認された一定の契約である CJIS Security Addendum に署名する必要があります。 また、連邦および州の法律、規制、および標準に準拠したセキュリティ プログラムの維持に請負業者をコミットし、CJI の使用を政府機関が提供した目的に制限します。
Microsoft および CJIS セキュリティ ポリシー
Microsoft は、CJIS 情報契約を使用して CJIS Security Addendum に州で署名します。 これらは、Microsoft のクラウド セキュリティ 制御がデータのライフサイクル全体を保護し、CJI にアクセスできる運用担当者の適切なバックグラウンド スクリーニングを確実に行う方法について、CJIS セキュリティ ポリシーの遵守を担当する州法執行機関に指示します。 Microsoft は引き続き州政府と協力して CJIS 情報契約を締結しています。
Microsoft は、Microsoft Azure Government、Microsoft Office 365米国政府機関、および Microsoft Dynamics 365 米国政府の運用ポリシーと手順を評価し、適用されるサービス契約において、スコープ内サービスの使用に関する FBI 要件を満たす能力を証明します。
Microsoft Cloud での CJIS セキュリティ ポリシーの利点について説明します: Genetec が犯罪捜査をクリアした方法を確認する
Microsoft のスコープ内クラウド プラットフォーム & サービス
- Azure Government
- Dynamics 365 米国政府機関
- Office 365米国政府
- Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)
Azure、Dynamics 365、CJIS
Azure、Dynamics 365、およびその他のオンライン サービスコンプライアンスの詳細については、Azure CJIS オファリングを参照してください。
Office 365と CJIS
Office 365環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。
Office 365 の適用性と範囲内のサービス
以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。
| 適用性 | 範囲内のサービス |
|---|---|
| GCC | Azure Active Directory、Compliance Manager、Delve、Exchange Online、フォーム、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream |
Office 365 監査、レポート、証明書
FBI は、CJIS 要件に対する Microsoft コンプライアンスの認定を提供していません。 代わりに、Microsoft の構成証明は、Microsoft と州の CJIS 機関間、および Microsoft とその顧客間の契約に含まれます。
米国の CJIS 状態 (2022 年 8 月 11 日現在)
45 州とコロンビア特別区 (管理契約あり) は、緑色の地図で強調表示されています。
アラバマ州、アラスカ州、アリゾナ州、アーカンソー州、カリフォルニア州、アリゾナ州、コネチカット州、フロリダ州、ジョージア州、ハワイ州、アイダホ州、イリノイ州、 インディアナ、アイオワ、カンサス、ケンタシー、メイン、メリーランド、州州、州、ミシフィ、州外、ネブラスカ、ネバダ、ニューハンプシャー、ニューメキシコ、ニューメキシコ、ニューハンプシャー、ノースダコタ、オクラホマ州、オレゴン、ペンシルベニア、ロードアイランド、サウス・ダコタ、テキサス、テキサス、ユタ、バーモン、バージニア、ワシントン、西バージニア、ウィスコンシン州 コロンビア。
適用される CJIS 規制を満たすという Microsoft のコミットメントにより、クリミナル ジャスティス組織はクラウドベースのソリューションを実装し、CJIS セキュリティ ポリシー V5.9 に準拠することができます。
よく寄せられる質問
コンプライアンス情報はどこで要求できますか?
関心のある管轄の情報については、Microsoft アカウント担当者にお問い合わせください。 現在どのサービスがどの状態で利用可能かについては、お問い合わせください cjis@microsoft.com 。
Microsoft は、そのクラウド サービスが自分の州の要件への準拠を可能にしていることをどのように示していますか?
Microsoft は、CJIS Systems Agency (CSA) の状態に関する情報契約に署名します。州の CSA にコピーを要求できます。 さらに、Microsoft は、セキュリティ、プライバシー、コンプライアンスに関する詳細な情報をお客様に提供します。 また、お客様は、Microsoft が関連する監査範囲に適したセキュリティ制御 (ISO 27001 など) を実装していることを検証できるように、独立監査人によって作成されたセキュリティおよびコンプライアンス レポートを確認することもできます。
会社のコンプライアンスの取り組みはどこから始めますか?
CJIS セキュリティ ポリシーでは、CJI を保護するために機関が取る必要がある予防策について説明します。 さらに、Microsoft アカウント担当者は、お客様の管轄の要件に精通しているユーザーと連絡を取ることができます。
Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する
Microsoft Purview コンプライアンス マネージャーは、組織のコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立つ、Microsoft Purview コンプライアンス ポータルの機能です。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。