米国内収益サービスパブリケーション 1075

米国内収益サービスパブリケーション 1075 の概要

Internal Revenue Service Publication 1075 (IRS 1075) は、米国政府機関とその代理人が連邦税情報 (FTI) にアクセスし、ポリシー、プラクティス、およびコントロールを使用してその機密性を保護するためのガイダンスを提供します。 IRS 1075 は、外部政府機関が保有する FTI の損失、侵害、または誤用のリスクを最小限に抑えることが目的です。 たとえば、FTI を処理する州歳入局は、その居住者の確定申告で FTI を処理する場合や、FTI にアクセスする医療サービス機関には、その情報を保護するためのプログラムが用意されている必要があります。

FTI を保護するために、IRS 1075 では、アプリケーション、プラットフォーム、およびデータセンター サービスのセキュリティとプライバシーの制御が規定されています。 たとえば、FTI の適切な処理や、データセンターの請負業者によるエントリの制限の監視など、データセンター アクティビティのセキュリティに優先順位を付けます。 FTI を受け取る政府機関がこれらのコントロールを適用することを保証するために、IRS は、これらの機関とその請負業者の定期的なレビューを含むセーフガード プログラムを確立しました。

Microsoft および US Internal Revenue Service Publication 1075

Microsoft Azure GovernmentおよびMicrosoft Office 365米国政府機関のクラウド サービスは、適切な制御を実施するという契約上のコミットメントと、MICROSOFT 代理店のお客様が IRS 1075 の実質的な要件を満たすために必要なセキュリティ機能を提供します。

これらの政府向け Microsoft クラウド サービスは、お客様がソリューションを構築および運用できるプラットフォームを提供しますが、お客様は、これらの特定のソリューションが IRS 1075 に従って運用され、IRS 監査の対象であるかどうかを自分で判断する必要があります。

政府機関がコンプライアンスに取り組むのを支援するために、Microsoft は次の作業を行います。

  • 政府機関が責任を理解し、さまざまな IRS コントロールがAzure GovernmentおよびOffice 365米国政府の機能にどのように対応しているかを理解するのに役立つ詳細なガイダンスを提供します。 IRS 1075 セーフガード セキュリティ レポート (SSR) では、Microsoft サービスが適用される IRS コントロールを実装する方法を徹底的に説明し、Azure GovernmentおよびOffice 365米国政府の FedRAMP パッケージに基づいています。 IRS 1075 と FedRAMP の両方が NIST 800-53 に基づいているため、IRS 1075 のコンプライアンス境界は FedRAMP 承認と同じです。
  • IRS は、IRS セーフガードドキュメントのリリースを明示的に承認する必要があります。そのため、NDA の下の政府機関のお客様のみが SSR を確認できます。
  • クラウド サービスの独立した評価者によって生成された監査レポートと監視情報を使用できるようにします。
  • IRS Azure Governmentコンプライアンスに関する考慮事項と米国政府のコンプライアンスに関する考慮事項Office 365提供します。これは、機関が IRS 1075 に準拠する方法で政府機関が Microsoft Cloud for Government サービスを使用する方法について説明しています。 NDA の政府機関のお客様は、これらのドキュメントを要求できます。
  • 必要に応じて、Microsoft の主題の専門家または外部監査人とコミュニケーションを取る機会を顧客に提供します (その費用で)。

Microsoft のスコープ内クラウド プラットフォーム & サービス

FedRAMP 承認は、NIST ガイドラインに基づく 3 つの影響レベル (低、中、高) で付与されます。 これらのランクは、機密性、整合性、または可用性の損失が組織に与える影響 (低 (限定的な効果)、中程度 (重大な悪影響)、高 (重大または致命的な影響) にランク付けされます。

  • Azure および Azure Government
  • Dynamics 365 米国政府機関
  • Office 365、米国政府Office 365
  • Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)

Azure、Dynamics 365、IRS 1075

Azure、Dynamics 365、およびその他のオンライン サービスコンプライアンスの詳細については、Azure IRS 1075 オファリングを参照してください。

Office 365と IRS 1075

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
GCC アクティビティ フィード サービス、Bing サービス、Delve、Exchange Online Protection、Exchange Online、インテリジェント サービス、Microsoft Teams、Office 365 カスタマー ポータル、Office Online、Office サービス インフラストラクチャ、Office 使用状況レポート、OneDrive for Business、People カード、SharePoint Online、Skype for Business、Windows Ink

Office 365 監査、レポート、証明書

IRS 1075 の実質的な要件への準拠は、毎年 FedRAMP 監査の対象となります。

よく寄せられる質問

MICROSOFT は IRS 1075 の要件にどのように対処しますか?

Microsoft は、セキュリティ、プライバシー、運用管理、および NIST 800-53 rev. FedRAMP ベースラインで中程度の影響情報システムに必要な 4 つのコントロールを定期的に監視しています。 継続的な監視レポートを通じて、四半期ごとにこの情報にアクセスできます。 Azure GovernmentおよびOffice 365米国政府機関のお客様は、Service Trust Portal を使用してこの機密コンプライアンス情報にアクセスできます。

さらに、Microsoft は、Azure GovernmentおよびOffice 365米国政府向けのマスター コントロール セットに IRS 1075 コントロールを含め、毎年 IRS 1075 コントロールに対する監査を行います。

FedRAMP パッケージまたはシステム セキュリティ プランを確認できますか?

はい。組織が米国政府のAzure GovernmentおよびOffice 365資格要件を満たしている場合。 これらのドキュメントを確認するには、Microsoft アカウント担当者に直接お問い合わせください。 準拠しているクラウド サービス プロバイダーの FedRAMP の一覧を参照することもできます。

Azure またはOffice 365パブリック クラウド環境を使用し、IRS 1075 に準拠することはできますか?

いいえ。 FTI を格納および処理できる環境は、米国政府Azure GovernmentまたはOffice 365のみです。 政府機関のお客様は、これらの環境を使用する資格要件を満たしている必要があります。

Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する

Microsoft Purview コンプライアンス マネージャーは、組織のコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立つ、Microsoft Purview コンプライアンス ポータルの機能です。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース