コンプライアンス マネージャーを使用すると、Microsoft クラウド サービスの使用時に、データ保護と規制要件を満たすことができます。

コンプライアンス マネージャーは、21Vianet が運営する Office 365、Office 365 Germany、Office 365 U.S.Government Community High (GCC High)、または Office 365 Department of Defense では利用できません。

Microsoft Service Trust Portal のコンプライアンス マネージャー (ワークフロー ベースのリスク評価ツール) では、Office 365、Dynamics 365、Microsoft Azure などの Microsoft クラウド サービスに関連する組織の法令遵守活動の追跡、割り当て、検証を行うことができます。コンプライアンス マネージャーには次の特徴があります。

  • さまざまな標準 (ISO 27001、ISO 27018、NIST など) に対する Microsoft のクラウド サービスのさまざまなサードパーティ監査の一環として Microsoft が監査人および規制機関に提供する詳細情報と、Microsoft が規則 (HIPAA、EU 一般データ保護規則、GDPR など) に準拠するためにこれらの標準や規則に対する組織のコンプライアンスの独自の自己評価によって内部で収集する情報を組み合わせます。

  • コンプライアンスおよび評価関係のアクティビティを割り当て、追跡、および記録できるようにします。これは、組織がチームの障壁を超えて組織のコンプライアンス目標を達成するのに役立ちます。

  • コンプライアンス スコアが提供されます。このスコアを使用して、組織の進行状況を追跡し、監査コントロールに優先順位を付けることにより、組織が危険にさらされる可能性を軽減できます。

  • コンプライアンス アクティビティに関連するエビデンスおよびその他の成果物をアップロードおよび管理するための、セキュリティで保護されたリポジトリを提供します。

  • Microsoft および組織が実施するコンプライアンス アクティビティを文書化するための豊富な詳細レポートを Microsoft Excel 形式で生成します。これは、監査人、規制機関、およびその他のコンプライアンス関係者に提供することができます。

重要: コンプライアンス マネージャーは、データ保護およびコンプライアンス水準の概要と、データ保護およびコンプライアンスを改善するための推奨事項を提供するダッシュボードです。コンプライアンス マネージャーに表示される顧客アクションは推奨事項です。実装前に、各組織がそれぞれの規制環境でこれらの推奨事項の有効性を評価する必要があります。コンプライアンス マネージャーに表示される推奨事項を、コンプライアンスの保証と解釈してはいけません。

目次

概念的なトピック   

コンプライアンス マネージャーでの評価

アクセス許可とロール ベースのアクセス

コンプライアンス スコアの概要

評価のグループ化

管理機能   

コンプライアンス マネージャーのロールをユーザーに割り当てる

コンプライアンス マネージャーの使用   

コンプライアンス マネージャーへのアクセス

コンプライアンス マネージャー ダッシュボードの使用

アクション アイテムの表示

評価の追加

既存の評価から情報をコピーする

評価の表示

評価プロセスの管理

アクション アイテムの管理

評価からの情報のエクスポート

評価のアーカイブ

顧客管理のコントロールの変更ログ   

変更ログ

概念的なトピック

コンプライアンス マネージャーは、クラウドの共有責任モデル内で法令遵守を管理するために設計されたワークフロー ベースのリスク評価ツールです。コンプライアンス マネージャーでは、標準と規則、および Microsoft のコントロール実装の詳細、テスト結果、顧客コントロール実装ガイダンス、組織の入力の追跡などの評価を表示するダッシュボードを提供しています。コンプライアンス マネージャーは、コントロールの実装、テストの状態、およびエビデンスの管理を追跡するための、証明書評価コントロールの定義、コントロールの実装とテストに関するガイダンス、コントロールのリスクで重み付けされたスコア、ロール ベースのアクセス管理、およびインプレース コントロール アクション割り当てワークフローを提供しています。コンプライアンス マネージャーは、顧客が論理的に評価をグループ化し、同じコントロールまたは関連するコントロールに評価コントロール テストを適用できるようにして、コンプライアンスの作業負荷を最適化し、作業の重複を削減します。コンプライアンス マネージャーを使用しない場合は、異なる証明書間の同じコントロールの要件を満たすために作業の重複が必要になる可能性があります。

コンプライアンス マネージャーの主要な構成要素は、評価と呼ばれます。評価は、証明書標準またはデータ保護規則 (ISO 27001:2013、GDPR など) に対する Microsoft クラウド サービス (Office 365、Azure、Microsoft Dynamics など) の評価です。評価によって、選択された Microsoft クラウド サービスの選択された業界標準に対する組織のデータ保護およびコンプライアンスの姿勢を識別することができます。評価は、評価対象の証明書標準にマップされるコントロールの実装によって完了します。

評価の構造は、クラウドのセキュリティおよびコンプライアンス リスクを評価するため、およびコンプライアンス標準、データ標準、規則、または法律によって指定されたデータ保護の保護対策を実装するため、Microsoft と組織の間で共有される責任に基づいています。

評価は、次の複数のコンポーネントで構成されています。

範囲内のサービス 各評価は、Microsoft クラウド サービスの特定のセットに適用されます。これらは、範囲内のクラウド サービスのセクションに記載されています。

Microsoft 管理のコントロール   Microsoft はさまざまな標準および規則への Microsoft のコンプライアンスの一環として、各クラウド サービスごとに一連のコントロールを実装および管理しています。これらのコントロールは、評価が準拠している対応する証明書または規制の構造に沿って、コントロール ファミリにまとめられています。コンプライアンス マネージャーは、Microsoft 管理のコントロールごとに、Microsoft がコントロールをどのように実装したか、および独立したサードパーティの監査人によって実装がいつどのようにテストおよび検証されたかについての詳細を提供します。

ここでは、Office 365 と GDPR の評価の [セキュリティ] コントロール ファミリにおける Microsoft 管理のコントロールの例を 3 つ紹介します。

コンプライアンス マネージャーの Microsoft が管理するコントロールの詳細
  1. Microsoft 管理のコントロールにマップされる証明書または規制の次の情報を指定します。

    • コントロール ID   コントロールがマップされる証明書または規制の条項番号。

    • タイトル   対応する証明書または規制のタイトル。

    • アーティクル ID   このフィールドは、対応する GDPR の条項番号を指定するので、GDPR の評価のためにのみ含まれています。

    • 説明   選択した Microsoft 管理のコントロールにマップされる標準または規制の説明。

  2. コントロールのコンプライアンス スコア。Microsoft 管理の各コントロールに関連付けられる (違反またはコントロールの失敗による) リスクのレベルを示します。詳細については、「コンプライアンス スコアの概要」を参照してください。コンプライアンス スコアは 1 から 10 段階で評価され、色分けされています。黄色はリスクの低いコントロール、オレンジは中程度のリスクのコントロール、赤は高いリスクのコントロールを示します。

  3. コントロールの実装状態、コントロールがテストされた日付、テストを実施した担当者、およびテスト結果に関する情報。

  4. [詳細] をクリックすると、コントロールごとに、コントロールの Microsoft の実装についての詳細と、独立したサードパーティの監査人によってコントロールがテストおよび検証された方法についての詳細を含む、追加の情報が表示されます。

顧客管理のコントロール   これは、組織によって管理されているコントロールのコレクションです。組織は、所定の標準または規則に関するコンプライアンス プロセスの一環として、これらのコントロールを実装する責任があります。顧客管理のコントロールも、対応する証明書または規制のコントロール ファミリにまとめられます。Microsoft がコンプライアンス アクティビティの一環として提案する推奨アクションを実装するには、顧客管理のコントロールを使用します。組織は、規範ガイダンスと、各顧客管理のコントロールで推奨される顧客アクションを使用して、そのコントロールの実装および評価プロセスを管理することができます。

評価の顧客管理のコントロールには、評価の完了に対する組織の進捗を管理および追跡するのに使用できる組み込みのワークフロー管理機能もあります。たとえば、組織のコンプライアンス責任者は、アクション アイテムを、コントロールについて推奨されるアクションを実施する責任と実施に必要な権限を持つ IT 管理者に割り当てることができます。その作業が完了したら、IT 管理者は実装タスクのエビデンスをアップロードし、アクション アイテムを、収集したエビデンスを評価、コントロールの実装をテスト、および実装日とテスト結果を記録するコンプライアンス責任者に、コンプライアンス マネージャーで再度割り当てることができます。詳細については、記事の「評価プロセスの管理」セクションを参照してください。

ここでは、Office 365 と GDPR の評価の [デザインと既定によるデータ保護] コントロール ファミリにおける顧客管理のコントロールの例を紹介します。

コンプライアンス マネージャーの評価のコントロール - 吹き出し
  1. 顧客管理のコントロールにマップされる証明書または規制の次の情報を指定します。

    • コントロール ID   顧客管理のコントロールがマップされる標準または規制の条項番号。

    • タイトル   対応する標準または規制のタイトル。

    • アーティクル ID   このフィールドは、対応する GDPR の条項番号を指定するので、GDPR の評価のためにのみ含まれています。

    • 説明   選択した Microsoft 管理のコントロールにマップされる標準または規制の説明。

  2. コントロールのコンプライアンス スコア。ユーザーが管理する各コントロールに関連付けられる (違反またはコントロールの失敗による) リスクのレベルを示します。詳細については、「コンプライアンス スコアの概要」を参照してください。コンプライアンス スコアは 1 から 10 段階で評価され、色分けされています。黄色はリスクの低いコントロール、オレンジは中程度のリスクのコントロール、赤は高いリスクのコントロールを示します。

  3. 関連するユーザー コントロールの一覧と、証明書または規制の対応する条項番号。関連するコントロール/条項をクリックすると、関連するコントロールに関する詳細情報が表示されます。

  4. コントロールは、コントロールの実装、実装のテスト、またはその両方を行うユーザーに割り当てることができます。ユーザーにコントロールを割り当てると、推奨される顧客アクションを含むメール通知を送信できます。ユーザーは、コンプライアンス マネージャーの [アクション アイテム] ダッシュボードから、割り当てられているすべての顧客管理のコントロールの一覧にアクセスできます。管理者は、[ドキュメントの管理] をクリックして、コントロールの実装とテストに関連するドキュメントをアップロードすることもできます。評価ユーザーとドキュメント管理の詳細については、「評価プロセスの管理」を参照してください。

  5. 実装の [状態] と [日付] は、組織の実装の進行状況を追跡するために使用できます。具体的には、[実装なし]、[実装済み]、[別の実装]、[計画済み]、[対象範囲外] という状態値があります。

  6. [テスト日] フィールドと [テスト結果] フィールドは、評価担当者が、テスト結果とコントロールがテストされた日付を指定するために使用されます。

  7. 各コントロールの [詳細] をクリックすると、コントロールを実装するために推奨される顧客アクションと、実装の詳細、テスト計画の詳細、実装とテスト計画に対する反応を入力できるフィールドが表示されます。

先頭に戻る

既定では、Office 365 または Azure AD アカウントを持つ組織のすべてのユーザーがコンプライアンス マネージャーにアクセスでき、コンプライアンス マネージャーでアクションを実行できます。既定の権限からロール ベースのアクセス制御モデルに変更するには、少なくとも 1 人のユーザーが各コンプライアンス マネージャー ロールに追加されている必要があります (以下の手順を参照してください)。ユーザーがロールに追加されると、すべてのユーザーにある既定の権限セットから、そのロールに割り当てられたアクションを実行する権限が削除され、そのロールをプロビジョニングされたユーザーのみが、コンプライアンス マネージャーにアクセスでき、そのロールで許可されたアクションを実行できます。

ロール ベースのアクセスを実装すると、定義済みのコンプライアンス マネージャーのロールに割り当てられていないユーザーにはゲスト アクセスが与えられます。

注: ロール ベースのアクセス制御を完全に実装して、アクセスできるユーザーおよびコンプライアンス マネージャーでアクションを実行できるユーザーを管理するには、各ロールにユーザーを追加し、既定の権限を変更する必要があります。たとえば、ユーザーを、ユーザーが評価を管理できるロールに追加すると、そのロールのメンバーのみが評価を管理できます。同様に、ユーザーを、ユーザーが評価のデータを読み取ることができるロールに追加しない場合は、組織内のすべてのユーザーがコンプライアンス マネージャーにアクセスでき、評価内のデータを読み取ることができます。

以下の表では、各コンプライアンス マネージャー権限と、そのユーザーに許可されている操作について説明しています。また、この表は、各権限が割り当てられるロールも示しています。

コンプライアンス マネージャー リーダー

コンプライアンス マネージャー投稿者

コンプライアンス マネージャー評価者

コンプライアンス マネージャー管理者

ポータル管理者

データの読み取り      ユーザーはデータを読み取ることができますが、編集はできません。

チェック マーク

チェック マーク

チェック マーク

チェック マーク

チェック マーク

データの編集      ユーザーは [テスト結果] および [テスト日] フィールドを除くすべてのフィールドを編集できます。

チェック マーク

チェック マーク

チェック マーク

チェック マーク

テスト結果の編集      ユーザーは [テスト結果] および [テスト日] フィールドを編集できます。

チェック マーク

チェック マーク

チェック マーク

評価の管理      ユーザーは、評価を作成、アーカイブ、および削除できます。

チェック マーク

チェック マーク

ユーザーの管理      ユーザーは、組織内の他のユーザーをリーダー、投稿者、評価者、管理者のロールに追加できます。組織内でグローバル管理者ロールを持つユーザーのみが、ポータル管理者ロールにユーザーを追加したり、削除したりすることができます。

チェック マーク

ゲスト アクセス

コンプライアンス マネージャーのアクセス権を構成すると、プロビジョニングされたロールがないユーザーは既定でゲスト アクセスに入ります (これは、個人用の Microsoft アカウントのようなプロビジョニングされた非組織アカウントでも同じです)。 ゲスト アクセスのユーザーはコンプライアンス マネージャーのすべての機能にはアクセスできず、組織のコンプライアンス評価データを表示できません。ただし、コンプライアンス マネージャーを使用して、Microsoft のコンプライアンス評価レポートと Service Trust ドキュメントを表示できます。 アクセスできるものとアクセスできないものの実例については、次の図を参照してください。アクセスできる機能は青で描かれ、アクセスできない機能は赤で描かれています。

コンプライアンス マネージャー ダッシュボード - ゲストのアクセス機能の操作性

コンプライアンス マネージャー - ゲストのグラフィックへのアクセス

先頭に戻る

コンプライアンス マネージャーのダッシュボードでは、各証明書の評価の合計スコアがタイルの右上隅に表示されます。 これは、評価のコンプライアンス スコアの総計で、今までに実装およびテストされた各コントロールの評価で獲得したポイントの累計です。 初めて評価を追加したときに、コンプライアンス スコアの合計が既にある程度完了していることがわかります。これは、Microsoft 管理のコントロールのポイントがコンプライアンス スコアに既に適用されているためです。これらのコントロールは Microsoft クラウド サービスのすべてに対して正常に実装およびテストされています。

コンプライアンス マネージャー ダッシュボード - コンプライアンス スコアの合計

残りのポイントは、成功した顧客コントロール評価、および顧客管理のコントロールの実装とテストから獲得されます。このそれぞれに、コンプライアンス スコアの合計に対する特定のポイントがあります。  

各評価にはリスクベースのコンプライアンス スコアが表示されます。このスコアは、評価の各コントロール (Microsoft 管理のコントロールと顧客管理のコントロールを含む) に関連するリスクのレベル (コンプライアンス違反またはコントロールの失敗によるリスク) を評価するために役立ちます。 各顧客管理のコントロールには、獲得できる可能性があるポイント数 (重大度ランキングと呼ばれます) が 1 から 10 のスケールで割り当てられます。ここでは、コントロールが失敗した場合、より高いリスク要因に関連するコントロールには、より多くのポイントが付与され、リスクの低いコントロールは少ないポイントが付与されます。

たとえば、以下に示すユーザー アクセスの管理評価コントロールは、非常にリスクが高いランクに属し、値 10 が割り当てられています。

コンプライアンス マネージャー - 評価のコントロール重大度が高い - スコア 10

 対照的に、以下に示す情報のバックアップ評価コントロールは、リスクが低いランクに属し、値 3 が割り当てられています。

コンプライアンス マネージャー - 評価のコントロール重大度が低い - スコア 3

コンプライアンス マネージャーでは、各コントロールに既定の重大度ランキングが割り当てられます。リスク ランキングは、以下の基準に基づいて算出されています。

  • コントロールによってインシデントの発生が防止されるか (最高ランク)、発生したインシデントが検出されるか、またはインシデントの影響を修正するか (最低ランク)。重大度のランキングの点では、脅威を防止し、必須であるコントロールには最高のポイント数が割り当てられます。(必須か任意かに関わらず) 検出または修正のコントロールには最も低いポイント数が割り当てられます。

  • (実装後に) これらのコントロールが必須で、ユーザーがバイパスすることができないか (たとえば、パスワードをリセットし、パスワードの長さと文字の要件を満たす必要があるなど)、任意で、ユーザーがバイパスすることができるか (たとえば、コンピューターのそばを離れるときに画面をロックするようにユーザーに要求するビジネス ルールなど)。

  • データの機密性、整合性、および可用性、これらのリスクが内部と外部の脅威のどちらに由来するか、および悪意がある脅威か偶発的な脅威かに関連するコントロール。たとえば、外部の攻撃者がネットワークに侵入し、個人を特定できる情報にアクセスすることを防ぐコントロールには、従業員がネットワーク ルーターの設定を誤って構成してネットワークを停止させる問題を防ぐことに関連するコントロールよりも多くのポイントが割り当てられます。

  • 各コントロールの契約、規制、公約などの法的および外的要因に関連するリスク。

コントロールに表示されているコンプライアンス スコアの値は、合格/不合格に基づき (コントロールを実装し、その後の評価テストに合格するかしないか) 全体としてコンプライアンス スコアの合計に適用されます。一部の実装に対して一部が加算されることはありません。 コントロールの実装状態が [実装済み] または [別の実装] に設定され、テスト結果が [合格] に設定されている場合、割り当てられたポイントがコンプライアンス スコアの合計に追加されます。  

最も重要な点は、コンプライアンス スコアを使用すると、コントロールに関連する障害が発生した場合にリスクがより高くなる可能性があるコントロールがわかるので、実装に重点を置くコントロールの優先順位を付けやすくなることです。 リスクベースの優先順位付けだけでなく、評価コントロールが他のコントロール (同じ評価内または同じ評価グループの別の評価内のいずれか) に関連する場合、1 つのコントロールを正常に完了すると、コントロールのテスト結果が同期して、作業が大幅に削減される可能性があるという点も重要です。

たとえば、次の図の Office 365 - GDPR の評価では現在 46% が評価済みです。つまり、111 個のコントロール評価のうち 51 個が完了し、コンプライアンス スコアの合計は獲得できる 600 のうち 289 です。

コンプライアンス マネージャー - 評価の概要

評価内で、GDPR コントロール 7.5.5 は他の 5 つのコントロール (7.4.1、7.4.3、7.4.4、7.4.8、および 7.4.9) に関連しており、それぞれが中から高のリスク ランク スコアの 6 または 8 が設定されています。 評価のフィルターを使用して、これらのコントロールのすべてを選択し、評価ビューに表示したため、次の図でいずれも評価されていないことがわかります。    

コンプライアンス マネージャー - 評価ビュー - フィルター コントロール、評価なし これら 6 つのコントロールは関連しているので、いずれか 1 つを完了すると、この評価内の関連するコントロール間でテスト結果が同期されます (同じ評価グループ内にある評価内の関連するコントロールでも同様です)。GDPR コントロール 7.5.5 の実装とテストが完了すると、コントロールの詳細領域が更新されて、6 つのコントロールすべてが評価されたことが表示されます。このとき、対応する数値が加算されて、評価されたコントロールの数が 57 になり、51% が評価済みとなっています。また、コンプライアンス スコアの合計が +40 変更されています。

コンプライアンス マネージャーの評価ビュー - コントロール結果を同期済み

関連する他のコントロールに影響を与えるコントロールの実装状態を変更しようとすると、この更新の確認ダイアログ ボックスが表示されます。

コンプライアンス マネージャーの評価 - 関連コントロールの更新確認のダイアログ ボックス

注: 現在、Office 365 クラウド サービスの評価にのみ、コンプライアンス スコアが含まれています。Azure と Dynamics の評価には、評価の状態が表示されます。

先頭に戻る

新しい評価を作成すると、新しいグループを作成して評価を割り当てるか、既存のグループに評価を割り当てるかの選択が求められます。グループを使用すると、評価を論理的に整理し、同じまたは関連する顧客管理のコントロールを持つ評価間で共通の情報やワークフロー タスクを共有できます。

たとえば、年ごとや、組織内のチーム、部門、機関ごと、またはそれらを年ごとにグループ化することができます。グループとその中に含まれる可能性のある評価の例を次に示します。

  • GDPR 評価 - 2018

    • Office 365 + GDPR

    • Azure + GDPR

    • Dynamics + GDPR

  • Azure 評価 - 2018

    • Azure + GDPR

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

  • データ セキュリティとプライバシーの評価

    • Office 365 + ISO 27001:2013

    • Office 365 + ISO 27018:2014

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

ヒント: 組織のグループ化戦略を決めてから、新しい評価を追加することをお勧めします。

評価をグループ化するための要件を次に示します。

  • グループ名 (グループ ID とも呼ばれます) は組織内で一意にする必要があります。

  • グループには同じ証明書/規制の評価を含めることができますが、個々のグループには、特定のクラウド サービス/証明書ペアの評価を 1 つのみ含めることができます。たとえば、1 つのグループに Office 365 と GDPR の 2 つの評価を含めることはできません。同様に、各クラウド サービスの対応する証明書/規制が異なる限り、1 つのグループに同じクラウド サービスに対する複数の評価を含めることができます。

評価グループに評価を追加すると、そのグループを変更することはできません。評価グループの名前は変更できます。これにより、そのグループに関連付けられているすべての評価の評価グループ名が変更されます。新しい評価と新しい評価グループを作成し、既存の評価から情報をコピーすることができます。これにより、その評価の複製が別の評価グループに効率よく作成されます。評価をアーカイブすると、その評価と評価グループ間のリレーションシップが切れるため、それ以降、関連する他の評価を更新しても、アーカイブした評価には反映されません。

前述のように、グループを使用することの重要な利点の 1 つは、同じグループ内の 2 つの異なる評価が同じ顧客管理のコントロールを共有しているので (つまり、各コントロールで顧客アクションが同じになるので)、1 つの評価のコントロールに関する実装の詳細、テスト情報、および状態のすべてが、同じグループに含まれる他の評価の同じコントロールに同期されます。言い換えると、評価が同じコントロールを共有し、それらの評価が同じグループにある場合、コントロールの評価プロセスを 1 つの評価で管理するだけで済みます。このコントロールの結果は自動的に他の評価に同期されます。たとえば、ISO 27001 と ISO 27018 のどちらにもパスワード ポリシーに関連するコントロールがあります。両方の評価が同じ評価グループにある場合、一方の評価でコントロールのテスト状態が "合格" に設定されると、そのコントロールは他方の評価でも更新されます ("合格" とマークされます)。

この例として、Office 365 - GDPR 評価内のコントロール 6.10.1.2 と Office 365 - NIST 800-53 評価内のコントロール SC-13 の 2 つの関連する評価コントロールについて考えてみます。それぞれがパブリック ネットワークでデータの暗号化を処理する必要があります。これらは、2 つの異なる評価内の関連する評価コントロールで、両方とも既定のグループ内にあります。これら 2 つの評価が表示された次のコンプライアンス マネージャー ダッシュボードで示されるように、初めは、どちらの評価でも顧客コントロール評価が完了していません。

コンプライアンス マネージャー ダッシュボード - グループ化された評価 - 以前

Office 365 - GDPR 評価をクリックして、フィルター コントロールを使用し、GDPR コントロール 6.10.1.2 を表示します。関連コントロールとして、NIST 800-53 コントロール SC-13 が表示されていることがわかります。

コンプライアンス マネージャーの評価 - 共有コントロール

 ここでは、GDPR コントロール 6.10.1.2 の実装とテストが完了していることが示されています。 

コンプライアンス マネージャーの評価のコントロール GDPR 6.10.1.2 - パス

グループ化された評価内の関連コントロールに移動すると、NIST 800-53 SC-13 も同じ日時で完了済みとマークされていることがわかります。その他の実装やテストの作業は必要ありません。

コンプライアンス マネージャーの評価 - NIST 800-53 SC(13) 完了

ダッシュボードに戻ると、各評価で 1 つのコントロール評価が完了しており、各評価のコンプライアンス スコアの合計が 8 (その共有コントロールのコンプライアンス スコア値) 加算されていることがわかります。

コンプライアンス マネージャー ダッシュボード - グループ化された評価の進捗状況の同期

先頭に戻る

管理機能

テナント管理者アカウントでのみ使用できる固有の管理機能があり、グローバル管理者としてログインした場合にのみ表示されます。

注: 管理者はドロップダウン リストの [制限付きドキュメントへのアクセス] アクセス許可を使用して、Microsoft が Service Trust Portal で共有する制限付きドキュメントへのアクセスをユーザーに許可できます。制限付きドキュメントの機能は現在使用できませんが、近日中にリリースされる予定です。

コンプライアンス マネージャーの各ロールのアクセス権は、少し異なります。Service Trust Portal を使用すると、各ロールに割り当てられているアクセス権を表示したり、どのユーザーがどのロールに属しているかを確認したり、ロールに対するユーザーの追加または削除を行ったりすることができます。これを実行するには、[管理] メニュー項目を選択し、[設定] を設定します。

STP 管理メニュー - 設定を選択済み

コンプライアンス マネージャーのロールに対してユーザーを追加または削除するには、次の手順を実行します。

  1. https://servicetrust.microsoft.com に移動します。

  2. Azure Active Directory のグローバル管理者アカウントでサインインします。

  3. Service Trust Portal トップ メニュー バーで、[管理] を選択してから、[設定] を選択します。

  4. [ロールの選択] ドロップダウン リストで、管理するロールをクリックします。

  5. 各ロールに追加されたユーザーは、[ロールの選択] ページに一覧表示されます。

  6. このロールにユーザーを追加するには、[追加] をクリックします。[ユーザーの追加] ダイアログ ボックスで [ユーザー] フィールドをクリックします。使用可能なユーザーの一覧をスクロールしたり、ユーザー名に入力し、検索語句に基づいて一覧をフィルター処理したりすることができます。そのロールでプロビジョニングするには、ユーザー名をクリックして、[ユーザーの追加] 一覧にそのアカウントを追加します。同時に複数のユーザーを追加する場合は、ユーザー名の入力を開始して、一覧をフィルター処理し、ユーザーをクリックして一覧にユーザーを追加します。選択したロールをそれらのユーザーにプロビジョニングするには、[保存] をクリックします。

    コンプライアンス マネージャー - プロビジョニングの役割 - ユーザーの追加

  7. このロールからユーザーを削除するには、ユーザーを選択し、[削除] をクリックします。

    コンプライアンス マネージャー - プロビジョニングの役割 - ユーザーの削除

先頭に戻る

コンプライアンス マネージャーの使用

コンプライアンス マネージャーでは、コンプライアンスおよび評価関係のアクティビティを割り当て、追跡、および記録するためのツールが提供されます。これは、組織がチームの障壁を超えて組織のコンプライアンス目標を達成するのに役立ちます。

コンプライアンス マネージャー ダッシュボード - トップ メニュー - 管理者メニューを更新

先頭に戻る

コンプライアンス マネージャーには Service Trust Portal からアクセスします。Microsoft アカウントまたは Azure Active Directory の組織アカウントを持つすべてのユーザーがコンプライアンス マネージャーにアクセスできます。

コンプライアンス マネージャー - STP メニューからコンプライアンス マネージャーへのアクセス

  1. https://servicetrust.microsoft.com に移動します。

  2. Azure Active Directory (Azure AD) ユーザー アカウントでサインインします。

  3. Service Trust Portal で、[コンプライアンス マネージャー] をクリックします。

  4. 機密保持契約が表示されたら、それを読んでから、[同意] をクリックして続行します。これを実行する必要があるのは 1 回だけです。クリックすると、コンプライアンス マネージャー ダッシュボードが表示されます。

  5. 作業を開始できるように、既定で以下の評価を追加しました。

    コンプライアンス マネージャーでの既定の評価

    HIPAA、NIST 800-53、NIST 800-171 の評価を作成することもできます。

    • Office 365 および GDPR (EU データ保護規則)

    • Office 365 および ISO 27001:2013 (情報セキュリティ標準)

    • Office 365 および ISO 27018:2014 (個人を特定できる情報または PII のデータ保護)

    • Azure および ISO 27001:2013

    • Azure および ISO 27018:2014

  6. コンプライアンス マネージャーのショート ツアーを開始するには、 コンプライアンス マネージャーのヘルプ アイコン [ヘルプ] をクリックします。

先頭に戻る

コンプライアンス マネージャーには、割り当てられているすべてのコントロール評価アクション アイテムが表示される便利なビューが用意されているため、迅速かつ簡単にアクション アイテムを実行できます。すべてのアクション アイテムを表示したり、特定の証明書に対応するアクション アイテムを選択したりすることができます。これを実行するには、その評価に関連するタブをクリックします。 たとえば、次の図では [GDPR] タブが選択されており、その GDPR 評価に関連するコントロールが表示されています。

コンプライアンス マネージャー - アクション アイテム リストの複数のタブ GDPR を選択済み

アクション アイテムを表示するには、次の手順を実行します。

  1. コンプライアンス マネージャー ダッシュボードに移動します。

  2. [アクション アイテム] リンクをクリックすると、ページが更新されて、割り当てられているアクション アイテムが表示されます。

  3. 既定では、すべてのアクション アイテムが表示されます。複数の証明書にアクション アイテムがある場合は、評価コントロールの上部のタブに証明書の名前が表示されます。特定の証明書のアクション アイテムを表示するには、そのタブをクリックします。

先頭に戻る

コンプライアンス マネージャー に評価を追加する方法:

  1. コンプライアンス マネージャー ダッシュボードで、 [追加] アイコン [評価の追加] をクリックします。

  2. [評価の追加] ウィンドウでは、新しいグループを作成して評価を追加するか、既存のグループに評価を追加することができます (組み込みのグループ名は "初期グループ" です)。選択したオプションに応じて、新しいグループの名前を入力するか、ドロップダウン リストから既存のグループを選択します。詳細については、「評価のグループ化」を参照してください。

    新しいグループを作成する場合、既存のグループの情報を新しい評価にコピーすることもできます。つまり、コピー元のグループの評価の [実装の詳細] フィールドと [テスト計画と管理の反応] フィールドに追加されたすべての情報が、新しい評価の同じ (または関連する) 顧客管理のコントロールにコピーされます。既存のグループに新しい評価を追加する場合、そのグループの評価の共通する情報が新しい評価にコピーされます。詳細については、「既存の評価から情報をコピーする」を参照してください。

  3. [次へ] をクリックし、次の手順を実行します。

    • Microsoft クラウド サービスを選択して、[製品の選択] ドロップダウン リストからコンプライアンスを評価します。

    • [証明書の選択] ドロップダウン リストから、選択したクラウド サービスを評価する証明書を選択します。

  4. [ダッシュボードに追加] をクリックして、評価を作成します。評価は、既存のタイルの一覧の末尾に新しいタイルとしてコンプライアンス マネージャー ダッシュボードに追加されます。

    コンプライアンス マネージャーダッシュボードの評価タイルには、評価グループ、評価の名前 (サービス名と選択した証明書を組み合わせて自動的に作成されます)、作成日と最終変更日、コンプライアンス スコアの合計 (実装、テストして合格した割り当て済みコントロールのリスク値すべての合計)、および評価されたコントロールの数が表示される進捗状況インジケーター (下部) が表示されます。

  5. 評価名をクリックして評価を開き、評価の詳細を表示します。

  6. [アクション] メニューをクリックして、割り当てられたアクション アイテムの表示、評価のグループの名前の変更、評価レポートのエクスポート、または評価のアーカイブを行います。

コンプライアンス マネージャー - 評価のタイル

先頭に戻る

前述のように、新しい評価グループを作成する場合、既存のグループの評価から新しいグループの新しい評価に情報をコピーすることができます。そのため、完了した評価とテストの作業を、新しい評価の同じ顧客管理のコントロールに適用することができます。たとえば、組織内のすべての GDPR に関連する評価のグループがある場合、グループに新しい評価を追加するときに、既存の評価作業から共通の情報をコピーできます。

ユーザーの次の情報を新しい評価にコピーすることができます。

  • 評価ユーザー。評価ユーザーは、コントロールが割り当てられているユーザーです。

  • 状態、テスト日、テスト結果。

  • 実装の詳細とテスト計画の情報。

同様に、同じ評価グループ内の共有顧客管理のコントロールの情報も同期されます。また、同じ評価内の関連する顧客管理のコントロールの情報も同期されます。

先頭に戻る

  1. 表示する評価に対応する評価タイルを見つけてから、評価名をクリックして開くと、その評価に関連付けられた Microsoft 管理のコントロールと顧客管理のコントロールが、評価の範囲内のクラウド サービスの一覧と共に表示されます。Office 365 と GDPR の評価の例を次に示します。

    コンプライアンス マネージャーの評価ビュー - 吹き出し付きの全面表示

    1. このセクションには、評価のグループの名前、製品、評価名、評価コントロールの数など、評価の概要情報が表示されます。

    2. このセクションには、評価フィルター コントロールが表示されます。評価フィルター コントロールを使用する方法の詳細については、「評価プロセスの管理」セクションを参照してください。

    3. このセクションには、評価の範囲内の個々のクラウド サービスが表示されます。

    4. このセクションには、Microsoft 管理のコントロールが含まれます。関連するコントロールは、コントロール ファミリー別に整理されます。コントロール ファミリーをクリックして展開すると、個々のコントロールが表示されます。

    5. このセクションには、顧客管理のコントロールが含まれます。これもコントロール ファミリー別に整理されます。コントロール ファミリーをクリックして展開すると、個々のコントロールが表示されます。

    6. コントロール ファミリのコントロールの合計数と、評価されているコントロールの数が表示されます。コンプライアンス マネージャー の重要な機能は、顧客管理のコントロールの評価の組織の進捗状況を追跡することです。詳細については、「コンプライアンス スコアの概要」セクションを参照してください。

先頭に戻る

最初、評価ユーザーは評価の作成者だけです。顧客管理の各コントロールについて、組織内のユーザーにアクション アイテムを割り当て、そのユーザーが推奨される顧客アクションの実行およびエビデンスの収集およびアップロードが可能な評価ユーザーになるようにすることができます。アクション アイテムを割り当てると、推奨される顧客アクションとアクション アイテムの優先度などの詳細を含むメールをそのユーザーに送信するように選択することができます。メール通知には、[アクション アイテム] ダッシュボードへのリンクが含まれます。このダッシュボードでは、そのユーザーに割り当てられたすべてのアクション アイテムが一覧表示されます。

ここでは、コンプライアンス マネージャーのワークフロー機能を使用して実行できるタスクを一覧表示しています。

吹き出し付きのコンプライアンス マネージャーの評価のワークフロー
  1. フィルター オプションを使用して特定の評価コントロールを見つける   コンプライアンス マネージャーには、フィルター オプションが用意されています。これにより、評価コントロールを表示するための詳細な選択基準が与えられるため、コンプライアンス作業の特定の領域を正確に対象とすることができます。  

    フィルター オプション コントロールの表示/非表示を切り替えるには、ページの右側にあるじょうごアイコンをクリックします。これらのコントロールを使用すると、フィルター条件を指定できるため、条件を満たす評価コントロールだけが下部に表示されます。 コンプライアンス マネージャーの評価のフィルター コントロール

    • 条項 - 条項名をフィルター処理し、その条項に関連付けられている評価のコントロールを返します。たとえば、"条項 (5)" と入力すると、名前にその文字列が含まれる条項の選択リストが返されます (条項 (5)(1)(a)、条項 (5)(1)(b)、条項 (5)(1)(c) など)。条項 (5)(1)(c) を選択すると、条項 (5)(1)(c) に関連付けられているコントロールが返されます。これは、OR 演算子を複数の値と共に使用する複数選択フィールドです。たとえば、条項 (5)(1)(a) を選択してから、条項 (5)(1)(c) を追加すると、条項 (5)(1)(a) または条項 (5)(1)(c) に関連付けられているコントロールが返されます。

      コンプライアンス マネージャーの評価ビュー - 記事名でフィルター処理

    • コントロール - フィルターに一致する名前を持つコントロールのリストを返します。つまり、7.3 と入力すると、7.3.1、7.3.4、7.3.5 などの項目の選択リストが返されます。これは、OR 演算子を複数の値と共に使用する複数選択フィールドです。たとえば、7.3.1 を選択してから、7.3.4 を追加すると、7.3.1 または 7.3.4 に関連付けられているコントロールが返されます。

      コンプライアンス マネージャーの評価ビュー - フィルター コントロールの複数選択

    • 割り当てられているユーザー - 選択したユーザーに割り当てられているコントロールのリストを返します。

    • 状態 - 選択した状態のコントロールのリストを返します。

    • テスト結果 - 選択したテスト結果を持つコントロールのリストを返します。

    フィルター条件を適用すると、フィルター条件に応じて、該当するコントロールの表示が変更されます。 コントロール ファミリ セクションを展開すると、コントロールの詳細が下に表示されます。  

    コンプライアンス マネージャーの評価ビュー - 記事の結果をフィルター処理

  2. 目的のフィルターを選択しても、結果が表示されない場合は、指定したフィルター条件に対応するコントロールがないことを意味します。たとえば、特定の [割り当てられているユーザー] を選択してから、そのユーザーに割り当てられているコントロールに対応しない [コントロール] 名を選択すると、ページの下に評価が表示されません。

  3. ユーザーへのアクション アイテムの割り当て     アクション アイテムをユーザーに割り当てて、証明書/規則の要件を実装したり、組織の実装要件をテスト、検証、および文書化したりすることができます。アクション アイテムを割り当てると、推奨される顧客アクションとアクション アイテムの優先度などの詳細を含むメールをそのユーザーに送信するように選択することができます。アクション アイテムの割り当てを解除したり、別のユーザーに再割り当てしたりすることもできます。

  4. ドキュメントの管理   顧客管理のコントロールには、タスクの実装、タスクのテストおよび検証に関連するドキュメントを管理する場所もあります。コンプライアンス マネージャーでデータを編集する権限を持つすべてのユーザーは、[ドキュメントの管理] をクリックすることでドキュメントをアップロードできます。ドキュメントのアップロード後、[ドキュメントの管理] をクリックしてファイルを表示およびダウンロードできます。

  5. 実装およびテスト詳細の入力   すべての顧客管理のコントロールには、証明書/規則の要件を満たしたり、組織がそれらの要件を満たす方法を検証および文書化したりするため、組織によって実行される手順を文書化した実装の詳細をユーザーが追加するための編集可能なフィールドがあります。

  6. ステータスの設定   評価プロセスの一環として、各アイテムにステータスを設定します。利用可能なステータスの値は、[実装済み]、[別の実装]、[計画済み]、および [スコープ外] です。

  7. テスト日とテスト結果の入力   コンプライアンス マネージャー評価者ロールのユーザーは、適切なテストが実施されたことを検証し、実装の詳細、テスト計画、テスト結果、およびアップロードされたエビデンスをレビューし、[テスト日] および [テスト結果] を設定します。使用可能なテスト結果の値は、[合格]、[不合格 - リスク低]、[不合格 - リスク中]、および [不合格 - リスク高] です。

先頭に戻る

組織内で評価プロセスに関与しているユーザーは、コンプライアンス マネージャーを使用して、使用するすべての評価からユーザー管理のコントロールをレビューすることができます。ユーザーがコンプライアンス マネージャーにサインインし、[アクション アイテム] を開くと、割り当てられているアクション アイテムのリストが表示されます。ユーザーに割り当てられているコンプライアンス マネージャー ロールによっては、実装またはテストの詳細を入力したり、ステータスを更新したり、アクション アイテムを割り当てたりすることができます。

証明書のコントロールの実装とテストは、一般的に異なるユーザーによって行われるため、初めは実装を行うユーザーにコントロールのアクション アイテムを割り当てることができます。実装が完了すると、そのユーザーはコントロールのテストとエビデンスのアップロードを行う次のユーザーにコントロールのアクション アイテムを再割り当てすることができます。このコントロール アクションの割り当て/再割り当ては、コンプライアンス マネージャー ロールと十分なアクセス許可を持つユーザーが実行できるため、コントロール割り当ての集中管理や、必要に応じて実装者からテスト担当者へのコントロール アクション アイテムの分散ルーティングが可能になります。

アクション アイテムの割り当て

  1. コンプライアンス マネージャーのダッシュボードで、操作する評価の評価タイルを見つけて、評価の名前をクリックし、評価の詳細ページに移動します。

  2. [フィルター] ボタンをクリックし、フィルター コントロールを使用して、割り当てる評価コントロールを見つけることができます。または、

  3. 顧客管理のコントロール セクションまで下にスクロールし、コントロール ファミリを展開し、割り当てる評価が見つかるまで、評価コントロールのリストをスクロールします。

  4. [割り当てられているユーザー] 列で、青色の [割り当て] ボタンをクリックします。

  5. [アクション アイテムの割り当て] ダイアログ ボックスで、[割り当て先] フィールドをクリックして、アクションを割り当てることができるユーザーのリストを設定します。リストをスクロールしてターゲット ユーザーを見つけるか、ユーザー名を検索するフィールドの入力を開始することができます。

  6. このアクション アイテムを割り当てるユーザーをクリックします。

  7. ユーザーにメール通知を送信する場合は、[メール通知を送信する] チェック ボックスがオンになっていることを確認します。

  8. そのユーザーに表示するノートを入力し、[割り当て] をクリックします。

  9. ユーザーは、アクション アイテムの割り当てに関する通知と入力されたノートを受け取ります。

アクション アイテムに関連付けられているノートは、[ノート] セクションに保存されるため、次にアクション アイテムを割り当てるときに使用できます。これらのノートは読み取り専用ではないため、アクション アイテムを割り当てるユーザーが編集、置換、削除できます。

先頭に戻る

評価を Excel ファイルにエクスポートすることができます。これは、組織内のコンプライアンス関係者がレビューでき、監査人や規制機関に提供できます。この評価レポートは、レポートを作成した日時における評価のスナップショットです。これには、その評価の Microsoft 管理のコントロールと顧客管理のコントロールの両方の詳細 (コントロールの実装状態、コントロールのテスト日、テストの結果など)、およびアップロードされたエビデンスのドキュメントへのリンクが含まれています。評価をアーカイブする前に、評価レポートをエクスポートすることをお勧めします。これは、アーカイブされた評価にはアップロードされたドキュメントへのリンクが保持されていないからです。

評価レポートをエクスポートするには、次の手順を実行します。

  1. コンプライアンス マネージャーのダッシュボードで、エクスポートする評価のタイルの [アクション] リンクをクリックし、[Excel にエクスポート] を選択します。または、

  2. 評価の詳細ページを表示している場合は、[Excel にエクスポート] ボタンをクリックします。これは、評価のコンプライアンス スコアの上のページの右上隅にあります。

評価レポートは、ブラウザー セッションでダウンロードされます。ダウンロードを通知するポップアップが表示されない場合は、ブラウザーのダウンロード フォルダーを確認することができます。

先頭に戻る

評価が完了し、コンプライアンスの目的では不要になった場合、評価をアーカイブできます。評価をアーカイブすると、評価ダッシュボードから削除されます。

注: 評価がアーカイブされると、"アーカイブを解除" したり、読み取り/書き込みの進行中の状態に復元したりすることはできません。 アーカイブされた評価は、エビデンス ドキュメントをアップロードするリンクを保持しないことに注意してください。このため、アーカイブする前に評価のエクスポートを実行することを強くお勧めします。エクスポートした評価レポートには、エビデンス ドキュメントへのリンクが含まれているため、アクセスし続けることができます。

評価をアーカイブするには、次の手順を実行します。

  1. 目的の評価のダッシュボード タイルで、[アクション] ボタンをクリックします。

  2. [評価のアーカイブ] を選択します。

  3. [評価のアーカイブ] ダイアログ ボックスが表示され、この評価をアーカイブすることを確認されます。

  4. アーカイブを続行するには、[アーカイブ] をクリックし、アーカイブしない場合は、[キャンセル] をクリックします。

アーカイブした評価を表示するには、次の手順を実行します。

  1. コンプライアンス マネージャーのダッシュボードで、[アーカイブ済みを表示] チェック ボックスをオンにします。

  2. アーカイブされた評価は、[アーカイブされた評価] というタイトルが付いたバーの下の残りのアクティブな評価の下にある新しく表示されたセクションに表示されます。

  3. 表示する評価の名前をクリックします。

  4. アーカイブした評価を表示しても、通常は編集できるコントロール (実装、テスト結果など) はアクティブにならず、[管理対象ドキュメント] ボタンもありません。

先頭に戻る

顧客管理のコントロールの変更ログ

コンプライアンス マネージャーは、規制要件の変更および Microsoft のクラウド サービスの変更に常に対応するために定期的に更新される設計になっています。これらの更新プログラムには、顧客管理のコントロールに対する変更が含まれます。追加または変更されているコンテンツの詳細や、変更が既存の評価に及ぼす影響に関するガイダンスなど、そのような変更が及ぼす影響を理解するのに役立つ変更ログが用意されています。一般的に、次の 2 種類の変更があります。

  • メジャーの変更は、顧客アクションへの大きな変更です (番号付き手順の追加や削除、または責任、推奨事項、またはエビデンスに関するガイダンスの変更など)。 メジャーの変更については、影響を受けるコントロールの実装や評価を評価し直すことをお勧めします。

  • マイナーの変更は、顧客アクションへの小さな変更です (入力ミスの修正や書式設定の問題、またはハイパーリンクの更新や修正など)。 マイナーの変更では、一般にコントロールの再評価は必要ありませんが、更新された顧客アクションを確認することをお勧めします。

次の表は、顧客管理のコントロールに加えられた変更の詳細を提供します。 

Office 365 顧客管理のコントロール - 変更ログ 

影響を受けるコントロール

変更の説明と推奨事項

GDPR

HIPAA

ISO 27001

ISO 27018

NIST 800-53

NIST 800-171

変更の種類

変更の説明

お客様に推奨されるアクション

6.13.2

C.16.1.1

メジャー

以前は 6.12.1.1 という番号が付いていました。

推奨事項に詳細を追加しました。

コントロールの再評価: 顧客アクションの更新されたガイダンスを確認し、コントロールの実装と評価で推奨される手順に従います。

3.1.6

メジャー

監査の有効化と監査ログの検索を含むガイダンスに手順を追加しました。

顧客アクションの更新された推奨事項を確認します。

6.8.2

A.10.2

メジャー

以前は 6.7.2.9 という番号が付いていました。

ガイダンス、その他の推奨事項、アクション アイテムを更新しました。

コントロールの再評価: 顧客アクションの更新されたガイダンスを確認し、コントロールの実装と評価で推奨される手順に従います。

6.6.4

45 C.F.R. § 164.312(a)(2)(i)


45 C.F.R. § 164.312(d)

A.9.4.2

IA-2

3.5.1

メジャー

以前は 6.5.2.3 という番号が付いていました。

ガイダンス、その他の推奨事項、アクション アイテムを更新しました。

コントロールの再評価: 顧客アクションの更新されたガイダンスを確認し、コントロールの実装と評価で推奨される手順に従います。

6.13.1

45 C.F.R. § 164.308(a)(1)(i)

A.16.1

C.16.1

IR-4(a)

3.6.1

メジャー

以前は 6.12.1 という番号が付いていました。

ガイダンス、その他の推奨事項、アクション アイテムを更新しました。

コントロールの再評価: 顧客アクションの更新されたガイダンスを確認し、コントロールの実装と評価で推奨される手順に従います。

6.7

メジャー

以前は 6.6.1.1 という番号が付いていました。

ガイダンス、その他の推奨事項、アクション アイテムを更新しました。

コントロールの再評価: 顧客アクションの更新されたガイダンスを確認し、コントロールの実装と評価で推奨される手順に従います。

6.6.5

A.10.8

IA-3

3.5.2

メジャー

以前は 6.5.4.2 という番号が付いていました。

ガイダンス、その他の推奨事項、アクション アイテムを更新しました。

コントロールの再評価: 顧客アクションの更新されたガイダンスを確認し、コントロールの実装と評価で推奨される手順に従います。

6.15.1

メジャー

以前は 6.14.1.3 という番号が付いていました。

ガイダンス、その他の推奨事項、アクション アイテムを更新しました。

コントロールの再評価: 顧客アクションの更新されたガイダンスを確認し、コントロールの実装と評価で推奨される手順に従います。

AC-2(h)(2)

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

AC-2(7)(b)

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

AC-2(h)(1)

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

45 C.F.R. § 164.308(a)(5)(ii)(C)

AC-2(g)

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

AC-2(12)

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

45 C.F.R. § 164.312(b)

A.12.4.3

AU-2(d)

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

AC-2(4)

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

3.1.7

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

A.16.1.7

C.12.4.2, Part 2

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

AC-2(h)(3)

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

A.12.4.2

マイナー

監査ブレードを有効にするリンクを追加しました。

必要な操作はありません。

A.7.2.8

マイナー

コンテンツ検索ブレードと DSR ポータルへのリンクを追加しました。

必要な操作はありません。

45 C.F.R. § 164.308(a)(3)(ii)(C)

マイナー

監査ブレードを有効にするリンクと、Office 365 の管理者ロールへのリンクを追加しました。

必要な操作はありません。

5.2.1

マイナー

以前は 5.2.2 という番号が付いていました。

ガイダンス内の顧客の責任を明確にしました。

顧客アクションの更新された推奨事項を確認します。

6.11.1

45 C.F.R. § 164.312(e)(2)(ii)

A.10.1.1
A.10.1.2
A.18.1.5

C.10.1.1

SC-13

3.13.11

マイナー

以前は 6.10.1.2 という番号が付いていました。

入力ミスを修正しました。

必要な操作はありません。

7.5.1

マイナー

以前は A.7.4.1 という番号が付いていました。

入力ミスを修正しました。

必要な操作はありません。

A.8.2.3

3.1.3

マイナー

不要な文を削除しました。

必要な操作はありません。

45 C.F.R. § 164.308(a)(4)(i)

A.6.1.2

AC-5(a)

3.1.2
3.1.4

マイナー

ガイダンス、その他の推奨事項、アクション アイテムを更新しました。

顧客アクションの更新された推奨事項を確認します。

45 C.F.R. § 164.308(a)(7)(ii)(E)

RA-2(a)

マイナー

サービスのインポートのヘルプ トピックを更新して FWlink を使用しました。

必要な操作はありません。

次の表では、コンプライアンス マネージャーの GDPR 評価コントロール ID の変更内容を説明します。

GDPR 評価コントロール ID の変更の参照

以前のコントロール ID

新しいコントロール ID

5.2.2

5.2.1

5.2.3

5.2.2

5.2.4

5.2.3

6.1.1.1

6.2

6.10.1.2

6.11.1

6.10.2.5

6.11.2

6.11.1.2

6.12

6.12.1

6.13.1

6.12.1.1

6.13.2

6.12.1.5

6.13.3

6.14.1.3

6.15.1

6.14.2.1

6.15.2

6.14.2.3

6.15.3

6.2.1.1

6.3

6.3.2.2

6.4

6.4.3.1

6.5.2

6.4.3.2

6.8.1

6.4.3.3

6.5.3

6.5.2

6.6.1

6.5.2.1

6.6.2

6.5.2.2

6.6.3

6.5.2.3

6.6.4

6.5.4.2

6.6.5

6.6.1.1

6.7

6.7.2.7

6.8.1

6.7.2.9

6.8.2

6.8.1.4

6.9.1

6.8.4.1

6.9.3

6.8.4.2

6.9.4

6.9.2.1

6.10.1

6.9.2.3

6.10.2

A.7.1.1

7.2.1

A.7.1.2

7.2.2

A.7.1.3

7.2.3

A.7.1.4

7.2.4

A.7.1.5

7.2.5

A.7.1.6

7.2.6

A.7.1.7

7.2.7

A.7.2.1

7.3.1

A.7.2.10

7.3.9

A.7.2.11

7.3.10

A.7.2.2

7.3.2

A.7.2.3

7.3.3

A.7.2.4

7.3.4

A.7.2.5

7.3.5

A.7.2.6

7.3.6

A.7.2.7

7.3.7

A.7.2.8

7.3.8

A.7.3.1

7.4.1

A.7.3.10

7.4.10

A.7.3.2

7.4.2

A.7.3.3

7.4.3

A.7.3.4

7.4.4

A.7.3.5

7.4.5

A.7.3.6

7.4.6

A.7.3.7

7.4.7

A.7.3.8

7.4.8

A.7.3.9

7.4.9

A.7.4.1

7.5.1

A.7.4.2

7.5.2

A.7.4.3

7.5.3

A.7.4.4

7.5.4

A.7.4.5

7.5.5

B.8.1.1

8.2.1

B.8.1.2

8.2.2

B.8.1.3

8.2.3

B.8.1.4

8.2.4

B.8.1.5

8.2.5

B.8.1.6

8.2.6

B.8.2.1

8.3.1

B.8.3.1

8.4.1

B.8.3.2

8.4.2

B.8.3.3

8.4.3

B.8.4.1

8.5.1

B.8.4.2

8.5.2

B.8.4.3

8.5.4

B.8.4.4

8.5.5

B.8.4.5

8.5.3

B.8.4.6

8.5.6

B.8.4.7

8.5.7

B.8.4.8

8.5.8

先頭に戻る

関連項目

Office のスキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×