次の方法で共有


米国内収益サービスの発行 1075

米国内収益サービスパブリケーション 1075 の概要

内部収益サービスパブリケーション 1075 (IRS 1075) は、米国政府機関とそのエージェントが連邦税情報 (FTI) にアクセスして、ポリシー、プラクティス、およびコントロールを使用してその機密性を保護するためのガイダンスを提供します。 IRS 1075は、外部政府機関が保有するFTIの損失、侵害、または誤用のリスクを最小限に抑えることが目的です。 たとえば、FTI にアクセスする居住者や医療サービス機関の納税申告で FTI を処理する州歳入省には、その情報を保護するためのプログラムが必要です。

FTI を保護するために、IRS 1075 では、アプリケーション、プラットフォーム、データセンター サービスのセキュリティとプライバシーの制御が規定されています。 たとえば、FTI の適切な処理などのデータセンター アクティビティのセキュリティと、データセンター請負業者の監視を優先して、エントリを制限します。 FTI を受け取る政府機関がこれらの規制を確実に適用できるように、IRS は、これらの機関とその請負業者の定期的なレビューを含むセーフガード プログラムを確立しました。

Microsoft および米国内収益サービスパブリケーション 1075

Microsoft Azure GovernmentおよびMicrosoft Office 365米国政府機関のクラウド サービスは、適切な制御を行う契約上のコミットメントと、Microsoft 代理店のお客様が IRS 1075 の実質的な要件を満たすために必要なセキュリティ機能を提供します。

政府機関向けのこれらの Microsoft クラウド サービスは、お客様がソリューションを構築および運用できるプラットフォームを提供しますが、お客様は、これらの特定のソリューションが IRS 1075 に従って運用され、したがって IRS 監査の対象であるかどうかを自分で判断する必要があります。

政府機関がコンプライアンスに取り組むのを支援するために、Microsoft は次の作業を行います。

  • 政府機関が自分の責任を理解し、さまざまな IRS コントロールが米国政府のAzure GovernmentおよびOffice 365機能にどのように対応しているかを理解するのに役立つ詳細なガイダンスを提供します。 IRS 1075 セーフガード セキュリティ レポート (SSR) は、Microsoft サービスが該当する IRS コントロールを実装する方法を徹底的に文書化しており、Azure Governmentおよび米国政府Office 365の FedRAMP パッケージに基づいています。 IRS 1075 と FedRAMP の両方が NIST 800-53 に基づいているため、IRS 1075 のコンプライアンス境界は FedRAMP 承認と同じです。
  • IRS は、IRS セーフガード ドキュメントのリリースを明示的に承認する必要があるため、SSR を確認できるのは NDA の政府のお客様のみです。
  • クラウド サービスの独立した評価者によって生成された監査レポートと監視情報を利用できるようにします。
  • IRS Azure Governmentコンプライアンスに関する考慮事項と米国政府機関のコンプライアンスに関する考慮事項Office 365提供します。これは、機関が IRS 1075 に準拠する方法で Microsoft Cloud for Government サービスを使用する方法について説明します。 NDA の政府機関のお客様は、これらのドキュメントを要求できます。
  • 必要に応じて、Microsoft の主題の専門家や外部監査者とコミュニケーションを取る機会 (費用を負担) をお客様に提供します。

対象となる Microsoft のクラウド プラットフォームとサービス

FedRAMP の承認は、NIST のガイドライン (低、中、高) に基づいて 3 つの影響レベルで付与されます。 これらは、機密性、整合性、または可用性の損失がorganizationに与える可能性がある影響 (低 (限定的な効果)、中 (重大な悪影響)、高 (重大または致命的な影響) にランク付けされます。

  • Azure および Azure Government
  • 米国政府Dynamics 365
  • 米国政府Office 365 Office 365
  • Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)
  • Windows 365 (米国政府)

Azure、Dynamics 365、IRS 1075

Azure、Dynamics 365、およびその他のオンライン サービスコンプライアンスの詳細については、Azure IRS 1075 オファリングに関するページを参照してください。

Office 365および IRS 1075

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
GCC アクティビティ フィード サービス、Bing サービス、Delve、Exchange Online Protection、Exchange Online、インテリジェント サービス、Microsoft Teams、Office 365 カスタマー ポータル、Office Online、Office サービス インフラストラクチャ、Office 使用状況レポート、OneDrive for Business、Peopleカード、SharePoint Online、Skype for Business、Windows Ink

Office 365 監査、レポート、証明書

IRS 1075 の実質的な要件への準拠は、毎年 FedRAMP 監査の対象となります。

よく寄せられる質問

Microsoft は IRS 1075 の要件にどのように対処しますか?

Microsoft は、セキュリティ、プライバシー、運用上の制御と NIST 800-53 rev. 4 つのコントロールを定期的に監視しています。中程度の影響を与える情報システムの FedRAMP ベースラインで必要な 4 つのコントロール。 継続的な監視レポートを通じて、この情報に四半期ごとにアクセスできます。 米国政府機関のお客様Azure GovernmentとOffice 365は、サービス 信頼ポータルを通じて、この機密性の高いコンプライアンス情報にアクセスできます。

さらに、Microsoft は、AZURE GOVERNMENTとOffice 365米国政府のマスター コントロール セットに IRS 1075 コントロールを含め、それらに対する監査を毎年行っています。

FedRAMP パッケージまたはシステム セキュリティ プランを確認できますか?

はい。organizationが米国政府の適格性要件Azure Government満たOffice 365場合。 これらのドキュメントを確認するには、Microsoft アカウントの担当者に直接お問い合わせください。 また、準拠しているクラウド サービス プロバイダーの FedRAMP の一覧を参照することもできます。

Azure または Office 365 パブリック クラウド環境を使用しても、IRS 1075 に準拠することはできますか?

資格要件を満たすお客様は、連邦税情報をAzure GovernmentまたはOffice 365 Government Community Cloud に保存および/または処理できます。 これらのお客様は、2 つのコントロールを管理する場合に、Azure Commercial に連邦税情報を格納したり処理したりすることもできます。データ ストレージを米国に制限し、FIPS 140 検証済みハードウェア セキュリティ モジュール (HSM) を使用したカスタマー マネージド キー (CMK) 暗号化を制御下に実装します。

Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する

Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース