Criminal Justice Information Services (CJIS) Security Policy

マイクロソフトの政府機関向けクラウド サービスは、米国の Criminal Justice Information Services Security Policy を順守しています。

マイクロソフトと CJIS のセキュリティ ポリシー

マイクロソフトは、CJIS Information Agreements を締結している州において、CJIS Security Addendum を締結します。こうした契約から、CJIS Security Policy に対するコンプライアンスを担当する法執行機関当局は、マイクロソフトのクラウド セキュリティ コントロールによってどのようにデータのライフサイクル全体が保護されるようになったか、および CJI にアクセス可能な運用スタッフの適切な背景調査を確保できるかについて、把握できます。マイクロソフトは引き続き各州政府と協力して、CJIS Information Agreements の締結を進めます。

マイクロソフトは、Microsoft Azure Government、Microsoft Office 365 U.S. Government、および Microsoft Dynamics 365 U.S. Government の運用ポリシーと手続きを評価しました。また、対象サービスの FBI 要件を満たす適切なサービス規約において、これらの製品の機能を証明する予定です。

Microsoft Cloud における CJIS セキュリティ ポリシーのメリットを確認してください。

Genetec がどのように犯罪調査を終わらせたかをお読みください

「Azure のセキュリティとコンプライアンスのブループリント」で CJIS セキュリティ ポリシーを加速する方法をご覧ください。

Microsoft Government Cloud Services 用の CJIS 実装ガイドをダウンロードする

対象となるマイクロソフトのクラウド サービス

CJIS Security Policy のコミット対象には、次のサービスが含まれます。

  • Azure Government 詳細リスト
  • Dynamics 365 U.S. Government 詳細リスト
  • Office 365 U.S. Government 詳細リスト
  • Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)

監査、レポート、認証

FBI は、CJIS 要件へのマイクロソフトの準拠について認定を付与しません。代わりに、マイクロソフトの準拠証明が、マイクロソフトと州の CJIS 機関との間の契約、およびマイクロソフトとお客様との間の契約に含まれます。

米国のすべての州を表す地図。CJIS 管理協定を結んでいる州が緑色で表示されています。

米国での CJIS の状況

管理協定は、以下の地図で緑色で表示されている 36 の州およびコロンビア特別区で結ばれています。

アラバマ、アラスカ、アーカンソー、アリゾナ、カリフォルニア、コロラド、フロリダ、ジョージア、ハワイ、イリノイ、インディアナ、アイオワ、カンザス、ケンタッキー、メイン、マサチューセッツ、ミシガン、ミネソタ、ミズーリ、モンタナ、ニュージャージー、ニューヨーク、ネバダ、ノースカロライナ、オクラホマ、オレゴン、ペンシルバニア、ロードアイランド、サウスカロライナ、テネシー、テキサス、ユタ、バーモント、バージニア、ワシントン D.C.、ウェストバージニア。

該当する CJIS 規制コントロールへの準拠に対する Microsoft のコミットメントにより、刑事司法組織はクラウド ベースのソリューションを実装し、CJIS セキュリティ ポリシー v5.7 に準拠できます。

2019/04/18 現在

CJIS の概要

米国 Federal Bureau of Investigation (FBI: 連邦捜査局) の Criminal Justice Information Services (CJIS: 犯罪司法情報サービス) Division は、州、地域、連邦の法執行機関や刑事指標機関が、指紋記録や犯罪歴などの犯罪司法情報 (CJI) にアクセスできるようにしています。米国の法執行機関やその他の政府機関は、CJIS Security Policy に従って CJI の転送、保存、または処理にクラウド サービスを使用する必要があります。このポリシーは、CJI を保護するための最小限のセキュリティ要件と統制を確立するポリシーです。

CJIS Security Policy は、大統領や FBI による命令、連邦法、および犯罪司法団体の政策諮問委員会による決定に加えて、National Institute of Standards and Technology (NIST: 国立標準技術研究所) のガイダンスを統合しています。また、進化するセキュリティ要件を反映するために、定期的に更新されます。

CJIS Security Policy では、クラウド サービスが CJIS の要件に沿って使用されているかどうかを判断するために、クラウド サービス プロバイダーなどの民間請負業者が評価しなければならない 13 の分野を定義しています。これらの分野は NIST 800-53 に厳密に対応しています。これは、Federal Risk and Authorization Management Program (FedRAMP) の基盤でもあります。FedRAMP は、マイクロソフトが Government Cloud 製品で認定を受けているプログラムです。

また、CJI を処理するすべての民間請負業者は、CJIS Security Addendum を締結する必要があります。これは米国司法長官が承認した統一契約であり、Security Policy によって必要とされる CJI のセキュリティと機密性の確保を促進します。また、連邦や州の法律、規制、および標準へのセキュリティ プログラムの準拠を維持するよう契約者に義務付け、CJI の用途を政府機関が CJI を提供した目的に制限します。

コンプライアンスを一元管理する

Compliance Manager により、マイクロソフトのクラウド サービスを利用する際、リアルタイムのリスク評価を実施し、実用的なインサイトを提供して、コンプライアンス プロセスを簡素化することができます。

Compliance Manager を今すぐ試すセキュリティ、プライバシー、コンプライアンスに関するブログを読む

よく寄せられる質問

Expand all

関心をお持ちの裁判管轄地の情報については、マイクロソフトのお客様担当営業にお問い合わせください。現在各州で提供されているサービスについては、cjis@microsoft.com までお問い合わせください。

マイクロソフトは、各州の CJIS Systems Agency (CSA) との間で情報協定を締結しているため、お客様は、お客様の州における CSA のコピーを請求できます。また、マイクロソフトはお客様に、詳細なセキュリティ、プライバシー、コンプライアンス情報を提供しています。お客様は、独立した監査人が作成したセキュリティおよびコンプライアンス レポートも参照できます。そのため、関連する監査対象に適したセキュリティ コントロール (ISO 27001 など) をマイクロソフトが実装していることを検証できます。

2017 年 8 月の時点で適切な CJIS ドキュメントを用意している州は、アラスカ州、アリゾナ州、アーカンソー州、カリフォルニア州、コロラド州、ハワイ州、ジョージア州、イリノイ州、インディアナ州、アイオワ州、カンザス州、ケンタッキー州、マサチューセッツ州、ミシガン州、ミネソタ州、ミズーリ州、モンタナ州、ネバダ州、ニュージャージー州、ニューヨーク州、ノースカロライナ州、オレゴン州、ペンシルバニア州、ロードアイランド州、サウスカロライナ州、テネシー州、テキサス州、バージニア州、ユタ州、バーモント州、ワシントン州です。

CJIS Security Policy ドキュメントには、CJI を保護するために組織が講じなければならない対策が記載されています。また、マイクロソフトのお客様担当営業を介して、裁判管轄地の要件に詳しい人物に問い合わせることもできます。