本稿では、クラウドサービスプロバイダー向けに、「クラウド上での個人情報の取り扱いに関するベストプラクティス」を提供する規格、「ISO/IEC 27018」について概説します。
本稿では、国際標準化機構(ISO)が2014年に発行した“クラウド環境における個人情報保護”に関する初の国際規格「ISO/IEC 27018:2014」について解説します。本規格は、情報セキュリティ管理策の実践のための規範として広く利用されている国際規格「ISO/IEC 27002」をベースとして、クラウド上で取り扱われる個人情報を保護するためのベストプラクティスを提供するものです。クラウドサービス事業者やクラウド環境を利用してサービスを提供する事業者などから注目されています。
ちなみに、情報セキュリティマネジメントシステム(ISMS)に関するISO/IEC 27000ファミリー規格群は、「ISO/IEC 27001」「ISO/IEC 27006」「ISO/IEC 27009」のような“要求事項”を規定した規格の他、“管理策に関する指針および分野固有の手引き”を規定した規格など、ISMSを実現するための各側面に関する規格から構成されています。この中でもISO/IEC 27018:2014は、後者の“手引きを規定した規格”に該当します(図表1)。
なお、各セクター(業界)用の規格として、ISO/IEC 27018の他に、「ISO/IEC 27011(電気通信事業者のための情報セキュリティマネジメントガイドライン)」「ISO/IEC 27015(金融サービス事業者のための情報セキュリティマネジメントガイドライン)」「ISO/IEC 27017(クラウドサービスのための情報セキュリティ管理策の実践的規範)」「ISO/IEC 27019(エネルギー業界のプロセスコントロールシステムのための情報セキュリティマネジメントのガイドライン)」なども発行されています。
ISO/IEC 27018では、規格の登場人物として「PII プリンシパル(主体)(用語の定義3.4)」「PII コントローラ(用語の定義3.3)」「PII プロセッサ(用語の定義3.5)」の三者を定義しています(図表2)。
PII プリンシパル(主体)は、「個人を特定できる情報(PII:Personally Identifiable Information)に関係する人」と定義されており、個人情報の主体(本人)を指します。
PII コントローラは、「個人を特定できる情報(PII)を処理するための目的及び手段を決定する者」で、PII 主体(本人)から個人情報を取得し、明示した利用目的の範囲で個人情報を利用する個人情報の取扱事業者を指します。
PII プロセッサは、「PIIコントローラ(個人情報の取扱事業者)の代わりに、個人を特定できる情報(PII)を処理する、又はPIIコントローラの指示に従って、個人を特定できる情報(PII)を処理するもの」と定義されており、クラウド環境を利用したサービスを、個人情報の取扱事業者であるPII コントローラに提供するサービスプロバイダーを指します。
この三者の中で、国内の「個人情報保護に関する法律」を順守する義務を主に負うのが、PII コントローラです。ISO/IEC 27018は、このPII コントローラが個人情報保護を確実にするためのサポートを担うPII プロセッサに対する要求事項を規定したものです。
Copyright © ITmedia, Inc. All Rights Reserved.