「ISO/IEC 27018」――クラウド上の個人情報取り扱いに関する国際的ベストプラクティスとは：マイクロソフト、グーグル、AWSも採用（2/3 ページ）

[打川和男，＠IT]

ISO/IEC 27018規格の構成

　ISO/IEC 27018では、パブリッククラウドコンピューティング環境において「ISO/IEC 29100」が定めるプライバシー指針に従った個人情報（PII）保護策を導入するために、PII プロセッサが共通して導入すべき「管理目的」「管理策」「ガイドライン」を定めています。ISO/IEC 29100はISOが2011年に発行した規格で、「OECD8原則」や「EU指令」をベースに、プライバシー保護のためのフレームワークを規定したものです（図表3）。

図表3　ISO/IEC 29100とは

　ISO/IEC 29100では、11項目のプライバシー原則が規定されています（図表4）。

図表4　ISO/IEC 29100　11のプライバシー原則

　また、ISO/IEC 27018は、パブリッククラウドサービスプロバイダーの情報セキュリティリスクの観点から、PII保護に関するISO/IEC 27002ベースのガイドラインを提供しています。

図表5　ISO/IEC 27002に追加されているISO/IEC 27018の管理策

　なお、ISO/IEC 27018では、ISO/IEC 27002の管理策のうち、クラウドサービスプロバイダーにおいて追加管理策が必要なものについて、「パブリック クラウド PII 保護の導入ガイダンス」を定めています。また、追加のガイダンスを補足するさらなる関連情報として、「パブリック クラウド PII 保護のためのその他の情報」も含んでいます。

図表6　ISO/IEC 27018:2014の規格の構成