クラウドセキュリティに関するISO規格、「ISO/IEC 27017」と「ISO/IEC 27018」について、事例とともに解説します。
2016年から、クラウドセキュリティに関するISO規格が市場で注目を集めています。その大きな理由の1つとして、クラウドコンピューティング利用が年々増加の一途をたどる一方で、セキュリティへの懸念が依然払拭(ふっしょく)されていないことが挙げられます。
総務省が発表した「平成28年版 情報通信白書」によれば、2015年末時点でのクラウド利用企業の割合は前年増5.8%の44.5%に達しています。しかし同時に、クラウドを利用しない企業のうち38.8%がその理由として、「情報漏えいなどセキュリティに不安がある」を挙げています。こうした企業の不安を解消するために、クラウドサービスにおける情報セキュリティや個人情報保護に関するISO認証を取得する企業が増加しているのです。
認証のベースとなる規格は、クラウドサービスにおける情報セキュリティ規格であるISO/IEC 27017:2015と、クラウドサービスにおける個人情報保護規格であるISO/IEC 27018:2014であり、どちらも、ISMS規格ISO/IEC 27001:2013の認証にアドオンする形となります。
既に認証取得を成功している企業としては、海外ではMicrosoftやGoogle、Amazon Web ServicesがISO/IEC 27018:2014とISO/IEC 27017:2015を、国内ではIDCフロンティアやスタディストがISO/IEC 27017:2015を、TKCやHDEがISO/IEC 27018:2014の認証を取得しています。また、これらの規格の認証審査を行っているBSIジャパンの情報によれば、2017年度に審査を希望する申請が既に30件を超えているとされています。
クラウドサービス事業者がISO/IEC 27017、ISO/IEC 27018の採用を考えるときには、自社のクラウドサービスで顧客情報を取り扱っているか否かが大きなポイントになります。もちろん両規格を同時に取得できれば望ましいのですが、優先順位を付けるとすれば、自社のクラウドサービスで顧客情報を取り扱っている事業者は、ISO/IEC 27018を取得するのがよいでしょう。ISO/IEC 27018の認証を取得すれば、顧客である個人情報取扱事業者が果たすべき個人情報の保護を適切にサポートできる会社であると第三者に認められるということになるからです。このことは、顧客からの信頼の獲得にも影響してくるでしょう。
Copyright © ITmedia, Inc. All Rights Reserved.