連載
「ISO/IEC 27018」――クラウド上の個人情報取り扱いに関する国際的ベストプラクティスとは:マイクロソフト、グーグル、AWSも採用(2/3 ページ)
本稿では、クラウドサービスプロバイダー向けに、「クラウド上での個人情報の取り扱いに関するベストプラクティス」を提供する規格、「ISO/IEC 27018」について概説します。
ISO/IEC 27018規格の構成
ISO/IEC 27018では、パブリッククラウドコンピューティング環境において「ISO/IEC 29100」が定めるプライバシー指針に従った個人情報(PII)保護策を導入するために、PII プロセッサが共通して導入すべき「管理目的」「管理策」「ガイドライン」を定めています。ISO/IEC 29100はISOが2011年に発行した規格で、「OECD8原則」や「EU指令」をベースに、プライバシー保護のためのフレームワークを規定したものです(図表3)。
ISO/IEC 29100では、11項目のプライバシー原則が規定されています(図表4)。
また、ISO/IEC 27018は、パブリッククラウドサービスプロバイダーの情報セキュリティリスクの観点から、PII保護に関するISO/IEC 27002ベースのガイドラインを提供しています。
なお、ISO/IEC 27018では、ISO/IEC 27002の管理策のうち、クラウドサービスプロバイダーにおいて追加管理策が必要なものについて、「パブリック クラウド PII 保護の導入ガイダンス」を定めています。また、追加のガイダンスを補足するさらなる関連情報として、「パブリック クラウド PII 保護のためのその他の情報」も含んでいます。
Copyright © ITmedia, Inc. All Rights Reserved.
ご存じですか? ISMS規格改訂の背景と意図
みならい君と学ぶ「マイナンバー制度」の概要と背景 
マイナンバー対応は「騒ぎ過ぎず、楽観し過ぎず」で