検索
連載

「ISO/IEC 27018」――クラウド上の個人情報取り扱いに関する国際的ベストプラクティスとはマイクロソフト、グーグル、AWSも採用(2/3 ページ)

本稿では、クラウドサービスプロバイダー向けに、「クラウド上での個人情報の取り扱いに関するベストプラクティス」を提供する規格、「ISO/IEC 27018」について概説します。

Share
Tweet
LINE
Hatena

ISO/IEC 27018規格の構成

 ISO/IEC 27018では、パブリッククラウドコンピューティング環境において「ISO/IEC 29100」が定めるプライバシー指針に従った個人情報(PII)保護策を導入するために、PII プロセッサが共通して導入すべき「管理目的」「管理策」「ガイドライン」を定めています。ISO/IEC 29100はISOが2011年に発行した規格で、「OECD8原則」や「EU指令」をベースに、プライバシー保護のためのフレームワークを規定したものです(図表3)。


図表3 ISO/IEC 29100とは

 ISO/IEC 29100では、11項目のプライバシー原則が規定されています(図表4)。


図表4 ISO/IEC 29100 11のプライバシー原則

 また、ISO/IEC 27018は、パブリッククラウドサービスプロバイダーの情報セキュリティリスクの観点から、PII保護に関するISO/IEC 27002ベースのガイドラインを提供しています。


図表5 ISO/IEC 27002に追加されているISO/IEC 27018の管理策

 なお、ISO/IEC 27018では、ISO/IEC 27002の管理策のうち、クラウドサービスプロバイダーにおいて追加管理策が必要なものについて、「パブリック クラウド PII 保護の導入ガイダンス」を定めています。また、追加のガイダンスを補足するさらなる関連情報として、「パブリック クラウド PII 保護のためのその他の情報」も含んでいます。


図表6 ISO/IEC 27018:2014の規格の構成

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. Google Cloud、2025年のサイバーセキュリティ予測を発表 AIがサイバー攻撃にもたらす影響とは?
  3. 経営層の約7割が「セキュリティ対策は十分」一方で6割以上がインシデントを経験、1位の要因は?
  4. 2025年に押さえるべきセキュリティの重要論点をガートナーが発表 新しいリスク、脅威、環境の変化、法規制などの動きを把握する指標に使える
  5. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
  6. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  7. よく聞く「複雑化するサイバー攻撃」は具体的にどう複雑なのか? 一例を医療系企業のランサム事例とともに解説
  8. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  9. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  10. Google、「パスキー」のアップデートを発表 新たに導入された「パスワードマネジャーPIN」とは?
ページトップに戻る