「ISO/IEC 27018」――クラウド上の個人情報取り扱いに関する国際的ベストプラクティスとは:マイクロソフト、グーグル、AWSも採用(3/3 ページ)
本稿では、クラウドサービスプロバイダー向けに、「クラウド上での個人情報の取り扱いに関するベストプラクティス」を提供する規格、「ISO/IEC 27018」について概説します。
ISO/IEC 27018の第三者認証スキーム
現在、BSI(英国規格協会)などのISMSの認証機関が、ISO/IEC 27018の第三者認証を実施しており、米マイクロソフトや米グーグルなどのいくつかのクラウドサービス事業者が認証を取得しています。
この認証スキームは基本的に、「ISO/IEC 27001:2013」をベースに構築している情報セキュリティマネジメントシステム(ISMS)に対して、ISO/IEC 27018:2014が規定している追加の管理策を実装・運用していることを審査によって確認し、認証を行うものです。
ISO/IEC 27018の認証取得のステップ
ISO/IEC 27018認証を取得するためには、「1.ISMSの構築」「2.規格要求事項の理解と、実現のためのルール・体制作り」「3.構築した仕組みの運用とレビュー」「4.第三者認証機関による審査の受審」の4ステップが必要となります。
ステップ1.ISO/IEC 27001に基づくISMSの構築
ISO/IEC 27018の認証取得の前提として、ISMSの国際規格であるISO/IEC 27001の認証取得が必要となります。既にISO/IEC 27001に基づくISMSを構築または認証済みの場合はステップ2から、ISMSを構築していない場合は、ステップ1とステップ2を並行して、認証取得に向けた準備を始めます。
ステップ2.ISO/IEC 27018の規格要求事項の理解と、実現のためのルール・体制作り
ISO/IEC 27018の規格要求事項を正しく理解し、その要求事項を実現するためのルールや手順、体制、管理策(セキュリティ対策)などを整備します。一般的には、「現状のルールや体制と規格要求事項のGAP分析」などの作業を行います(図表9)。
ステップ3 ステップ2で構築した仕組みの運用とレビュー
関連するスタッフに導入教育を行い、ステップ2で構築した仕組みを組織内に導入します。また、1〜2カ月間の仮運用を行った後に、内部監査、マネジメントレビューを行います。マネジメントレビューまでが終了すれば、認証審査を受審することができます。
ステップ4 第三者認証機関による審査の受審
ISO/IEC 27018の認証審査を行っている第三者認証機関から審査を受けます。審査において適切に、ISO/IEC 27018の管理策が追加されたISMSが構築・運用されていることが確認されると、審査の約1カ月後に正式にISO/IEC 27018:2014の認証が授与されます。
打川和男(うちかわ かずお)
株式会社アイテクノ 取締役副社長 コンサルティング事業本部 本部長 ISMS上席コンサルタント
ビジネスコンサルティングに従事した後、ISO認証支援コンサルティング事業を立ち上げ、ISO9001、ISO14001、ISMSに関するコンサルティングに従事。2006年から、ISOの認証機関であるBSI(英国規格協会)の日本法人に教育事業本部長として入社、各種マネジメントシステム規格の普及活動、各種研修・セミナーに関する開発、講演、執筆活動に従事。特にITサービスマネジメントのISO/IEC 20000、事業継続マネジメントのBS25999、および学習サービスマネジメントのISO29990の国内立ち上げに従事。
2011年より、株式会社アイテクノのコンサルティング事業本部長としてISMSやBCMSをはじめとするISOマネジメントシステム規格の認証支援コンサルティング、講演、企業内研修講師、執筆活動に従事している。「図解入門ビジネス 最新 ISO27001:2013の仕組みがよ〜くわかる本(秀和システム)」の著者であり、ISO関連の著書は20冊を超える。
本記事に関するお問い合わせ:kazuo.uchikawa@itecno.co.jp
Copyright © ITmedia, Inc. All Rights Reserved.