検索
連載

Microsoft、Google、AWSも取得した「ISO/IEC 27018」とは?クラウドセキュリティ規格解説(2/2 ページ)

クラウドセキュリティに関するISO規格、「ISO/IEC 27017」と「ISO/IEC 27018」について、事例とともに解説します。

Share
Tweet
LINE
Hatena
前のページへ |       

ISO/IEC 27018とは?

 こうした背景の下、特に注目されているのが、クラウドサービスにおける個人情報保護規格であるISO/IEC 27018:2014です。ISO/IEC 27018:2014は、国際標準化機構(ISO)が2014年に発行したクラウド環境における個人情報保護に関する初の国際規格であり、情報セキュリティ管理策実践のための規範として広く利用されている国際規格ISO/IEC 27002をベースとして、クラウド上で取り扱われる個人情報を保護するための追加管理策を規定しています。

図表5 ISO/IEC 27018規格の構成
図表5 ISO/IEC 27018規格の構成

 また、この規格の特徴として、ISO/IEC 29100に基づく「パブリッククラウドコンピューティング環境における個人情報(PII)保護のための管理目的および管理策」が附属書Aに規定されています。

 ISO/IEC29100は、国際標準化機構(ISO)が2011年に発行したプライバシーフレームワークを規定する規格で、プライバシー保護のためのOECD8原則やEU指令をベースにして開発された、プライバシー保護に関する国際規格です。

ISO/IEC 27018の対象となる事業者は?

 ISO/IEC 27018は、規格の登場人物として、以下の3者を定義しています。

  • PII プリンシパル(用語の定義3.4:個人を特定できる情報(PII)に関係する人)
  • PII コントローラー(用語の定義3.3:個人を特定できる情報(PII)を処理するための目的および手段を決定する者)
  • PII プロセッサ(用語の定義3.5:PIIコントローラーの代わりに個人情報を処理する、またはPIIコントローラーの指示に従って個人情報を処理するもの)

 PIIプリンシバルは、個人情報の主体(本人)であり、PII コントローラーは、PIIプリンシバル(本人)から個人情報を取得し、明示した利用目的の範囲で個人情報を利用する個人情報取扱事業者を指します。また、PII プロセッサは、クラウド環境を利用したサービスを提供するサービスプロバイダーを指します。

図表6 ISO/IEC 27018の対象事業者
図表6 ISO/IEC 27018の対象事業者

 最後に、筆者が実際にコンサルタントとして支援を行い、ISO/IEC 27018:2014の認証を取得した企業(HDE)の事例を紹介します(取材協力:HDE 服部貴之氏)。

ケーススタディ(HDEの場合)

 HDEは、企業向けにクラウド・セキュリティ分野の製品を開発・販売するクラウドセキュリティソリューション企業。今回は、クラウドセキュリティサービス「HDE One」が、クラウドサービスにおける個人情報の保護に焦点を当てた国際規格 ISO/IEC 27018 の認証を取得した。

※「HDE One」:Microsoft Office 365、G Suite、Salesforceなどのクラウドサービスと連携して、情報漏えい対策/デバイス紛失対策/不正ログイン対策を実現するクラウドセキュリティサービス

認証取得のきっかけ

 HDEでは、2011年にHDE Oneの提供を開始して以来、ユーザー数が増加し、国内外で2500社、200万ユーザーに利用されるまでになった。その結果、取り扱う個人情報量が増え、今まで以上にセキュリティ施策を重視し、将来的な顧客に対してもHDE Oneが個人情報を適切に、透明性をもって運営していることを証明する必要が生じた。

 そこで、サービスへのセキュリティ診断や社内体制の強化を実施するとともに、HDE Oneにおいて個人情報を適切に管理・運用していることを第三者機関に評価してもらい、透明性と説明責任を明確にすることを目指した。

ISO/IEC 27018を選択した理由

 クラウドサービスにおけるISO規格には、ISO/IEC 27017とISO/IEC 27018の2つがあるが、HDEでは、クラウドサービスにおける個人情報保護のための管理策を規定する必要があるため、ISO/IEC 27018の取得を決定した。

 グローバルにクラウドサービスを提供しているMicrosoftやGoogle、Amazon Web Servicesなどが、ISO/IEC 27018の取得やISO/IEC 27018に準ずるサービス運営ポリシーを公開していることも、認証取得の後押しとなった。

認証取得までの取り組み

 HDEでは、ISO/IEC 27018取得に向けて3人のプロジェクトチームを立ち上げた。

 ISO/IEC 27018取得には、以下の4つのステップがあるが、HDEでは既にISMSの構築を実施済みのため、ステップ2から作業を行った。

ISO/IEC 27018 認証取得までのステップ


 1.ISO/IEC 27001に基づくISMS構築

 2.ISO/IEC 27018の規格要求事項の理解、実現のためのルール・体制作り

 3.ステップ2で構築した仕組みの運用とレビュー

 4.第三者認証機関による実査


 特に重要なのはステップ2で、ISO/IEC 27018の規格要求事項を正しく理解するため、コンサルタントの協力を得ながら、規格のブリーフィングと要求事項を実現するためのルールや手順、体制、管理策の整備を実施した。

認証取得による効果

 個人情報の取り扱いについて監督官庁の指導を受けている業界の顧客からは、ISO/IEC 27018の認証取得により、個人情報を適切に管理・運用していると客観的に判断できる指標を導入したことについて、評価されている。

 また、コンプライアンスの枠組みにISO/IEC 27018が加わったことにより、個人情報の取り扱いに関する運用やプロセスが透明化し、顧客により安心してサービスを使ってもらえるようになった。

 以上、本稿ではISO/IEC 27017およびISO/IEC 27018の概要について解説しました。認証の取得を検討されている方々のご参考になれば幸いです。

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  2. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  3. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  7. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  8. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  9. 「ランサムウェアに一度感染したら、身代金を払ってもまた攻撃される」のはほぼ確実? ウィズセキュア調査
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る