大阪はいい天気ですが、夜が思ったより寒くて驚いています。
さて、先日弊社の新サービスであるISO27018の認証支援サービスを取り上げていただきました。
(ITpro「LRMがクラウド上の個人情報管理規格「ISO27018」認証取得支援サービス開始」2016/2/4)
27018といわれても、ピンと来ない方が多いのではないでしょうか。今回は、このISO27018とは何かというのを、ここで少し紹介したいと思います。
ISOって?ISO27000ファミリーとは?
まず、ISOとは、国際標準化機構のことです。
次にISO/IEC27000ファミリーとは、情報セキュリティマネジメントシステムに関する国際規格の事を指します。国際標準化機構により、セキュリティ分野ごとに細分化され、それが「ISO/IEC27000ファミリー」として様々な規格が検討され、国際標準規格として策定されています。
ISO27018とは「27000ファミリー」の中で、「パブリッククラウドにおける個人情報保護」に焦点を当てた規格です。
なぜ今クラウド規格なのか
近年クラウドサービスの普及が急激に進み、個人のみならず、企業でもWebサービスを展開する上で、パブリッククラウドを使用しているところが爆発的に増えています。それに伴い、クラウドは個人情報や機密情報など、情報資産の宝箱となっているといっても過言ではありません。それにも関わらず、今までパブリッククラウド上で個人情報に関わるデータを取り扱うための明確な指針などは存在しませんでした。
そこで、パブリッククラウドにおける個人情報等の取り扱い方法のルールを策定することが急務とされ、策定されたのがこの規格でした。
クラウドにおける個人情報保護基準
通常、時間をかけて策定される規格ですが、ISO/IEC 27018は異例の早さで策定された規格とのことでした。パブリッククラウドにおける個人情報等の取扱ルールの策定は、それだけ急務だと捉えられた課題だったのでしょう。
そして、ISO/IEC 27018は、PII processor※として事業を営むパブリッククラウドサービスプロバイダに、技術的、資源的に導入可能なセキュリティ基準と、その運用方法をセットで作成することを意図して作成されています。
ざっくりとした到達目標として下記の4点が挙げられます。
- パブリッククラウドサービスプロバイダが、PII prosessorとして事業を営むにあたり、法令もしくは契約によって必要となる規約に準拠することを促す。
- パブリッククラウドPII prosessorが透明性を確保し、顧客が適切なクラウドベースのサービスを選択できるようにする。
- クラウドサービスの顧客とパブリッククラウドPII prosessorが、契約上の合意を得られるよう後押しする。
- クラウドサービスの顧客に、監査を実行する仕組みと、コンプライアンス上の権利と責任を提供する。
※PII processor (PII=Personally Identifiable Information)=個人情報、個人を特定できる情報
上記目標を達成するため、ガイドラインや規制を制定しています。このガイドラインは、クラウドサービスを提供するあらゆる企業団体に適用可能な基準となっています。
MicrosoftAzure、Dropboxなどをはじめ、TKCなど、大手クラウド事業者は次々と認証を取得したり、認証に準拠した体制を構築したりと、どんどん対応を進めています。
個人企業団体問わず、クラウドの利用が広がる今、コンシューマの判断基準としても重要な認証となっていくのかもしれません。
以上、ISO27018についてでした。少しでもどのようなものか掴んでいただければ幸いです。
ではでは~。
