お役立ち情報 ISO27017とISO27018ってどっちを取得すればいいの？

クラウドの台頭とクラウドのセキュリティ

GoogleDriveやboxを始めとしたクラウドストレージから、Salesforce・Kintoneなどの顧客管理ソフト、グループウェアなど「クラウド」を利用したサービスが浸透しています。
クラウドサービスは、情報を一箇所に集約し、保管・管理するものです。インターネットにつながる環境があれば、いつでもどこでもアクセスでき、ビジネスができます。
クラウドサービスが台頭し、セキュリティに対する社会的要請の高まる中、策定されたのが、ISO27017と、ISO27018です。また、国内では、この2つの規格を元にした認証制度が開始されています。

本記事では、ISO27017とISO27018の違いを中心に、どちらを取得したらよりよいクラウドセキュリティのマネジメントが叶うのかについて書いていきます。

ISO27017とISO27018の共通点

クラウドコンピューティングに関する第三者認証であること

いずれの認証制度も、クラウドコンピューティングに関わる情報セキュリティを整備できているか否かについての第三者認証であることが共通しています。

ISO27001認証（ISMS認証）のアドオン認証であること

いずれの認証制度も、ISMSのアドオン認証です。ISO27017もISO27018のルール策定も、ISO27001に記載されている管理策の延長ですので、認証取得の際には、既にISMSを取得、もしくは同時に取得することが前提となります。

ISO27017とISO27018のちがい

規格の対象情報と対象事業者について

ISO27018は、クラウドサービスの中で、個人情報に限定した規格です。
クラウド上に保管されている個人情報の扱いに関する枠組みで、サービスの提供者のみを対象としています。

ISO27017は、従来のISMSで行う管理策(リスク対策)の枠組みを、クラウドサービスまで拡大した規格です。
クラウドサービスを 提供する側、利用する側の双方についての枠組みです。
ISO27017は、原案を日本が提案しており、認証機関であるJIPDECでも「ISMSクラウドセキュリティ認証」として新たに認証を始めています。

審査機関・認証機関について