ISO27017とISO27018ってどっちを取得すればいいの?
クラウドの台頭とクラウドのセキュリティ
GoogleDriveやboxを始めとしたクラウドストレージから、Salesforce・Kintoneなどの顧客管理ソフト、グループウェアなど「クラウド」を利用したサービスが浸透しています。
クラウドサービスは、情報を一箇所に集約し、保管・管理するものです。インターネットにつながる環境があれば、いつでもどこでもアクセスでき、ビジネスができます。
クラウドサービスが台頭し、セキュリティに対する社会的要請の高まる中、策定されたのが、ISO27017と、ISO27018です。また、国内では、この2つの規格を元にした認証制度が開始されています。
本記事では、ISO27017とISO27018の違いを中心に、どちらを取得したらよりよいクラウドセキュリティのマネジメントが叶うのかについて書いていきます。
ISO27017とISO27018の共通点
クラウドコンピューティングに関する第三者認証であること
いずれの認証制度も、クラウドコンピューティングに関わる情報セキュリティを整備できているか否かについての第三者認証であることが共通しています。
ISO27001認証(ISMS認証)のアドオン認証であること
いずれの認証制度も、ISMSのアドオン認証です。ISO27017もISO27018のルール策定も、ISO27001に記載されている管理策の延長ですので、認証取得の際には、既にISMSを取得、もしくは同時に取得することが前提となります。
ISO27017とISO27018のちがい
規格の対象情報と対象事業者について
ISO27018は、クラウドサービスの中で、個人情報に限定した規格です。
クラウド上に保管されている個人情報の扱いに関する枠組みで、サービスの提供者のみを対象としています。
ISO27017は、従来のISMSで行う管理策(リスク対策)の枠組みを、クラウドサービスまで拡大した規格です。
クラウドサービスを 提供する側、利用する側の双方についての枠組みです。
ISO27017は、原案を日本が提案しており、認証機関であるJIPDECでも「ISMSクラウドセキュリティ認証」として新たに認証を始めています。
審査機関・認証機関について
【ISO27018】
現在、ISO27018の認証審査は「BSIジャパン」や「DNV GL」といった審査機関で行われています。
【ISO27017】
ISO27017は、JIPDECが認定機関(審査機関を審査する機関)です。
BSIジャパンを始めとした様々な審査機関によって審査が行われています。
ISO27018:2014 | ISO27017:2015 | |
---|---|---|
規格名称 | Code of practice for protection of personally identifiable information(PII) in public clouds acting as PII processors | Code of practice for information security controls based on ISO27002 for cloud services |
規格概要 | クラウドサービス上での個人情報保護・管理指針 | クラウドサービス運用・利用に関する情報セキュリティ指針 |
対象企業 | クラウドサービスで個人情報を取得・管理している事業者 | クラウドサービスを運用している事業者 クラウドサービスを利用している事業者 |
追加の管理策数 | 39 | 79 |
ISO27001との関係 | アドオン認証 | アドオン認証 |
LRMにおけるコンサルティング費用 | 70万円~(税抜) | 70万円~(税抜) |
ISO27017とISO27018はどっちがいいの?
目的に合わせた認証を!
ISO27017とISO27018は、いずれも同様にクラウドのセキュリティに特化した管理策です。
管理策として考慮する範囲が広く、クラウドセキュリティ全体に影響するものはISO27017で、クラウドの個人情報に注目したものがISO27018です。いずれの認証にも優劣はありません。
クラウドサービスを提供しており、個人情報のマネジメントを重視したい場合にはISO27018 を、クラウドサービスを提供している、またはサービスを利用しており、クラウドセキュリティ全体の管理策に重点をおきたい場合にはISO27017 をお勧めいたします。
また、ISO27001を既に取得・運営しているが、何らかの理由でプライバシーマークの取得を断念されている場合もISO27018の管理策によって、クラウドサービス上の個人情報のマネジメントに注力できます。
しかし、サービスの方針や、運営・経営方針や社内体制なども踏まえ、自社にとって最適な認証を取得するに越したことはありません。
クラウドサービスの認証取得を迷った際には、お気軽にご相談いただけますと幸いです。
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。