クラウド上の個人情報保護 ISO/IEC27018認証取得支援コンサルティングサービス

ISO27018は、クラウド環境における個人情報保護に関する国際規格です。

ISO/IEC27018とは?

ISO/IEC27018とは?

ISO/IEC27018とは、国際標準化機構(ISO)より2014年に発行されたクラウド環境における個人情報保護に関する初の国際規格です。
情報セキュリティ管理策の実践のための規範として広く利用されている国際規格ISO/IEC27002をベースとして、クラウド上で取り扱われる個人情報を保護するためのベストプラクティスを提供しています。 

ISO/IEC27018を認証取得できる事業者

ISO/IEC27018を認証取得できる事業者は、クラウドサービス事業者のなかでもパブリッククラウドサービスを提供しており、かつ、個人情報の処理を行っている事業者が対象となります。

※パブリッククラウドサービスとは、クラウドサービス事業者が、企業や組織をはじめとした不特定多数のユーザにインターネットを通じて提供するクラウドサービスを指します。 

パブリッククラウドサービスプロバイダ 

ISO/IEC27018認証取得のメリット

クラウドサービスを提供している事業者は、ISO/IEC27018:2014を認証取得することで、お客様の個人情報がクラウド上で適法かつ安全に保護されていることを証明することが可能となり、ステークホルダーからの信頼を高めることができます。 

ISO/IEC27018を導入している企業

ISO/IEC27018:2014は発行されて間もない規格ですが、世界のクラウドサービスプロバイダーから注目を浴びています。そのようななか、すでにISO/IEC27018を導入している企業を紹介します。

企業名 サービス名
Microsoft Office 365
Microsoft Azure
Dynamics CRM Online
Microsoft Intune
Dropbox Dropbox for Business
Google Google Apps for Work
Google Apps for Education
Amazon Web Service Amazon CloudFront
Amazon DynamoDB
他、31のサービス
株式会社TKC TKCインターネット・サービスセンター(TISC)で行うクラウドサービスの運用管理
香港の企業(社名非公表) 非公表

(2016年2月15日時点)

認証取得までの4ステップ

ISO/IEC27018を認証取得するためには、次の4ステップが必要となります。

STEP1 ISO/IEC27001に基づく、ISMS(情報セキュリティマネジメントシステム)の構築

ISO/IEC27018を認証取得する際の前提として、ISMS(情報セキュリティマネジメントシステム)の国際規格であるISO/IEC27001の認証取得が必要となります。
すでにISO/IEC27001に基づくISMSを構築または認証済みのお客様はSTEP2からとなり、ISMSを構築されていないお客様はSTEP1とSTEP2を並行して行います。

STEP2 ISO/IEC27018の規格要求事項を実現するためのルール・体制づくり

ISO/IEC27018の規格要求事項を実現するためにルールや手順、体制、管理策(セキュリティ対策)などを整備します。
一般的には「規格要求事項の理解」、「現状のルールや体制と規格要求事項のGAP分析」、「必要なルールや手順、体制、管理策(セキュリティ対策)の整備」を行います。

STEP3 上記STEP2で構築した仕組みの運用

導入教育を行い、組織内に構築した仕組みを導入します。
また、1.0~2.0ヶ月間運用を行った後に、内部監査、マネジメントレビューを行います。
マネジメントレビューまで終了すると、認証審査を受審することができます。

STEP4 第三者認証機関による審査の受審

ISO/IEC27018の認証審査を行っている第三者認証機関から審査を受けます。
審査において適切に構築・運用されていることが確認されると、審査の約1ヶ月後に正式にISO/IEC27018の認証が授与されます。

参考:ISO/IEC27018の規格要求事項の概要

iso27018 要求事項

「箇条5~箇条18欄」の“赤字”はISO/IEC27002:2013とのGAPがないことを表し、 「附属書A(ISO/IEC29100:2011 - 11の原則)欄」の“赤字”はISO/IEC29100:2011とのGAPがないことを表しています。 

当社のコンサルティングサービスの内容

ISO/IEC27018の認証を全般的にサポートさせていただきます。
ISMSを構築されていないお客様は、下記に加え、ISO/IEC27001の構築もサポートさせていただきます。

[1]ISO/IEC27018規格解説研修

当社オリジナルの図解でわかりやすいテキスト(日本語版)を提供し、ISO27018の規格要求事項のポイントについて、説明いたします。

[2]GAP分析・基本要件の決定に関するご支援

現状とISO27018の規格要求事項とのGAP分析を効率的か効果的に実施できるワークシートを提供し、貴社の現状分析作業及び基本要件の決定についてサポートいたします。

[3]手順及び管理策の整備に関するご支援

上記[2]で決定した基本要件を、具体的に手順及び管理策(セキュリティ対策)に落とし込む際のミーティングに参加し、事例の紹介や助言を行い、規格要求事項実現のための作業をサポートさせていただきます。

[4]ISO/IEC27018の認証審査に関するご支援

実際の審査時の立会、及び審査後のフォローアップをサポートさせていただきます。 

お気軽にお問い合わせください

当社では、ISO/IEC27018の新規認証に関するご支援等、各種サービスを取り揃えております。
また、ご要望のお客様には個別相談会やメール・電話でのご質問を承っております。
お気軽にお問い合わせください。