ISO 27018 – Data privacy standard for cloud services I DQS

クラウドサービスにおけるデータ保護基準

ISO/IEC 27018は、クラウドコンピューティングにおける個人データの保護について、一般に認められた管理目標とガイドラインを含んでいます。内容的には、既存のセキュリティ規格（特にISO/IEC 27002）をベースにしています。しかし、要件は、特にクラウド環境における個人データの処理の規制に関連しています。

この国際規格は、公共・民間企業、政府機関、非営利団体など、他の組織に代わってクラウドコンピューティングを通じてPII処理者として情報処理サービスを提供する、あらゆる種類と規模の組織に適用されます。また、本文書のガイドラインは、PII の管理者として活動する組織にも関連する可能性がある。ただし、PII の管理者は、PII の処理者には適用されない追加の PII 保護法、規制、および義務の対象となる場合がある。本文書は、そのような追加的な義務をカバーすることを意図していない。

ISO/IEC 27018:2020 は、PII 処理者の意味でクラウドコンピューティングを通じて情報処理サービスを提供する、民間企業、公的企業、政府機関、非営利団体など、あらゆる種類と規模の組織に適用されます。

ISO 27018規格に関する情報

ISO 27018の要件は、個人を特定できる情報（PII）の保護に特化されています。ISO 27002:2013 Guide to Information Security Controlsの実装勧告と整合しているため、ISO 27001:2013の情報セキュリティマネジメントシステムにシームレスに適合します。両規格とも2022年に改訂され、特に附属書Aの管理策の内容と構成に影響を与えました。しかし、ISO/IEC 27018は、引き続き2013年版の規格を参照しています。

ISO/IEC 27018は、クラウドサービスプロバイダーに対するデータ保護要件を規定し、クラウド環境における個人データの保護を保証するための監視メカニズムや制御を実施するためのガイドラインを策定しています。その際、この規格は、他の分野ですでに存在するデータ保護要件を考慮し、クラウドコンピューティングの分野における情報セキュリティリスクに特別に適応させています。

現行の規格は、2020年8月に発行されたG

ISO/IEC 27018:2019
情報技術-セキュリティ技術-PII処理者として機能するパブリッククラウドにおける個人識別情報（PII）の保護に関する実施規範は、ISOのウェブサイトから入手可能です。

この規格は、ISO/IEC 27017(Information security controls for cloud services) に続くもので、データプライバシー以外のクラウドコンピューティングの情報セキュリティ面をカバーしています。

国際的に認証されたクラウド規格のメリットは何でしょうか？

クラウド事業者の選定において、国際的に認められたセキュリティ対策が採用されているかどうかは、重要な判断基準となっています。これは、ドイツBDSGの第11条（2）項第7号などの国内法に従い、委託されたデータ処理の文脈におけるクライアントの管理権に、より一層当てはまります。ISO 27018の導入により、クラウドサービスプロバイダーは、自社の管理システムをこれらのデータ保護要件に適合させ、その評価を受ける機会を得ました。

ISO 27018の認証を受けることができるのは誰ですか。

情報セキュリティマネジメントシステムを認証するためには、各認証機関がISO/IEC 17021およびISO/IEC 27006に基づく認定を受ける必要があります。DQSは、ドイツの認定機関DAkkS（Deutsche Akkreditierungsstelle GmbH）から認定を受けており、ISO/IEC27001およびISO/IEC 27018の両方に準拠した審査および認証を実施することが認められています。

ISO 27018の認証取得までの流れは？

貴社は、国際規格ISO/IEC 27001に基づき、SO/IEC 27018:2019に従って実装された情報セキュリティマネジメントシステムを認証されることになります。すべての規格要求事項が実施されると、マネジメントシステムの認証を受けることができます。DQSでは、多段階の認証プロセスを経ることになります。

最初のステップでは、貴社、貴社の現在の情報セキュリティ、ISO 27018認証取得の目標について議論していただきます。これらの話し合いをもとに、御社のニーズに合わせた個別の提案をさせていただきます。

特に大規模な認証プロジェクトでは、計画ミーティングは、監査人を知り、関係するすべての分野と場所のための個別の監査プログラムを開発するための貴重な機会となっています。また、事前監査は、貴社のマネジメントシステムの長所だけでなく、改善の可能性を事前に確認する機会を提供します。どちらのサービスもオプションです。

認証審査は、システム分析（審査ステージ1）から始まり、お客様の文書、目的、マネジメントアセスメントの結果、範囲の見直し、内部監査の評価などを行います。このプロセスで、貴社のマネジメントシステムが十分に構築され、認証取得の準備が整っているかどうかを判断します。

次のステップ（システム審査ステージ2）では、DQS審査員がサイト内のすべてのマネジメントプロセスの有効性を評価し、規格の要求事項をすべて満たしているかどうかを確認します。監査チームには法律の専門家が加わり、適用されるデータプライバシー法に関して、マネジメントシステムの有効性を評価します。結果は最終会議で発表され、必要に応じて具体的な対策案が合意されます。

認証審査後、DQSの独立した認証委員会により審査結果が評価されます。審査結果を記録した審査報告書をお渡しします。規格要求事項をすべて満たしている場合、適合証明書が発行されます。この証明書の有効性は、ISO 27001の証明書の有効性と連動しています。

監査後も貴社が重要な要求事項を満たしていることを確認するため、年に一度、サーベイランス監査を実施しています。これにより、情報セキュリティマネジメントシステムとビジネスプロセスの継続的な改善を適切にサポートします。

適合証明書の有効期限は最大3年間です。再認証は、ITセキュリティカタログの該当する標準要件への継続的な準拠を保証するために、有効期限が切れる前に適宜実施されます。適合が確認されると、新たな適合証明書が発行されます。