規格の概要

「ISO/IEC 27018」は、クラウドサービス事業者がパブリッククラウド上で管理する個人情報の保護に焦点を当てた国際規格
です。
ISO/IEC 27001(ISMS)を前提としたアドオン認証となり、クラウド情報における個人情報の保護に対応したISMSにアップ
グレードすることができます。

対象となる組織

●クラウドサービスを運営している組織(PII管理者)

※PII(ピーアイアイ)とは…
Personally Identifiable Informationの略。
個人を特定できる情報のこと。(例:顧客情報、あるサービスにおけるユーザ情報、従業員情報など)

※PII管理者とは…
私的な目的でデータを使う個人を除いた、PIIを処理するための目的・手段を決定する事業者のこと。

規格要求事項の構成

ISO/IEC 27017とISO/IEC 27018の違い

ISO/IEC 27018はISMSの管理策をクラウドサービスまで拡大したもので、クラウドサービスを提供する組織、利用する組織の双方に適用される規格です。
一方、ISO/IEC 27018は、ISO/IEC 27017と同じく管理策を拡大したものですが、クラウド上に保管されている個人情報の取扱いに特化しており、クラウドサービスを提供している組織にのみ適用される規格です。

ISO/IEC 27701(ISMS-PIMS)、Pマークとの違い

●ISO/IEC 27701の適用範囲は対象のPIIに関わる全ての活動が対象となります。
従って、アクセス可能を含む該当するPIIに関わる組織を対象にする必要があります。
一方、ISO/IEC 27018はクラウド上の個人情報に特化しているため、適用範囲はクラウドに関わる事業部のみが対象となります。

●Pマークは国内限定で有効な規格であり会社全体での認証が必須です。
ISO/IEC 27018は国際規格であることから国内外にて有効な規格であり、また社内の事業部単位での取得が可能です。

       

●Pマークの保護対象は、”組織が取り扱う個人情報”となります。
ISO/IEC 27018の保護対象は”クラウド上の個人情報”に限定されるため、よりクラウドに特化した規格となります。

       

ISO/IEC 27017とISO/IEC 27018どちらを取得すればいいの?

ISO/IEC 27017は、クラウドサービスそのものを安全に安定した提供又は利用をするための仕組みづくりをする規格です。
ISO/IEC 27018は、クラウドサービス上で扱う個人情報(PII)を保護することを目的とした規格となります。
組織が求められるニーズや責任を鑑みて選択することをお勧めします。