「ISO/IEC 27018」――クラウド上の個人情報取り扱いに関する国際的ベストプラクティスとはマイクロソフト、グーグル、AWSも採用(2/3 ページ)

» 2016年04月07日 05時00分 公開
[打川和男@IT]

ISO/IEC 27018規格の構成

 ISO/IEC 27018では、パブリッククラウドコンピューティング環境において「ISO/IEC 29100」が定めるプライバシー指針に従った個人情報(PII)保護策を導入するために、PII プロセッサが共通して導入すべき「管理目的」「管理策」「ガイドライン」を定めています。ISO/IEC 29100はISOが2011年に発行した規格で、「OECD8原則」や「EU指令」をベースに、プライバシー保護のためのフレームワークを規定したものです(図表3)。

図表3 ISO/IEC 29100とは

 ISO/IEC 29100では、11項目のプライバシー原則が規定されています(図表4)。

図表4 ISO/IEC 29100 11のプライバシー原則

 また、ISO/IEC 27018は、パブリッククラウドサービスプロバイダーの情報セキュリティリスクの観点から、PII保護に関するISO/IEC 27002ベースのガイドラインを提供しています。

図表5 ISO/IEC 27002に追加されているISO/IEC 27018の管理策

 なお、ISO/IEC 27018では、ISO/IEC 27002の管理策のうち、クラウドサービスプロバイダーにおいて追加管理策が必要なものについて、「パブリック クラウド PII 保護の導入ガイダンス」を定めています。また、追加のガイダンスを補足するさらなる関連情報として、「パブリック クラウド PII 保護のためのその他の情報」も含んでいます。

図表6 ISO/IEC 27018:2014の規格の構成

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。