Microsoft、Google、AWSも取得した「ISO/IEC 27018」とは？：クラウドセキュリティ規格解説（2/2 ページ）

ケーススタディ（HDEの場合）

　HDEは、企業向けにクラウド・セキュリティ分野の製品を開発・販売するクラウドセキュリティソリューション企業。今回は、クラウドセキュリティサービス「HDE One」が、クラウドサービスにおける個人情報の保護に焦点を当てた国際規格 ISO/IEC 27018 の認証を取得した。

※「HDE One」：Microsoft Office 365、G Suite、Salesforceなどのクラウドサービスと連携して、情報漏えい対策／デバイス紛失対策／不正ログイン対策を実現するクラウドセキュリティサービス

認証取得のきっかけ

　HDEでは、2011年にHDE Oneの提供を開始して以来、ユーザー数が増加し、国内外で2500社、200万ユーザーに利用されるまでになった。その結果、取り扱う個人情報量が増え、今まで以上にセキュリティ施策を重視し、将来的な顧客に対してもHDE Oneが個人情報を適切に、透明性をもって運営していることを証明する必要が生じた。

　そこで、サービスへのセキュリティ診断や社内体制の強化を実施するとともに、HDE Oneにおいて個人情報を適切に管理・運用していることを第三者機関に評価してもらい、透明性と説明責任を明確にすることを目指した。

ISO/IEC 27018を選択した理由

　クラウドサービスにおけるISO規格には、ISO/IEC 27017とISO/IEC 27018の2つがあるが、HDEでは、クラウドサービスにおける個人情報保護のための管理策を規定する必要があるため、ISO/IEC 27018の取得を決定した。

　グローバルにクラウドサービスを提供しているMicrosoftやGoogle、Amazon Web Servicesなどが、ISO/IEC 27018の取得やISO/IEC 27018に準ずるサービス運営ポリシーを公開していることも、認証取得の後押しとなった。

認証取得までの取り組み

　HDEでは、ISO/IEC 27018取得に向けて3人のプロジェクトチームを立ち上げた。

　ISO/IEC 27018取得には、以下の4つのステップがあるが、HDEでは既にISMSの構築を実施済みのため、ステップ2から作業を行った。

ISO/IEC 27018 認証取得までのステップ

　1．ISO/IEC 27001に基づくISMS構築

　2．ISO/IEC 27018の規格要求事項の理解、実現のためのルール・体制作り

　3．ステップ2で構築した仕組みの運用とレビュー

　4．第三者認証機関による実査

　特に重要なのはステップ2で、ISO/IEC 27018の規格要求事項を正しく理解するため、コンサルタントの協力を得ながら、規格のブリーフィングと要求事項を実現するためのルールや手順、体制、管理策の整備を実施した。

認証取得による効果

　個人情報の取り扱いについて監督官庁の指導を受けている業界の顧客からは、ISO/IEC 27018の認証取得により、個人情報を適切に管理・運用していると客観的に判断できる指標を導入したことについて、評価されている。

　また、コンプライアンスの枠組みにISO/IEC 27018が加わったことにより、個人情報の取り扱いに関する運用やプロセスが透明化し、顧客により安心してサービスを使ってもらえるようになった。