ISO27018審査を無事に終えるために
ISO27018を取得するためには、ISMS認証と同じように、審査機関による審査を受ける必要があります。
もちろん、審査で見られる/聞かれる内容は、通常のISMS審査と変わりますので、実際の審査はどんなスケジュールで進むのか、何を聞かれるのかと不安に思われる方も多いと思います。
今回は、そんな方のために、ISO27018の審査に関する様々な情報をご紹介しようと思います。
ISO27018審査の基本知識
プライベート認証ならではの特徴
ご存知の方も多いかもしれませんが、ISO27018については、日本国内のいわゆる「ISMS認証」(正式名称は「ISMS適合性評価制度」)のような、明確な制度は存在しません。そのため、統一された審査基準や、審査に関するガイドラインも、実は存在しません。日本でISO27018の認証を取得している企業の一覧も、公式な情報としては存在していません。では何故、世の中にはISO27018の認証を取得している組織があるのかというと、「ISMSの審査業務を行っている審査機関が、独自にISO27018審査を行っている」からです。以外に思われるかもしれませんが、日本国内では、ISO審査の実施について法的な縛りはありません。(どんな組織でも、自由に審査会社を名乗ることができます。もちろん、名乗りを上げたところで信頼性の問題はありますが…)
このISO27018の審査についても、国内で統一的な審査制度がないために、様々な審査・認証事業を展開している会社が、自由に審査を行っているのが現状です。
統一された審査基準がないために、一概に「ISO27018の審査はこういうことが聞かれます」という説明を行うことは、なかなか難しいです。審査機関によって、聞かれる内容は大きく変わる可能性があります。
審査機関の探し方
前述した通り、日本国内に、ISO27018に関する統一的な認証制度があるわけれはありません。よって、ISO27018の審査が出来る審査機関が、どこかに一覧にまとまっている訳ではありません。そのため組織は、審査を受審する前に、まずISO27018の審査を実施してくれる審査機関を0ベースで探す必要があります。
既にISMS認証を取得している場合は、以前審査を受けた審査機関が審査を実施しているかどうかを確認してみるとよいです。もし、審査を実施していない場合は、他の審査機関を探す必要があります。
なお、インターネットで検索すると、例えばBSI社が27018の審査サービスを提供していることが分かります。
逆にそれ以外の審査機関は、検索ではなかなかヒットしませんので、まだまだマイナーな規格だと言えそうです。
ISO27018認証の審査のスケジュール
基本的にはISMSと同じスケジュールで審査が進むことが多いです。はじめにトップインタビュー、次にISMS事務局へのインタビューや文書・記録類のチェック、最後に今回の認証のスコープの現地審査、という流れです。
審査で聞かれる内容
審査で聞かれる内容は審査機関によって変わる部分ですので、一概に「~という内容が聞かれる」と断言することはできません。ただ、ISO27018はクラウド上の個人情報に関する規格ですので、クラウドサービスそのもののセキュリティ対策の状況や、クラウドサービス上に保管された個人情報の取り扱いについて聞かれることが多いです。
トップインタビュー
例えばトップインタビューでは、クラウドに関するリスクをどのように考えているか、個人情報保護のためにどのような取り組みを実施しているかなど、組織のトップのクラウドや個人情報保護についての考え方や、意識レベルについて聞かれる可能性があります。
ISMS事務局へのインタビュー
ISMS事務局へのインタビューでは、社内で取り扱う個人情報の種類や、個人情報に関するリスクアセスメントの状況、個人情報に関する教育の実施状況、ISO27018の管理策の実施状況、適用宣言書の確認などが行われます。
なお、ISO27018の認証は、ISMS認証を取得していることを前提に審査・認証を行う、いわゆる「アドオン認証」の形として提供されるケースが多いです。
そのため審査では、土台となるISMSに関する内容を聞かれる可能性もあります。
例えば、ISMSの規格であるJIS Q 27001の「4.組織の状況」に関連した利害関係者の要求事項や、「7.支援」に関連した文書の管理方法などが考えられますが、これらに限りません。
現地審査
現地審査では、ISO27018の管理策にフォーカスを当てた内容、例えば、利用しているクラウドサービス上に保管される個人情報の利用目的の設定状況、個人情報に関するインシデントが発生した時の対応手順、クラウドサービス上の個人情報にアクセスできる従業員のアカウントの管理、個人情報を含む外部記憶媒体の取り扱い状況、インターネットを経由する個人情報の通信における暗号化の状況などが聞かれます。
また、実際に確認できるものに関しては、現地で確認されることがあります。
通常のISMS審査よりも、「狭く深く」聞かれるというイメージです。
以上、ISO27018審査についての様々な情報をご紹介しました。
総論として、審査員に聞かれたり、見られたりする対象は違えども、審査の流れや雰囲気は通常のISMS審査と変わりませんので、変に力むこと無く、ありのままを答えていけば問題ありません。
ISO27017/ISO27018を取得できるのか?いつまでに取れそうか?どれくらいの費用がかかるのか?
取得される企業様の状況によって変わりますので、まずはお気軽にご相談ください。