ISO27018とは

ISO27018の概要

ISO27018認証とは、クラウドサービス事業者がパブリッククラウド上で管理する個人情報の保護に焦点を当てた国際規格です。

仮想空間で実施する個人情報保護の実践規範として位置づけられる本規格に基づく認証を取得することで、各事業者は、個人情報の取り扱い方法における正確性やシステムの堅牢性、運用における透明性などにおいて、世界標準に準拠しているということを宣言できることになります。

ISO27018の位置付け

ISO27018認証は、ISMSとして知られるISO27001認証のアドオン規格として位置づけられており、ISO27001単体で実施した各種の対策に加え、個人情報に特化した対策を追加で検討・実施することで、パブリッククラウドにおける個人情報保護体制を構築します。
※自社のクラウドサービス上に個人情報を含んでいない場合などは、同認証を取得することはできません。

ISO27001認証においては、あくまで社内情報資産の一区分として捉えられていた個人情報を、改めて個人を特定し得る情報＝PII(Personally Identifiable Information)として捉え直すことで、個人情報の保護に力点を置いたルールの構築が可能になります。

ISO27018とプライバシーマークの違い

国内において、個人情報保護に関するセキュリティ認証と言えば、日本情報経済社会推進協会(JIPDEC)によるプライバシーマークが有名です。

一方で、ISO27018は、クラウド情報に存在する個人情報の保護に特化している点、技術的見地からの対策を重視している点、また、世界的に通用する国際標準規格である点が、プライバシーマークと異なります。

認証名	プライバシーマーク	ISO27018
取り扱い対象の情報	社内に存在する個人情報全般	パブリッククラウド上の個人情報保護に特化
取り組み内容	マネジメントシステムの構築	技術的見地からの各種対策実施を含む
認証の有効範囲	日本独自の認証であり国内でのみ有効	国際標準規格であり国内外でPR可能