bsi powerpoint template › localfiles › ja-jp › iso27018 › iso...bsi powerpoint template...

Copyright © 2015 BSI. All rights reserved.

パブリッククラウドにおける個人情報保護の実施基準 ISO/IEC 27018 認証 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

2 Copyright © 2015 BSI. All rights reserved.

本日のアジェンダ

1. BSI (英国規格協会) の紹介

2. ISO/IEC 27018の概要

3. ISO/IEC 27018規格概要

4. ISO/IEC 27018認証スキーム


1. BSI(英国規格協会)の紹介


100年を超える歴史の中で、BSIは、世界中の組織で使用される規格を策定してきました。

BSIの歴史はロンドンにあるタワーブリッジのデザイナーであるJohn Wolfe-Barry 卿により招集された、1901年の工業規格委員会の最初の会合から始まりました。現在使用されている世界で最も古いトレードマークの一つであるBSIのカイトマークが初めて登録されました。

BSIは、世界最古の国家規格協会であり、ISO（国際標準化機構）の創立メンバーです。

過去100年間、BSIは組織のパフォーマンスを向上させるような重要な規格を策定してきました。

BSIが策定したBS5750は、ISO9001の原案となり、世界で最も使用される規格になりました。さらにBSIは、次のような規格の原案を策定しました。

情報セキュリティ (ISO/IEC 27001) ←BS7799

環境マネジメント (ISO 14001)←BS7750

労働安全衛生 (OHSAS 18000)←BS8800

事業継続 (ISO 22301)←BS25999

BSIは、製品やビジネスプロセスの規格だけを策定しているわけではありません。スタッフを通じて、組織がポテンシャルを十分に発揮できるような行動や価値に関わる規格も策定しています。

1900 1950

2000

製品仕様

BSIは世界最古の国家規格協会です.

...making a excellence a habit.


2. ISO/IEC 27018の概要


ISO/IEC 27018の位置づけ

パブリッククラウドにおける個人情報保護の実施基準クラウドサービス事業者

プライベートクラウドパブリッククラウド

ISO/IEC27017

クラウドサービス利用者

CSA STAR

PII プロセッシング

ISO/IEC 27018


• 市場に広く受け入れられているISO/IEC 27001及びISO/IEC 27002を拡張するSector-specific guideline standard

• ISO/IEC 27010 Information security management system for inter-sector and inter-

organizational communications

• ISO/IEC 27011 Information security management guidelines for telecommunications

organizations based on ISO/IEC 27002

• ISO/IEC 27017 Code of practice for information security controls based on ISO/IEC

27002 for cloud services

パブリッククラウドにおける個人情報のセキュリティという

わかりやすい具体的なテーマを扱う


ISO/IEC 27018とは？


ISO/IEC 27018を適用する利点


ISO/IEC 27018の認証スキーム

BSIは、他組織との契約下で、パブリッククラウドコンピューティングにより、PII処理サービスを提供するあらゆるクラウドサービスカテゴリ及び規模の組織に適用できるISO/IEC 27018認証スキームとして開発


3. ISO/IEC 27018規格概要


ISO/IEC 27018 国際規格の活用

ISO/IEC 27001に基づいてクラウドコンピューティングの情報セキュリティマネジメント

システムの実施プロセスにPII保護の管理策を選択するための参照として使用

ISO/IEC 27002を補強

すでに実施しているISO/IEC 27002管理策を確実にするために、パブリッククラウドでの

PII保護に適用可能なガイダンスを提供

すでに実施しているISO/IEC 27002が焦点を当てていないパブリッククラドでの

PII保護に対する追加の管理策及び関連するガイダンスを提供（Annex A）


ISO/IEC 27018が前提とするPII保護に関する主要な要求事項のソース

PIIを保護する法規制及び契約上の義務

•組織、取引きパートナー、契約者及びサービスプロバイダも範囲

• PIIプロセッサがコミットした法規制、契約上の義務

リスク

•組織の全体の事業戦略及び目標を考慮したPIIに関わるリスク

•脅威、脆弱性及び発生頻度の評価、並びに潜在的な影響の評価

会社のポリシー

•法的及び社会的な義務に由来する様々な側面から、法規制及び契約上の義務以上のことを自主的に

自らに課すことも考えられる


ISO/IEC 27018国際規格の構成


ISO/IEC 27018国際規格の構成（ISO/IEC 27002を補強）箇条管理目的追加されたガイダンスの概要

5 情報セキュリティのための方針群適用するPII保護の法規制及び契約条件の順守及びコミットメント

6 情報セキュリティのための組織 PIIの処理に関してクラウドサービスの顧客が利用する連絡先の指定

7 人的資源のセキュリティ起り得る影響に対する要員の認識

8 資産の管理追加はない

9 アクセス制御顧客によるアカウント管理権限の提供、ユーザアクセス制御が危険にさらされた場合のユーザ登録及び削除手

順、安全なログオン手順の提供

10 暗号 PII保護のための暗号化使用状況を顧客に情報提供

11 物理的及び環境的セキュリティ PIIを記憶している可能性がある記憶媒体を内蔵する装置は、PIIを記憶しているものとして安全な廃棄又は

再利用

12 運用のセキュリティテスト目的でPIIを使用する場合のリスクアセスメント及びリスクを最小化する施策実施、データの消失からの保

護、イベントログを周期的にレビュー、PIIを含むログ情報へのアクセス制御・削除等

13 通信のセキュリティ PIIを含む物理的媒体の出入りの記録及び暗号化等の追加対策

14 システムの取得、開発及び保守追加はない

15 供給者関係 ISO/IEC 27036-4 Information security for supplier relationshipを参照

16 情報セキュリティインシデント管理情報セキュリティイベントのレビュー（PIIに関連するデータ侵害が発生したかどうか）

17 事業継続マネジメントにおける情報セキュリティの側面追加はない

18 順守顧客による監査が現実的でないかセキュリティリスクを増大する可能性がある場合、独立した証拠を利用可能


ISO/IEC 27018国際規格の構成（ISO/IEC 29100の原則） Annex A

管理目的（プライバシー原則）

ISO/IEC 29100（Privacy framework）に基づく追加の管理策

A.1 同意と選択 A.1.1 PII主体の権利の行使に関する協力の義務

A.2 目的の正当性と詳述 A.2.1 パブリッククラウドPIIプロセッサの目的, A.2.2 パブリッククラウドPIIプロセッサの商業的利用

A.3 収集の制限追加なし

A.4 データ最小化 A.4.1 一時的ファイルの安全な削除

A.5 利用、保持、開示の制限 A.5.1 PII 開示の通知, A.5.2 PII 開示の記録

A.6 正確性と品質追加なし

A.7 公開性、透明性、および通知 A.7.1 サブコントラクタによるPII処理の開示

A.8 個人の参加とアクセス追加なし

A.9 説明責任 A.9.1 PIIを含むデータ侵害の通知, A.9.2 管理セキュリティ方針およびガイドラインの維持期間, A.9.3 PIIの返却、転送、及び廃棄

A.10 情報セキュリティ

A.10.1 機密性又は機密保持同意書, A.10.2 ハードコピー文書作成の制限, A.10.3 データ復元の管理策及びログ,

A.10.4 搬出される記録媒体内のデータの保護, A.10.5 暗号化できない持ち運び可能な物理的媒体及び装置の利用,

A.10.6 公共ネットワークを利用して転送されるPIIの暗号化, A.10.7 ハードコピー資料の安全な廃棄, A.10.8 利用者IDの

個別利用, A.10.9 認可された利用者の記録, A.10.10 利用者IDの管理, A.10.11 契約における施策, A.10.12 サブコ

ントラクタによるPIIの処理, A.10.13 以前利用されたデータ保存領域におけるデータへのアクセス

A.11 プライバシーコンプライアンス A.11.1 PIIの地理的地点, A.11.2 PIIの意図した送信先

ISO/IEC 29100は個人情報保護に関して、ICTの側面からの安全策を提供

OECD 8原則を網羅


4. ISO/IEC 27018認証スキーム


ISO/IEC 27018認証スキームの概要

ISO/IEC 27018 Certification

Annex A Controls

ISO/IEC 27001:2013

ISO/IEC 27018 incorporated

Additional controls

Public cloud PII

Processor BSI

implementation audit & certification

audit criteria

ISO/IEC 27002

Controls

Public cloud

Pro

cess

ing o

f PII

Cloud service

customers

implement

select / implement

Cloud service users

(PII principals)

Cloud service partner

PII Controller

sector-specific ISMS

for protection

of

PII


ISO/IEC 27018認証

• ISO/IEC 27018審査は、パブリッククラウド・PIIプロセッサのマネジメントシステムがISO/IEC 27001要求事項に適合して運用され、パブリッククラウドサービスで保護すべきPIIのために適切な管理策をISO/IEC 27018のガイダンス及び追加要求事項から合理的に適用し運用していることを検証します。

• 上記の審査で、有効でかつ効果的なISMSが構築・運用されていると判断される場合に、単独のISO/IEC 27018認証（非認定認証）が付与されます。

• ISO/IEC 27018認証を取得しようとするパブリッククラウドPIIプロセッサは次の要求事項に従って情報セキュリティマネジメントシステムを確立し導入する必要があります。

ISO/IEC 27001マネジメントシステムで構築・運用しているリスクマネジメントのアプローチに基づいて、提供しているパブリッククラウドサービス/環境でのPII保護に対する管理策をISO/IEC 27018から選択し導入

ISO/IEC 27018の管理策を選択しなかった場合には、選択しなかった正当性を文書化

管理策の選定及び導入は、PIIプロバイダの実際の役割（IaaS, PaaS又はSaaS等）に対して適切

ISO/IEC 27018に含まれていない追加管理策をパブリッククラウドPIIプロセッサとしての要求事項に応じて開発し、追加

20 Copyright © 2015 BSI. All rights reserved. 20 Copyright © 2015 BSI. All rights reserved.

ご静聴ありがとうございました。

BSIグループジャパン株式会社(英国規格協会)

TEL:03-6890-1174

www.bsigroup.jp

TEL:03-6890-1174

TEL:03-6890-1174

TEL:03-6890-1174

TEL:03-6890-1174

TEL:03-6890-1174

http://www.bsigroup.jp/

bsi powerpoint template › localfiles › ja-jp › iso27018 › iso...bsi powerpoint template...

Documents