• ISO27018は、クラウドサービスにおける個人情報セキュリティに関する国際規格
  • Pマークは個人情報を保護する国内で有効な規格

情報セキュリティマネジメントシステム認証規格であるISO27001 のアドオン(拡張)としての位置付けを持つISO27018。日本国内では、個人情報保護に関する規格としてPマークが有名ですが、ISO27018とPマークはどのような違いがあるのでしょうか?

今回は、ISO27018の概要や取得の流れ、Pマークとの違いを解説します。

目次

ISO27018とは

ISO27018とは、クラウドサービスにおける個人情報セキュリティに関する国際規格です。個人情報に特化した管理策を示し、より強固なISMS(情報セキュリティマネジメントシステム)を構築する目的で策定されました。

また、ISO27001のアドオン規格であるため、対象はISO27001を取得しているクラウドサービスを提供する企業に限定されています。

ISO27018の認証を取得する企業は、ISO27001やJISQ27002で示された管理策を実行・検討するとともに、例えばPII(Personally Identifiable Information)のような個人を特定し得る情報の保護に力点をおいた管理策を実行する必要があります。

ISO27001の詳細は、以下の記事をご覧ください。

関連記事:ISO27001の規格要求事項とは?認証取得のキホンとあわせて徹底解説!

ISO27018を取得できる事業者

ISO27018を取得できる事業者は、クラウドサービスに関わっている以外にも以下の2つを満たす事業者です。

  • パブリッククラウドサービスを提供している事業者
  • 個人情報を取り扱っている事業者

パブリッククラウドサービスとは、企業や組織などの不特定多数のユーザーに対し、インターネット経由で提供するサービスのことです。

ISO27018の主な取得企業

ISO27018は、世界的に有名な企業も多く取得しています。代表的な取得企業を以下にいくつか紹介します。

  • Google
  • Microsoft
  • Amazon Web Service
  • Dropbox

クラウドサービスを運営・利用している場合には、自社の情報セキュリティ体制を強化することが欠かせません。取引先や消費者に安心して利用してもらえるように、多くの企業がISO27018を取得しています。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISO27018範囲外の個人情報を保護する方法

ISO27018の対象となる情報は、「クラウドサービスにおける個人情報」であり、クラウドサービス以外の個人情報は対象に含まれていません。そのため、クラウドサービス以外の個人情報はどのように保護したら良いのでしょうか。

ここで、覚えておきたいのがISO27018はISO27001のアドオン規格であるという点です。
ISO27018を取得する企業はISO27001やJISQ27002にて示される管理策を実行したうえで、ISO27018を取得する必要があります。

つまり、「社内に存在する個人情報の保護」という要素はISO27001でカバーすることが求められます。考え方としては、ISO27001で構築したISMSをより強固なものにするためにISO27018に取り組んでいくのです。そのため、ISO27018の適用範囲は、ISO27001の適用範囲内、あるいはISO27001の適用範囲全体となります。

ISO27018とISO27017の関係性


ISO27018とよく似た規格にISO27017があります。ここではISO27018とISO27017の関係性を解説します。

ISO27018とISO27017の共通点

ISO27018とISO27017の共通点は以下の2つです。

  • クラウドサービスに関するISO規格であること
  • ISO27001のアドオン認証であること

ISO27018がISO27001のアドオン認証であることは解説してきましたが、ISO27017も同様です。そのため、ISO27018とISO27017はどちらも事前にISO27001を取得するか、同時に取得する必要があることを覚えておきましょう。

ISO27018とISO27017の違い

ISO27018とISO27017の違いを以下にまとめました。

ISO27017ISO27018
対象となる範囲クラウドサービス全般の情報セキュリティクラウドサービスにおける個人情報の情報セキュリティ
対象となる企業クラウドサービスの利用者・運営者クラウドサービスの運営者
管理策の数79個ほど39個ほど

ISO27018とISO27017どちらを取得すべき?

ISO27018とISO27017はどちらを取得すべきなのでしょうか。
結論からいえば、組織の目的や方針により異なるでしょう。例えば「クラウドサービス全体のセキュリティを高めたい」という場合にはISO27017を、「クラウドサービスのうち、個人情報法の保護に特化したい」という場合にはISO27018が適しています。

どちらが適切かわからないという場合には、経験豊富なコンサルティング業者に相談することもおすすめです。

ISO27017とISO27018の違いの詳細は、以下の記事をご覧ください。

関連記事:ISO27017とISO27018はどちらを取得するべきか?
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISO27018とPマークの関係性

個人情報保護に特化したマネジメントシステム(PMS)としては、国内ではPマークが有名ですが、PマークとISO27018はどのような点が異なるのでしょうか。ここでは、ISO27018とPマークの関係性を解説します。

ISO27018とPマークの違い

そもそもPマークは、クラウドサービスに特化しているわけではなく、全社的に個人情報を保護するためのマネジメントシステムです。
そのため、両者の最も大きな違いは、Pマークはクラウドセキュリティに関する要求は特にない一方、ISO27018はクラウド情報として存在する個人情報の保護に特化しているという点です。

PマークとISO27018の違いを以下にまとめました。

PマークISO27018
対象事業者個人情報を扱う全事業者クラウドサービス事業者
保護対象の情報社内に存在する個人情報クラウド上に存在する個人情報
取り組みの内容マネジメントシステムの構築マネジメントシステムの構築及び技術的な管理策の実行
規格の適用範囲原則的に全社企業の状況に応じて適切とされる範囲
認証の有効範囲日本国内海外

Pマークがマネジメントシステムの構築を重視している一方、ISO27018は技術的見地からの対策を重視しています。
また、ISO27018はクラウドサービスを提供する事業者が行うべき管理策が示されているのに対して、Pマークは個人情報を扱うさまざまな事業者を対象としているため、サービス提供事業者が行うべき管理策というものは示されていません。

PマークとISO27018どちらを取得すべきか?

さまざまな違いがあるPマークとISO27018ですが、どちらを取得すべきなのでしょうか。
その答えは、「組織の状況に応じて異なる」ため、断言はできません。そのため、ISO27018とPマークの違いを把握したうえで、どちらの認証が適しているか自社で検討すると良いでしょう。

認証取得にあたって、一般的に検討すべき内容は「適用範囲」と「規格の有効範囲」です。Pマークは適用範囲が全社になるのに対してISO27000シリーズの規格は適用範囲を企業で決定できます。

また、PマークはJIS規格であり、日本国内での知名度こそ高いものの、海外では認知されていない規格です。そのため、国際的に事業を推進していくような場合にはISO規格の方が有利に働くことが多いでしょう。

このように、認証取得によるマーケティングのメリットも考慮したうえで、どちらの規格を取得するかを決定することがおすすめです。

ISO27018認証取得の流れ


最後にISO27018認証取得の流れを解説します。

1.ISMSの構築

ISO27018は、ISO27001のアドオン規格です。そのため、まずはISO27001の要求事項にもとづくISMSを構築することが必要となります。すでにISO27001を取得している場合には次の手順から実施してください。

ISMSの詳細は、以下の記事をご覧ください。

関連記事:【初心者向け】ISMSとは?規格やISOとの違いを徹底解説

2.ISO27018にもとづく体制構築

ISO27001の要求事項に沿って構築したISMSを拡張する形で、ISO27018の要求事項に沿った体制をつくります。その際にはルールや手順などの内容について、管理策をもとに整備しましょう。

3.構築したマネジメントシステムの運用

体制を構築したら、実際に運用を開始します。その際に重要なのは社内への周知と教育です。従業員が運用しやすいような形でルールや手順を教育しましょう。

1~2カ月の運用を実施したのち、内部監査マネジメントレビューを実施。より良いISMSへと改善策を立ててPDCAサイクルを回しましょう。

4.第三者認証機関による審査を受ける

ISMSの構築・運用ができたら、第三者認証機関に依頼して認証審査を受けます。
ISO27018の審査は、プライベート認証(審査機関独自の認証)であるために実は統一された審査基準はありません。そのため審査機関の一覧もないので、インターネットで検索するかISO27001の審査を実施している審査機関にISO27018の審査を実施しているかどうかを確認すると良いでしょう。

5.審査通過後、認証授与

無事に審査に通過すると、審査の1カ月後にISO27018の認証が授与されます。自社の情報セキュリティ体制をアピールするため、ホームページやパンフレットなどを用いて、ISO規格取得を公表すると良いでしょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

まとめ

ISO27018は、クラウドサービスの中でも個人情報保護に特化したISO27001のアドオン規格です。そのため、ISO27001と同時取得するか先に取得しておく必要があります。

クラウドサービスを提供する企業は、ISO27001だけでなくISO27018を取得することで、消費者や取引先に自社の情報セキュリティ体制をより強くアピールできるでしょう。

ISO27018やISO27017、Pマークとさまざまな認証規格があるため、自社の事業に適した規格を選ぶことが大切です。「自社に合った規格がわからない」という場合には、コンサルティング会社にアドバイスを依頼することも一つの手です。まずは豊富な実績があるISOプロにお気軽にお問い合わせください。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

Pマーク、50,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ