ISO27018とは?PマークやISO27017との違いを解説
- ISO27018は、クラウドサービスにおける個人情報セキュリティに関する国際規格
- Pマークは個人情報を保護する国内で有効な規格
情報セキュリティマネジメントシステムの認証 規格 である ISO27001 のアドオン(拡張)としての位置付けを持つ ISO 27018。日本国内では、個人情報保護に関する規格としてPマークが有名ですが、ISO27018とPマークはどのような違いがあるのでしょうか?
今回は、ISO27018の概要や取得の流れ、Pマークとの違いを解説します。
ISO27018とは
ISO27018とは、クラウドサービスにおける個人情報セキュリティに関する国際規格です。個人情報に特化した管理策を示し、より強固なISMS(情報セキュリティマネジメントシステム)を構築する目的で策定されました。
また、ISO27001のアドオン規格であるため、対象はISO27001を取得しているクラウドサービスを提供する企業に限定されています。
ISO27018の認証を取得する企業は、ISO27001やJISQ27002で示された管理策を実行・検討するとともに、例えばPII(Personally Identifiable Information)のような個人を特定し得る情報の保護に力点をおいた管理策を実行する必要があります。
ISO27001の詳細は、以下の記事をご覧ください。
ISO27018を取得できる事業者
ISO27018を取得できる事業者は、クラウドサービスに関わっている以外にも以下の2つを満たす事業者です。
- パブリッククラウドサービスを提供している事業者
- 個人情報を取り扱っている事業者
パブリッククラウドサービスとは、企業や組織などの不特定多数のユーザーに対し、インターネット経由で提供するサービスのことです。
ISO27018の主な取得企業
ISO27018は、世界的に有名な企業も多く取得しています。代表的な取得企業を以下にいくつか紹介します。
- Microsoft
- Amazon Web Service
- Dropbox
クラウドサービスを運営・利用している場合には、自社の情報セキュリティ体制を強化することが欠かせません。取引先や消費者に安心して利用してもらえるように、多くの企業がISO27018を取得しています。
ISO27018範囲外の個人情報を保護する方法
ISO27018の対象となる情報は、「クラウドサービスにおける個人情報」であり、クラウドサービス以外の個人情報は対象に含まれていません。そのため、クラウドサービス以外の個人情報はどのように保護したら良いのでしょうか。
ここで、覚えておきたいのがISO27018はISO27001のアドオン規格であるという点です。
ISO27018を取得する企業はISO27001やJISQ27002にて示される管理策を実行したうえで、ISO27018を取得する必要があります。
つまり、「社内に存在する個人情報の保護」という要素はISO27001でカバーすることが求められます。考え方としては、ISO27001で構築したISMSをより強固なものにするためにISO27018に取り組んでいくのです。そのため、ISO27018の適用範囲は、ISO27001の適用範囲内、あるいはISO27001の適用範囲全体となります。
ISO27018とISO27017の関係性
ISO27018とよく似た規格にISO27017があります。ここではISO27018とISO27017の関係性を解説します。
ISO27018とISO27017の共通点
ISO27018とISO27017の共通点は以下の2つです。
- クラウドサービスに関するISO規格であること
- ISO27001のアドオン認証であること
ISO27018がISO27001のアドオン認証であることは解説してきましたが、ISO27017も同様です。そのため、ISO27018とISO27017はどちらも事前にISO27001を取得するか、同時に取得する必要があることを覚えておきましょう。
ISO27018とISO27017の違い
ISO27018とISO27017の違いを以下にまとめました。
| ISO27017 | ISO27018 | |
|---|---|---|
| 対象となる範囲 | クラウドサービス全般の情報セキュリティ | クラウドサービスにおける個人情報の情報セキュリティ |
| 対象となる企業 | クラウドサービスの利用者・運営者 | クラウドサービスの運営者 |
| 管理策の数 | 79個ほど | 39個ほど |
ISO27018とISO27017どちらを取得すべき?
ISO27018とISO27017はどちらを取得すべきなのでしょうか。
結論からいえば、組織の目的や方針により異なるでしょう。例えば「クラウドサービス全体のセキュリティを高めたい」という場合にはISO27017を、「クラウドサービスのうち、個人情報法の保護に特化したい」という場合にはISO27018が適しています。
どちらが適切かわからないという場合には、経験豊富なコンサルティング業者に相談することもおすすめです。
ISO27017とISO27018の違いの詳細は、以下の記事をご覧ください。
ISO27018とPマークの関係性
個人情報保護に特化したマネジメントシステム(PMS)としては、国内ではPマークが有名ですが、PマークとISO27018はどのような点が異なるのでしょうか。ここでは、ISO27018とPマークの関係性を解説します。
ISO27018とPマークの違い
そもそもPマークは、クラウドサービスに特化しているわけではなく、全社的に個人情報を保護するためのマネジメントシステムです。
そのため、両者の最も大きな違いは、Pマークはクラウドセキュリティに関する要求は特にない一方、ISO27018はクラウド情報として存在する個人情報の保護に特化しているという点です。
PマークとISO27018の違いを以下にまとめました。
| Pマーク | ISO27018 | |
|---|---|---|
| 対象事業者 | 個人情報を扱う全事業者 | クラウドサービス事業者 |
| 保護対象の情報 | 社内に存在する個人情報 | クラウド上に存在する個人情報 |
| 取り組みの内容 | マネジメントシステムの構築 | マネジメントシステムの構築及び技術的な管理策の実行 |
| 規格の適用範囲 | 原則的に全社 | 企業の状況に応じて適切とされる範囲 |
| 認証の有効範囲 | 日本国内 | 海外 |
Pマークがマネジメントシステムの構築を重視している一方、ISO27018は技術的見地からの対策を重視しています。
また、ISO27018はクラウドサービスを提供する事業者が行うべき管理策が示されているのに対して、Pマークは個人情報を扱うさまざまな事業者を対象としているため、サービス提供事業者が行うべき管理策というものは示されていません。
PマークとISO27018どちらを取得すべきか?
さまざまな違いがあるPマークとISO27018ですが、どちらを取得すべきなのでしょうか。
その答えは、「組織の状況に応じて異なる」ため、断言はできません。そのため、ISO27018とPマークの違いを把握したうえで、どちらの認証が適しているか自社で検討すると良いでしょう。
認証取得にあたって、一般的に検討すべき内容は「適用範囲」と「規格の有効範囲」です。Pマークは適用範囲が全社になるのに対してISO27000シリーズの規格は適用範囲を企業で決定できます。
また、PマークはJIS規格であり、日本国内での知名度こそ高いものの、海外では認知されていない規格です。そのため、国際的に事業を推進していくような場合にはISO規格の方が有利に働くことが多いでしょう。
このように、認証取得によるマーケティングのメリットも考慮したうえで、どちらの規格を取得するかを決定することがおすすめです。
ISO27018認証取得の流れ
最後にISO27018認証取得の流れを解説します。
1.ISMSの構築
ISO27018は、ISO27001のアドオン規格です。そのため、まずはISO27001の要求事項にもとづくISMSを構築することが必要となります。すでにISO27001を取得している場合には次の手順から実施してください。
ISMSの詳細は、以下の記事をご覧ください。
2.ISO27018にもとづく体制構築
ISO27001の要求事項に沿って構築したISMSを拡張する形で、ISO27018の要求事項に沿った体制をつくります。その際にはルールや手順などの内容について、管理策をもとに整備しましょう。
3.構築したマネジメントシステムの運用
体制を構築したら、実際に運用を開始します。その際に重要なのは社内への周知と教育です。従業員が運用しやすいような形でルールや手順を教育しましょう。
1~2カ月の運用を実施したのち、内部監査 とマネジメントレビュー を実施。より良いISMSへと改善策を立ててPDCAサイクルを回しましょう。
4.第三者認証機関による審査を受ける
ISMSの構築・運用ができたら、第三者認証機関に依頼して認証審査を受けます。
ISO27018の審査は、プライベート認証(審査機関独自の認証)であるために実は統一された審査基準はありません。そのため審査機関の一覧もないので、インターネットで検索するかISO27001の審査を実施している審査機関にISO27018の審査を実施しているかどうかを確認すると良いでしょう。
5.審査通過後、認証授与
無事に審査に通過すると、審査の1カ月後にISO27018の認証が授与されます。自社の情報セキュリティ体制をアピールするため、ホームページやパンフレットなどを用いて、ISO規格取得を公表すると良いでしょう。
まとめ
ISO27018は、クラウドサービスの中でも個人情報保護に特化したISO27001のアドオン規格です。そのため、ISO27001と同時取得するか先に取得しておく必要があります。
クラウドサービスを提供する企業は、ISO27001だけでなくISO27018を取得することで、消費者や取引先に自社の情報セキュリティ体制をより強くアピールできるでしょう。
ISO27018やISO27017、Pマークとさまざまな認証規格があるため、自社の事業に適した規格を選ぶことが大切です。「自社に合った規格がわからない」という場合には、コンサルティング会社にアドバイスを依頼することも一つの手です。まずは豊富な実績があるISOプロにお気軽にお問い合わせください。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい