クラウドセキュリティのISO27017とISO27018は何が違うの?

著者:ISOプロ担当者
投稿日:
更新日:2020年04月07日

ISO27001のアドオン規格であるISO27017とISO27018は、どちらも「クラウド」と呼ばれるIT技術に関する認証規格です。ーーでは、これらの規格が分かれている理由とは何でしょうか?あるいは、これらの規格にはどのような違いがあるのでしょうか?

ISO27017とISO27018の違いについて

ISO27017とISO27018は、どちらも情報セキュリティマネジメントシステムの認証規格であるISO27001を補完するアドオン規格と呼ばれるもので、その中でもクラウドサービスに特化した認証規格です。一方で、これらの規格は、以下のような違いがあります。

  • 規格が対象としている企業
  • 規格が要求する管理策
  • 保護対象となる情報の種類

大きく分けるとこの3つがISO27017とISo27018の違いとなります。それぞれどういうことなのか、以下でチェックしていきましょう。

対象となる企業の違い

ISO27017は、クラウドセキュリティ全体の運用・利用に関するセキュリティに関する管理策の要求を行うマネジメントシステム認証規格であるのに対して、ISO27018はクラウドサービス上での個人情報を保護することに特化した規格です。このため、主にISO27017はクラウドサービスの利用者、運営者の両方を対象とした規格であるのに対して、ISO27018はクラウドサービス運営者を対象とした要求を行っているのです。

つまり、ISO27017はクラウドサービスを利用する様々な企業を対象としていますが、ISO27018はクラウドサービスを提供する事業者を対象とした規格であるといえます。

規格が要求する管理策

上述の通り、ISO27018はクラウドサービス上の個人情報をいかに保護するのかということに特化したマネジメントシステム認証であるため、規格が要求する管理策は39程度となっています。一方でISO27017は倍近い79という管理策を要求しており、ISO27017のほうが「実施すべき管理策が多い」といえます。

ーーただ、どちらのほうが認証取得が難しいとか、どちらの規格が優れているということは管理策の数に依存しませんので、あくまで違いとして認識していただければと思います。

保護対象となる情報の種類

こちらも先程から述べている通り、個人情報保護に特化しているのか、あるいはクラウドサービスの利用方針全体を想定しているのかという違いがあります。これは、ISO27001とプライバシーマークの認証の違いにも似ているかもしれませんね。

これらの認証規格もどちらが優れているということは言い難いですが、ISO27001は企業が保有する情報資産全体を対象としているのに対してプライバシーマークは個人情報保護に特化しています。

どちらの認証を取得するのが良い?

再三申し上げている通り、ISO27017とISO27018はその規格に優劣関係はありません。このため、「個人情報を保護したい」なのか「クラウドサービスの利用にあたって、全体的にセキュリティ水準を高めたい」なのかによって取得する認証を決定すると良いでしょう。

ISO27018に関しては、適用範囲が全社となるPマークの認証取得が重荷となっているクラウドサービスを提供する企業にとっては、理想的なマネジメントシステム規格となるかもしれません。

ISO27017もISO27018もISO27001を前提としている

さて、最後になりますが、一点だけ注意事項があります。これらの認証規格はISO27017やISO27018を単独で取得できるものではありません。どういうことかというと、これらの認証規格はISO27001を前提としているのです。つまり、ISO27001によって構築されたISMSの上で初めて機能する認証規格ということになります。このため、ISO27017やISO27018の認証を取得しようと考えた場合には、ISO27001の認証を取得する必要がありますので、注意しておきましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001入門

【ISO27001入門】規格の詳細から要求事項・取得のノウハ…

ISO取得・運用ガイド

ISOを初めて取得する方や運用中の方のお悩みを基礎知識から実際の取得・構築・運用・継続や更新についてステップ形式で解説していきます。気になる費用などの情報も満載です。

こんな方に読んでほしい

  • ISOを初めて取得する方
  • すでにISO運用中の方

自社取得、自社運用、アウトソーシングをするための基礎知識や流れをご説明します。

インタビュー

自社リソースはお客様のために!ISO取得のアウトソーシングという選択

ISOプロ講座 HACCPプロ講座 HACCPセミナー マンガで分かるISOプロ お電話での問い合わせ コンサルタント募集
WEB相談