【分かりやすく解説】ISO27018認証取得の重要性と成功へのガイド
目次
1.ISO27018とは?
2.ISO27018の取得が多い主な業種
3.ISO27018認証取得のメリット
4.ISO27018認証取得のデメリット
5.ISO27018認証取得に必要なこと
6.ISO27018認証取得の流れ
7.ISO27018認証取得代行を利用するメリット
8.まとめ
現代社会では、クラウドを使ったサービスが増え、ユーザーも増大しています。
個人情報を扱う機会を持つクラウドサービス事業者が、顧客の信頼を得て、サービスを拡大していくために取得しておきたいのがISO27018です。
ISO27018とはどういうものなのか、取得するメリット、デメリット、取得の流れについてご紹介していきます。
1.ISO27018とは?
ISO27018認証とは、クラウドサービス事業者がクラウド上で管理する個人情報の保護を目的とした国際規格です。
ISMS(情報セキュリティ)の国際規格として、すでにISO27001という国際規格がありますが、それをベースにクラウド上で管理する個人情報に着目して生まれた規格です。
クラウドサービス事業者が、ISO27018認証を取得できれば、個人情報の取り扱い方法の正確性やシステムの堅牢性、運用の透明性などが世界的な国際基準に準拠していることをアピールすることができます。
2.ISO27018の取得が多い主な業種
ISO27018の取得が多い主な業種は以下の通りです。
ISO27018は取得できる対象が限定されているため、ISO27018の取得が多い主な業種は、クラウドサービス上に個人情報を含んでいるクラウドサービス事業者に限定されます。
一方、クラウドサービス上に個人情報を含んでいない場合には、ISO27018の取得はできません。
ISO27018認証は、ISO27001認証のアドオン規格として位置づけられています。
ISO27001は、情報の機密性・完全性・可用性をマネジメントし、情報を有効活用するための国際規格ですが、ISO27001による対策に加え、個人情報に特化したISO27018の対策を追加で実施することで、より個人情報保護体制を構築することにつながります。
注意!ISO27017とISO27018の指針と対象は異なる
ISO27001認証のアドオン規格としてはISO27018もありますが、指針と対象が異なるので注意が必要です。
ISO27017
クラウドサービス運用・利用に関する情報セキュリティ指針であり、対象となるのはクラウドサービスを運用している事業者およびクラウドサービスを利用している事業者です。
ISO27018
クラウドサービス上での個人情報保護・管理指針であり、対象となるのはクラウドサービスで個人情報を取得・管理している事業者に限定されます。
ISO27018とプライバシーマーク(Pマーク)の違い
個人情報の保護という点では、プライバシーマーク(Pマーク)の取得も考えられます。
この点、ISO27018はクラウド上に存在する個人情報の保護に特化している点で、Pマークとは異なるので、両者は区別しましょう。
また、技術的見地からの対策を重視している点でも違いがあります。
日本を拠点に活動する企業に限定される日本の規格であるPマークに対して、ISO27018は世界的に通用する国際標準規格である点も大きな違いです。
国際的な規格という点で、海外の企業にもアピールでき、グローバルに市場拡大をしたい企業にとってはメリットとなります。
3.ISO27018認証取得のメリット
\ISO27018認証取得のメリット/
1.ISO27018認証取得することで、自社のクラウドサービスを利用するユーザーの個人情報が適法かつ安全に保護されていることを、第三者機関を通じて証明できる
2.既存のユーザーの信頼を高めるだけでなく、これから利用しようとするユーザーの信頼も高められ、ユーザー数の増大や継続利用につなげることが可能
4.ISO27018認証取得のデメリット
ISO27018認証取得のためには、ISO27018で求められるISMSの構築や体制づくり、社内ルールの作成や運用を担うスタッフの育成や継続的な教育などが必要となります。
手間や時間、コストがかかるのがデメリットです。
ISO27018認証取得には申請をして審査を受ける必要がありますが、審査の手間や審査料もかかります。
一度審査が通れば終わりではなく、その後も継続的な審査や更新が必要で、継続的に手間とコストがかかるのもデメリットです。
5.ISO27018認証取得に必要なこと
ISO27018を認証取得するにあたっては、その前提として、ISMS(情報セキュリティマネジメントシステム)の国際規格であるISO27001を認証取得しなくてはなりません。
ISO27001を認証取得するには、情報セキュリティに関わるリスクやインシデントを洗い出し、体制づくりやルールの作成を行い、PDCAサイクルを回すことが必要となり、一定の時間と労力を要します。
申請を行い、審査を受けて合格する必要があるため、それだけでも半年~1年ほどの時間がかかるので注意しましょう。
そのうえで、ISO27018の規格要求事項を実現するためのルール作成や体制づくりを行い、同じようにPDCAサイクルを回し、継続的な改善をする目途を付けたうえで、申請、審査を受ける必要があります。
6.ISO27018認証取得の流れ
ISO27018認証取得の流れを説明します。
①ISO27001の認証取得
すでにISO27001にもとづくISMSを構築しているか、認証済みの場合は、ISO27018の規 格要求事項を実現するためのルール作成や体制づくりから始めましょう。
②ISO27018の規格要求事項を実現するために、体制を整える
規格要求事項をしっかりと理解したうえで、ルールの作成や規格要求事項のGAP分析、 手順の構築、体制づくりなどを行い、管理策を整備します。
③構築した仕組みの運用を行う
従業員に対して導入教育を行い、少なくとも1ヶ月~2ヶ月間ほど運用を行ってから、内 部監査を実施し、マネジメントレビューを行います。
④ISO27018認証のための申請を行う
マネジメントレビューまで完了すれば、審査を受審できます。
申請をすると、まず書類審査が行われ、その後現地審査が行われるので、審査を受ける準 備をしましょう。
⑤現地審査を受ける
現地審査では、審査員が実際に企業を訪問し、トップインタビューや担当者への確認がな され、現場の状況調査やスタッフへのヒアリングなども実施されます。
書類審査と現地審査を行った結果、クラウドサービスにおける個人情報保護が適切に構 築、運用されていることが確認されれば、審査の約1ヶ月後に正式にISO27018の認証が 授与される流れです。
7.ISO27018認証取得代行を利用するメリット
ISO9001認証取得代行とは、一般的に単に申請書類の作成や提出などを代行する業者ではなく、コンサルティングやサポートを行う業者を意味します。
ISO27018認証取得代行を利用することで、認証を得るために必要な要件を満たしやすくなり、ルールの作成から、手順の実施、必要なPDCAサイクルを回すこともサポートしてもらえます。
ISO27018認証取得においては、その前提としてISO27001も必要となるため、まだISO27001を取得していない場合には、その取得もしなくてはなりません。
ISO9001認証取得代行業者は、ISO27001の認証取得もサポートしているケースが多いため、より効率的かつスピーディーにISO27018認証までこぎつけることができるのもメリットです。
8.まとめ
ISO27018は、個人情報を取り扱うクラウドサービスに特化した国際規格であり、クラウドサービス事業者が個人情報保護を徹底していることをアピールできます。
ユーザーに安心を与え、サービス利用を促進する効果が期待できます。
取得にあたっては、情報セキュリティに関するISO27001の取得が前提となり、ISO27018のルール作成や運用、PDCAサイクルを回すことも求められるので注意が必要です。
スムーズに取得するためも、代行業者によるコンサルティングとサポートを受けるのがおすすめです。
