Microsoft Azure が、クラウド唯一のプライバシー コントロール国際基準 ISO/IEC 27018 に準拠した初のクラウド コンピューティング プラットフォームとして確認されました

このポストは、2 月 16 日に投稿された Microsoft Azure: The first cloud computing platform to conform to ISO/IEC 27018, the only international set of privacy controls in the cloud の翻訳です。

私たちは先日のブログで Microsoft Azure がコンプライアンス関連で新たな一歩を踏み出したことをお伝えしました。中でも特に大きなニュースだったのが、Azure がパブリック クラウド内の個人情報 (PII) 保護に関する ISO/IEC 27018 の実施基準を満たしていると British Standards Institution (BSI) に確認されたことでした。ISO 27018 はクラウドにおけるプライバシー コントロールを定めた唯一の国際基準であり、Azure はこの ISO 27018 に準拠した初のクラウド コンピューティング プラットフォームとなりました。

Azure の ISO 27018 への準拠は、マイクロソフトの法務本部ゼネラル カウンセル兼エグゼクティブ バイス プレジデントを務める Brad Smith が Microsoft on the Issue ブログ記事 (英語) の中でも説明しているとおり、お客様のプライバシー保護対策の一貫としてマイクロソフトが進めてきた取り組みの成果の 1 つです。Azure のほかにも (英語)、Office 365 (英語)、Dynamics CRM Online、Microsoft Intune が既に ISO 27018 に準拠しています。

ISO 27018 は ISO 27001 標準の新しい規格群の 1 つで、国際標準化機構 (ISO) によって 2014 年 7 月 30 日に公開されました。ISO 27018 は、個人情報を取り扱うパブリック クラウドにおける個人情報保護の実施基準を定めています。ISO/IEC 27018 に準拠するクラウド サービス プロバイダー (CSP) は、運用にあたって以下の 5 つの原則を遵守する必要があります。

1. 同意 : CSP は、顧客から明示的な同意を受けている場合を除いて、受け取った個人データを広告やマーケティング目的で使用してはならない。また、顧客は個人データを広告やマーケティングでの使用のために送信することなく、CSP が提供するサービスを使用できなければならない。
2. 統制 : 顧客は、自分が提供した情報の用途を明示的に統制できなければならない。
3. 透明性 : CSP は顧客に対して、データの保管場所を通達し、個人情報を取り扱う下請業者を使用することを開示し、データの取り扱い手順について明示しなければならない。
4. 情報伝達 : 違反があった場合には、CSP は顧客にその事実を通知し、インシデントとその対応について明確な記録を保持しなければならない。
5. 独立性と年次監査 : 有効な第三者が CSP のコンプライアンスを監査して、サービスが規格を遵守していることを書面にて示すものとする。また、顧客は自身の規制義務をこれに依存することができる。コンプライアンスの遵守を維持するために、CSP は第三者の年次調査を受けなければならない。

お客様にクラウドを活用していただくためには、信頼を獲得することが非常に重要です。マイクロソフトはこのことを重視しており、ISO 27018 に定められている厳格なプライバシー原則の採用をさらに推し進め、Azure のコンプライアンス遵守のために第三者による監査を定期的に実施しています。