クラウドで個人データを保護するための ISO/IEC 27018 実施基準

  • [アーティクル]

ISO/IEC 27018 の概要

国際標準化機構 (ISO) は中立的な非政府組織で、国際基準を自主的に策定する世界最大の組織です。 ISO/IEC 27000 基準ファミリは、すべての形態および規模の組織が情報資産のセキュリティを確保できるよう支援します。

2014 年、ISO は、ISO/IEC 27001 の補遺として、クラウド プライバシーに関する初めての国際実施基準である ISO/IEC 27018:2014 を採用しました。 EU データ保護法に基づいて、個人を特定できる情報 (PII) の処理者の役割を担うクラウド サービス プロバイダー (CSP) に、PII 保護のためのリスク評価と最新制御の実装に関する特定のガイダンスを提供します。

Microsoft と ISO/IEC 27018

少なくとも年に 1 回、Microsoft Azure と Azure Germany は、認定されたサード パーティ認定機関による ISO/IEC 27001 および ISO/IEC 27018 への準拠について監査されます。 この監査により、該当するセキュリティ制御が実施され、効果的に動作するという独立した検証が提供されます。 このコンプライアンスの検証プロセスの一環として、監査人は、適用宣言書で、対象となる Microsoft クラウド サービスおよび法人向けテクニカル サポート サービスに、Azure で PII を保護するための ISO/IEC 27018 制御が組み込まれていることを確認します。 コンプライアンスを確保し続けるために、Microsoft クラウド サービスは年 1 回第三者による審査を受ける必要があります。

ISO/IEC 27001 の標準に従い、ISO/IEC 27018 に具体化された実践コードに従うことで、Microsoft は、プライバシー ポリシーと手順が堅牢であり、高い基準に沿っていることを示しています。

  • Microsoft クラウド サービスの顧客がデータの保存場所を把握している。 ISO/IEC 27018 では、認定 CSP が、データの保存先の国を顧客に知らせる必要があります。したがって、Microsoft クラウド サービスの顧客には、適用される情報セキュリティ ルールに従うために必要な可視性が提供されています。
  • お客様のデータは、明確な同意がない限りマーケティングや広告に使用されない。 CSP によっては、顧客データを自身の商業目的でターゲットを絞った広告などに使用することがあります。 Microsoft は、スコープ内のエンタープライズ クラウド サービスに ISO/IEC 27018 を採用しているため、お客様は、明示的な同意なしにデータがそのような目的で使用されることは決してなく、同意がクラウド サービスの使用条件になることはできないことを安心できます。
  • Microsoft の顧客は PII の状況を把握できる。 ISO/IEC 27018 には、適正な期間内に個人情報の返却、移行、および安全な破棄を可能にするポリシーが必要です。 顧客データにアクセスする必要がある他の企業と連携する場合、Microsoft ではこうした二次処理者の身元を積極的に開示します。
  • 顧客データの開示に対する要求には法的拘束力がある場合にのみ応じる。 Microsoft がこのような要求に従う必要がある場合 (犯罪捜査の場合と同様)、法律で禁止されていない限り、常に顧客に通知されます。

対象となる Microsoft のクラウド プラットフォームとサービス

  • Azure、Azure Government、Azure ドイツ
  • Azure DevOps Services
  • Dynamics 365、Dynamics 365、Dynamics 365 ドイツ
  • Intune
  • Microsoft Defender for Cloud Apps
  • Microsoft Professional Services: Azure、Dynamics 365、Intune と、Microsoft 365 for business の Medium Business および Enterprise のお客様への Premier およびオンプレミス サポート
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Microsoft マネージド デスクトップ
  • Microsoft 脅威エキスパート
  • Microsoft Stream
  • Office 365、Office 365 米国政府、Office 365 米国防総省
  • Office 365 Germany
  • OMS Service Map
  • Power Automate (旧称 Microsoft Flow): スタンドアロン サービス、または Office 365 や Dynamics 365 ブランド プランあるいはスイートに搭載されているサービスとしてのクラウド サービス
  • Power Apps クラウド サービス: スタンドアロン サービス、または Office 365 や Dynamics 365 ブランド プランあるいはスイートに搭載されているサービス
  • Power BI クラウド サービス: スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス
  • Power BI Embedded
  • Power Virtual Agents
  • Microsoft Defender for Endpoint: エンドポイントの検出と応答、自動の調査と修復、セキュリティ スコア
  • Windows 365 Business

Azure、Dynamics 365、ISO ISO/IEC 27018

Azure、Dynamics 365、およびその他のオンライン サービス コンプライアンスの詳細については、Azure ISO/IEC 27018 サービスを参照してください。

Office 365 と ISO ISO/IEC 27018

Office 365環境

Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。

このセクションでは、次のOffice 365環境について説明します。

  • クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
  • Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
  • Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
  • Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
  • Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。

このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。

あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。

Office 365 の適用性と範囲内のサービス

以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。

適用性 範囲内のサービス
商用 Access Online、Microsoft Entra ID、Azure Communications Service、Compliance Manager、Customer Lockbox、Delve、Exchange Online Protection、Exchange Online、Forms、Griffin、Identity Manager、Lockbox (Torus)、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 カスタマー ポータル、Office 365 マイクロサービス (Kaizala、ObjectStore、Swayを含みますが、これらに限定されません)、PowerPoint Online Document Service、Query Annotation Service、School Data Sync、Siphon、Speech、StaffHub、eXtensible Application Program)、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、Office Services Infrastructure、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、Project Online、Microsoft Purview カスタマー キーを使用したサービス暗号化、SharePoint Online、Skype for Business、Stream
GCC Microsoft Entra ID、Azure Communications Service、Compliance Manager、Delve、Exchange Online、フォーム、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream
GCC High Microsoft Entra ID、Azure Communications Service、Exchange Online、フォーム、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office 365セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business
DoD Microsoft Entra ID、Azure Communications Service、Exchange Online、フォーム、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office 365セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、Power BI、SharePoint Online、Skype for Business

Office 365 監査、レポート、証明書

Microsoft クラウド サービスおよび法人向けテクニカル サポート サービスは、年 1 回、ISO/IEC 27001 の認定プロセスの一環として、ISO/IEC 27018 実施基準に関する監査を受けています。

よく寄せられる質問

ISO/IEC 27018 はだれに適用されますか?

この実施基準は、他の組織との契約の下で PII を処理する CSP に適用されます。 また、Microsoft では、これらの CSP のサポートにも適用されます。

"個人情報管理者" と "個人情報処理者" の違いは何ですか?

ISO/IEC 27018 のコンテキストでは、次のような違いがあります。

  • 「管理者」は、個人情報の収集、保持、処理、または使用を制御します。他の会社に代わって管理する当事者が含まれます。
  • 'プロセッサ' は、コントローラーの代わりに情報を処理します。情報の使用方法や処理の目的に関する決定は行いません。 (ユーザーのベンダーである) Microsoft は、エンタープライズ クラウド サービスを提供する際に、情報処理者の役割を果たします。

Office 365 の ISO/IEC 27018 コンプライアンス情報はどこで確認できますか?

  • Office 365 の BSI (Microsoft が ISO/IEC 27018 に準拠していることを検証した独立監査人) からの ISO/IEC 27018 証明書を確認できます。

Microsoft のコンプライアンスを自分の組織の認定プロセスに利用できますか?

はい。 ISO/IEC 27018 への準拠が、お客様のビジネスおよび Microsoft の対象企業向けクラウド サービスへの展開において重要である場合、Microsoft の ISO/IEC 27018 への準拠証明書と Microsoft の ISO/IEC 27001 への準拠認証をコンプライアンス評価に使用できます。

ただし、評価者がコンプライアンスの実装を評価し、独自のorganization内の制御とプロセスを評価する責任を負います。

Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する

Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース