法制度対応/CSR 法制度対応/CSR記事一覧へ

[新製品・サービス]

クラウドの個人情報を守るための国際規格、国内第一号認証企業にTKC

2015年10月20日(火)杉田 悟(IT Leaders編集部)

マイナンバー法の施行に合わせて、大小様々なITベンダーが対策サービスを提供している。その多くが、慎重な取り扱いを求められる個人情報を外部委託するというものだ。外部委託は、情報漏えいのリスクを回避するために有効な手段のひとつだが、担当者としては、委託先の信頼性も担保しておきたいところだ。国際規格団体である英BSIは、パブリッククラウドにおける個人情報保護のための国際規格の認証を2014年に開始、2015年10月には国内第1号となる認証企業が誕生した。

 2015年8月28日、個人情報保護法改正案が参議院本会議で可決された。マイナンバー法に歩調を合わせたもので、個人情報の取り扱いについて、より厳格なルールが設けられるようになる見通しだ。企業は、マイナンバー制度で大量に取り扱うことになる社員や取引先などの個人情報の取り扱いに慎重にならざるを得ない。

 そのような中、多くのITベンダーから提供され出したのが、マイナンバーの収集から保管までをワンストップで請け負うBPO(Business Process Outsourcing)サービスだ。堅牢なデータセンターで、多くはクラウドサービスとして預かり、プロが管理することで企業の情報漏えいリスクを回避するという触れ込みのサービスだ。

 ここで、委託元企業が気を付けなければならないのは、外部委託先企業が、信頼に足る環境を本当に備えているのかどうかということだ。「長年の付き合い」だけで重要な個人情報を「丸投げ」してしまって本当に大丈夫なのか。何を基準に委託先企業を選定すればよいのか。できれば、第三者目線での安全性の保証が欲しいところだ。

 情報セキュリティ分野の第三者認証制度といえば、プライバシーマーク(Pマーク)とISMS(情報セキュリティマネジメントシステム)が有名だ。Pマークは、企業が持つ個人情報を保護対象としたもので、ISMSは個人情報を含む全情報資産を対象としたものだ。個人情報保護という観点からはPマークが適しているようだが、これはクラウド事業者には対応していない。

 ISMSは、そのベースが情報セキュリティの国際規格であるISO/IEC 27001だ。その分野別基準として、クラウドサービス向けのISO/IEC 27017がある。いわば、ISMSのクラウド向け規格といえる。そして、2014年7月に公開されたISO/IEC 27018は、クラウドサービスで個人情報を取り扱う際のプライバシーについて定めた規格となっている。

 ISO/IEC 27018の、日本語の正式名称は「PII(Personally Identifiable Information:個人情報)プロセッサとしてパブリッククラウド内で個人情報を保護するための実施基準」。パブリッククラウドにおける個人情報の保護に特化した初めての国際規格だ。ベースとなったのは、マネジメントシステムの実施基準を示したISO/IEC 27001と対を成す、マネジメントシステムの仕様を定めたISO/IEC 27002だ。

関連記事

クラウドの個人情報を守るための国際規格、国内第一号認証企業にTKCマイナンバー法の施行に合わせて、大小様々なITベンダーが対策サービスを提供している。その多くが、慎重な取り扱いを求められる個人情報を外部委託するというものだ。外部委託は、情報漏えいのリスクを回避するために有効な手段のひとつだが、担当者としては、委託先の信頼性も担保しておきたいところだ。国際規格団体である英BSIは、パブリッククラウドにおける個人情報保護のための国際規格の認証を2014年に開始、2015年10月には国内第1号となる認証企業が誕生した。

PAGE TOP