クラウドで個人データを保護するための ISO/IEC 27018 実施基準

マイクロソフトは、クラウド プライバシーに関するこの実施基準を順守した初めてのクラウド プロバイダーです。

マイクロソフトと ISO/IEC 27018

Microsoft Azure と Azure Germany は、年に 1 回以上、ISO/IEC 27001 および ISO/IEC 27018 への準拠に関して、第三者の公認認定機関の監査を受けています。この機関は、該当するセキュリティ コントロールが導入されていて、効果的に運用されていることを独自に検証します。このコンプライアンスの検証プロセスの一環として、監査人は、適用宣言書で、対象となるマイクロソフト クラウド サービスおよび法人向けテクニカル サポート サービスに、Azure で PII を保護するための ISO/IEC 27018 制御が組み込まれていることを確認します。コンプライアンスを確保し続けるために、マイクロソフト クラウド サービスは年 1 回第三者による審査を受ける必要があります。

ISO/IEC 27001 基準と ISO/IEC 27018 の実施基準への準拠が、この実施基準を採用した初めての主要クラウド プロバイダーである、マイクロソフトのプライバシー ポリシーと手順が堅牢で、高い水準が維持されていることの証明になります。

  • マイクロソフト クラウド サービスの顧客がデータの保存場所を把握している。ISO/IEC 27018 では、認定 CSP が、データの保存先の国を顧客に知らせる必要があります。したがって、マイクロソフト クラウド サービスの顧客には、適用される情報セキュリティ ルールに従うために必要な可視性が提供されています。
  • 顧客データは、明確な同意がない限りマーケティングや広告に使用されない。CSP によっては、顧客データを自身の商業目的でターゲットを絞った広告などに使用することがあります。マイクロソフトでは対象となるエンタープライズ クラウド サービスに ISO/IEC 27018 を採用しているため、明確な同意がない限り、顧客データがこのような目的で使用されることありません。その点に関しては、顧客は安心して利用できます。また、このような同意が、クラウド サービスの使用条件になることもありません。
  • マイクロソフトの顧客は PII の状況を把握できる。ISO/IEC 27018 には、適正な期間内に個人情報の返却、移行、および安全な破棄を可能にするポリシーが必要です。顧客データにアクセスする必要がある他の企業と連携する場合、マイクロソフトではこうした二次処理者の身元を積極的に開示します。
  • 顧客データの開示に対する要求には法的拘束力がある場合にのみ応じる。犯罪捜査の場合のように、マイクロソフトがこうした要求に応じる必要がある場合は、法律で禁止されていない限り必ず顧客に通知します。

Microsoft Cloud における ISO-Iec-27018 のメリットをご確認ください。

ISO/IEC 27017 の背景情報をダウンロード

対象となるマイクロソフトのクラウド サービス

  • Azure、Azure Government、Azure Germany 詳細リスト
  • Cloud App Security
  • 法人向けサポート: Azure、Dynamics 365、Intune と、Office 365 の Medium Business および Enterprise のお客様への Premier およびオンプレミス サポート
  • Dynamics 365 および Dynamics 365 U.S. Government 詳細リスト
  • Genomics
  • Graph
  • Health Bot
  • Intune
  • Microsoft Flow クラウド サービス (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランあるいはスイートに搭載されているサービス)
  • Office 365、Office 365 U.S. Government、Office 365 U.S. Government Defense 詳細リスト
  • OMS Service Map
  • Power Apps クラウド サービス (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランあるいはスイートに搭載されているサービス)
  • Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)
  • Stream
  • Visual Studio Team Services

監査、レポート、認証

すべて展開

マイクロソフト クラウド サービスおよび法人向けテクニカル サポート サービスは、年 1 回、ISO/IEC 27001 の認定プロセスの一環として、ISO/IEC 27018 実施基準に関する監査を受けています。

ISO/IEC 27018 の概要

International Organization for Standardization (ISO) (国際標準化機構 (ISO)) は独立した非政府組織で、国際基準を自主的に策定する世界最大の組織です。ISO/IEC 27000 基準ファミリは、すべての形態および規模の組織が情報資産のセキュリティを確保できるよう支援します。

2014 年、ISO は、ISO/IEC 27001 の補遺として、クラウド プライバシーに関する初めての国際実施基準である ISO/IEC 27018:2014 を採用しました。この ISO/IEC 27018 は、EU データ保護法に基づいて、個人を特定できる情報 (PII) の処理者の役割を担うクラウド サービス プロバイダー (CSP) に、PII 保護のためのリスク評価と最新制御の実装に関する特定のガイダンスを提供します。

GDPR コンプライアンスを評価する

組織が個人データの保護要件を満たしているかご確認ください。簡単な 10 の質問からなるインタラクティブな評価を実施して、GDPR への準拠の準備状況をすぐに把握できます。

アセスメントを実施する

よく寄せられる質問

すべて展開

この実施基準は、他の組織のために PII 処理契約を結んでいる CSP に適用されます。また、マイクロソフトでは、これは CSP のサポートにも適用されます。

ISO/IEC 27018 のコンテキストでは、次のような違いがあります。

  • "管理者" は、個人情報の収集、保持、処理、または使用を管理します。他の企業に代わって個人情報を管理する管理担当者も含まれます。
  • "処理者" は、管理者に代わって情報を処理します。情報の使用方法または処理の目的に関する決定を下すことはありません。ユーザーのベンダーであるマイクロソフトは、エンタープライズ クラウド サービスを提供する際に、情報処理者の役割を果たします。
  • Azure、Azure Germany、法人向けサポート、および Power BI に関する ISO/IEC 27018 証明書は BSI から確認できます。
  • Dynamics 365Office 365、および Visual Studio Team Services についても、ISO/IEC 27018 証明書の基礎である ISO/IEC 27001 証明書を BSI から確認できます。
  • マイクロソフトが ISO/IEC 27018 に準拠していることを検証した独立した監査人である BSI のレポートを確認するには、Service Trust Portal にアクセスしてください。

はい。マイクロソフトの適用エンタープライズ クラウド サービスのいずれかにデプロイされている実装と、ビジネスで ISO/IEC 27018 に準拠していることが重要である場合、マイクロソフトの ISO/IEC 27001 認定と併せて、マイクロソフトの ISO/IEC 27018 コンプライアンス証明をコンプライアンス評価で利用できます。

ただし、ご自身の責任で査定人を手配し、コンプライアンスの実装と、組織内での制御やプロセスの実装を評価する必要があります。