Q ISO/IEC27018 とは何ですか。
登山慎一営業マネージャー
A 個人情報を取り扱うクラウドサービス事業者がパブリッククラウド上で管理する個人情報の保護に焦点を当てた初めての国際規格です。ISO/IEC27001であればご存じの方もいらっしゃるでしょうが、これは国際標準化機構(ISO)と国際電機標準会議(IEC)が設置した合同専門委員会によって発行された国際規格です。情報資産の保護、利害関係者からの信頼を獲得するための〝セキュリティ体制の確保〟を目的としたフレームワークの国際規格として、広く用いられています。昨夏に国際規格として発行された27018は、仮想空間上で実施する個人情報保護のベストプラクティスを提供しており、この規格に基づいた認証を取得することで、個人情報に関する処理の委託を受けたクラウド事業者は、収集の制限や正確性、透明性などを国際規格に基づいて保護していることを宣言できることになります。また、クラウド利用者及びクラウド事業者向けにクラウドセキュリティのベストプラクティスをまとめた27017が発行を控えています。(2015年10月末現在)。
Q まだ、世界で3組織しか認証を取得していないとか。
BSIグループジャパン・竹尾直章社長(右)とTKC・角一幸社長
A はい。米国のドロップボックスという世界的なクラウドサービス企業、それから、BSIが認証した香港の企業、そして、TKC様が3社目になります。
Q TKCが審査対象となった経緯は?
A 27001の認証を弊社が実施させていただき、その際の審査員からの推薦がきっかけでした。TKC様の方でも、27001の認証以上にTISC(TKCデータセンター)のセキュリティを強化したいというニーズがあり、弊社のサービスと合致したということです。
Q 27018の認証を受けるために欠かせないものとは何でしょう。
A 預かる情報を単なるデータとして見るのではなく、「個人情報」が含まれているという認識のもとに運用されているかどうかがポイントになります。クラウドサービス事業者はいまや増加の一途ですが、そのほとんどは預かる情報を単なるデータとして見ています。27018では、個人情報は委託者側との同意に基づいて収集、変更、破棄に至るまで正確性と透明性及び説明責任をもって保護されることが求められます。そのため委託者側の目的にそぐわない個人情報の収集や開示などの制限を行っていない事業者は、早急に見直しが必要になります。
Q この規格認証を受けるメリットは何ですか。
A 国際規格に基づいた個人情報保護のルールが整備され、現場で徹底されていることについて、「第三者のチェックが入る」ことにより、ステークホルダーからの信頼を高められることが大きなメリットです。2017年1月にワンストップで行政サービスが受けられる「マイナポータル」がスタートしますが、それまでの期間、自治体をはじめとした各方面でのクラウド化が促進されます。私たちの個人情報はデータ化され、拡散のリスクが高まります。数年の準備期間を残し、対策が間に合うのか非常に不安視されています。たとえば、今回の国民年金データの漏出問題にしてもそうです。このケースでは、機構として個人情報を取り扱うためのルールはあったようですが、そのルールですら厳守が徹底されていなかったことが調査で明らかになっています。またガバナンスの視点からみても、そのルールの遵守状況を実効的に確認できる仕組みも設けられていなかったため、機構の現場に対する管理が不十分であったことも明らかになっています。
Q マイナンバー制度と27018は非常に密接な相補的関係にあると言い切っていいわけですね。
A そう思います。企業や組織がユーザーに対し「当社のクラウドサービスに個人情報を預けても絶対に大丈夫ですよ」といくら宣言しても、透明性がない限り信用できません。透明性を担保するにはオーソライズされた第3者機関の審査が必要です。それがISOなどの認証制度の意味合いなのです。マイナンバーに関していうと、27018の認証を取得しているクラウドサービス業者に頼るべきです。なぜなら、彼らは個人情報の保護に関する実践的ノウハウを持っているからです。
24時間365日、正社員が監視するTKCデータセンター(TISC)
Q 「サーバー貸し」の業者に個人情報を預けるにはリスクが大きいのでは?
A はい。安売り競争に入っていますからね。サブコン(業務委託)を使いながらコストを抑えたサービスが隆盛していますので、個人情報がどこに保管されていて契約通りに処理されているか透明性は低く、データを預ける側としては不安が募ります。個人情報がサブコンに再委託されているのか、又サブコンで働くスタッフがきちんと個人情報の取り扱いについて教育されているかどうかは分かりませんからね。その点、TKC様のデータセンター(TISC)は、サブコンを使わず自社で教育された社員が24時間365日管理しているという珍しい例だと思います。個人情報の取り扱いが注目されている中、一歩先を行く形でTKC様が27018の認証を取得したことで、顧客に安心を与えることができたと考えて下さい。
Q 今後、27018の認証取得に対するニーズは増えていくのでしょうか。
A すでに3、4社が、認証取得の意思を示しています。今後も増加することは確実でしょう。クラウドの問題点は、大きくわけてサイバーセキュリティー対策と個人情報保護の2つです。特に後者の対策には27018認証取得の流れが出来てくると我々は考えています。クラウドサービス利用者の不安に対し、クラウド事業者は明確な対策を示す必要があります。27018の認証は、クラウド事業者が利用者に対してパブリッククラウド上の個人情報保護を宣言できる唯一の認証制度です。
BSI (British Standards Institution, 英国規格協会)
1901 年に英国で工学標準化委員会として設立され、世界最古の国家規格協会として、また独立した専門的ビジネスサービスを提供する機関として世界中に65を超えるオフィスを持ち、150カ国以上で2900人のスタッフが活躍する。
BSIグループジャパン株式会社
BSIグループの一員であり、マネジメントシステム審査登録、医療機器認証サービス、ISO規格を中心とした研修・トレーニング、規格関連情報や、リスク低減ツール、規格策定サービスの紹介など、幅広い分野で顧客に付加価値を提供している。
