ISO 27018とは
ISO/IEC 27018:2019「Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors」は、パブリッククラウド環境で個人情報(PII: Personally Identifiable Information)を処理するクラウドサービスプロバイダー(CSP)向けの管理策を定めた国際規格です。
ISO 27017がクラウドの情報セキュリティ全般を対象とするのに対し、ISO 27018は個人情報の保護に特化しています。EUのGDPR(一般データ保護規則)との親和性も高く、グローバルにクラウドサービスを提供する事業者にとって重要な認証です。
Microsoft Azure、AWS、Google Cloud、Salesforce等の大手クラウド事業者はいずれもISO 27018認証を取得しています。
適用範囲と対象
| 項目 | 内容 |
|---|---|
| 対象者 | CSP(クラウドサービスプロバイダー)のみ。クラウド利用者(CSC)は対象外 |
| 対象環境 | パブリッククラウド環境 |
| 対象データ | PII(個人を識別できる情報)。氏名、メールアドレス、IPアドレス、位置情報等 |
| 役割の定義 | CSPは「PII処理者(Processor)」として位置づけ。PIIの取扱い目的はCSC(PII管理者/Controller)が決定 |
| 前提条件 | ISO/IEC 27001(ISMS)認証の取得が必須(アドオン認証) |
ISO 27017はCSP+CSCの両方を対象とし、情報セキュリティ全般をカバー。ISO 27018はCSPのみを対象とし、個人情報保護に特化。クラウドサービスを提供する企業で個人情報を扱う場合は、ISO 27017+ISO 27018の両方の取得が理想的です。
PIIの保護原則
ISO 27018は、ISO/IEC 29100(プライバシーフレームワーク)に基づく11のプライバシー原則を反映しています。
| # | 原則 | CSPへの要求 |
|---|---|---|
| 1 | 同意と選択 | PIIの処理はCSC(管理者)の指示に基づいて行い、CSPが独自の目的で使用しない |
| 2 | 目的の正当性と明確化 | PIIの処理目的を明確にし、契約で合意された範囲に限定 |
| 3 | 収集の制限 | 契約で合意された目的に必要なPIIのみを収集・処理 |
| 4 | データの最小化 | 処理するPIIを必要最小限に限定 |
| 5 | 利用・保持・開示の制限 | PIIを合意された目的以外に利用せず、不要になった場合は削除 |
| 6 | 正確性と品質 | PIIを正確かつ最新の状態に保つための措置 |
| 7 | 公開性・透明性・通知 | PIIの処理方法、保管場所、再委託先を顧客に開示 |
| 8 | 個人参加とアクセス | PII主体(本人)からの開示・削除請求への対応をCSCに協力 |
| 9 | 説明責任 | PIIの処理に関する記録を維持し、監査に対応可能にする |
| 10 | 情報セキュリティ | PIIの機密性・完全性・可用性を確保するための技術的・組織的対策 |
| 11 | プライバシーコンプライアンス | 適用される法規制への準拠を確認する仕組みの構築 |
主要な管理策
ISO 27018は、ISO 27002の管理策にクラウドでのPII保護に特化した追加ガイダンスを提供しています。特に重要な管理策を紹介します。
| 管理策領域 | クラウドPII保護のポイント |
|---|---|
| アクセス制御 | PIIへのアクセスを必要最小限の人員に制限。管理者アクセスのログ取得 |
| 暗号化 | PIIの保管時(at rest)と転送時(in transit)の暗号化 |
| 運用セキュリティ | PIIのバックアップと復旧手順の策定。ログの改ざん防止 |
| 通信セキュリティ | PIIの転送時のTLS暗号化。データ所在地の明示 |
| インシデント管理 | PIIの漏洩発生時にCSCへ速やかに通知する義務 |
追加管理策(附属書A)
ISO 27018の附属書Aには、PII処理者であるCSPに固有の25の追加管理策が定められています。
| 主要な追加管理策 | 内容 |
|---|---|
| 顧客の指示に基づく処理 | PIIの処理はCSCの文書化された指示に基づいてのみ実施 |
| 広告・マーケティング目的の禁止 | CSPはCSCのPIIを自社の広告・マーケティング目的に使用しない |
| 再委託先の管理 | PIIの処理を再委託する場合、CSCに事前通知し同意を得る |
| データの返却・削除 | 契約終了時にPIIを確実にCSCに返却または安全に削除する |
| 開示請求への協力 | PII主体(本人)からの開示・訂正・削除請求に対応するためCSCに協力 |
| データの所在地の開示 | PIIが保管・処理されるデータセンターの国・地域をCSCに開示 |
| 政府によるアクセスの通知 | 法執行機関等からPII開示要求があった場合、法的に許される範囲でCSCに通知 |
| 漏洩時の通知 | PIIの漏洩が発生した場合、CSCへの速やかな通知義務 |
GDPRとの関係
ISO 27018はEUのGDPR(一般データ保護規則)との親和性が高く設計されています。
| GDPRの要求 | ISO 27018の対応 |
|---|---|
| 処理者の義務(第28条) | CSCの指示に基づく処理、再委託先の管理、契約終了時のデータ削除 |
| データ保護バイデザイン(第25条) | データ最小化、目的限定の原則 |
| データ侵害通知(第33-34条) | PIIの漏洩発生時のCSCへの速やかな通知 |
| データ可搬性(第20条) | 契約終了時のデータ返却の仕組み |
| DPIAの実施(第35条) | PIIの処理に関するリスク評価 |
ISO 27018の認証取得は、GDPR対応の技術的・組織的措置の実装を証明する手段として国際的に認められています。
ISO 27017との使い分け
| 判断基準 | ISO 27017 | ISO 27018 | 両方 |
|---|---|---|---|
| クラウドサービスの種類 | 全般(IaaS/PaaS/SaaS) | PIIを処理するサービス | PIIを扱うクラウドサービス |
| 自社の立場 | CSPまたはCSC | CSPのみ | CSPとして両面カバー |
| 主な動機 | クラウドセキュリティ全体の強化 | 個人情報保護の証明 | セキュリティ+プライバシーの包括対応 |
| 国際的な信頼性 | セキュリティ面の信頼性 | GDPR等のプライバシー対応 | 最高レベルの信頼性 |
取得の流れ
ISO 27018の取得も、ISO 27017と同様にISO 27001のアドオンとして進めます。
- 前提:ISO/IEC 27001(ISMS)認証の取得
- ギャップ分析:附属書Aの25管理策と自社の現状を比較
- 管理策の実装:PII処理のフロー文書化、同意管理、データ所在地の開示、漏洩通知手順の策定
- 審査:BSIジャパン、DNV等の審査機関で認証審査
- 追加費用目安:審査費用30〜60万円 + コンサルティング50〜150万円
中小企業での活用
- SaaS事業者:顧客のPIIを扱う場合、ISO 27018取得で個人情報保護の信頼性を証明
- グローバル展開:EU顧客との取引でGDPR対応を証明する際の有力な手段
- クラウド選定基準:利用するSaaS/IaaSがISO 27018を取得しているかを確認し、委託先管理に活用
- Pマークとの併用:国内の個人情報保護はPマーク、クラウド上のPII保護はISO 27018で棲み分け
まとめ
ISO 27018はパブリッククラウドで個人情報を処理するCSP向けの規格で、同意に基づく処理、広告目的利用の禁止、データ所在地の開示、漏洩通知義務等を定めています。GDPRとの親和性が高く、グローバルにクラウドサービスを提供するSaaS事業者にとって取得価値の高い認証です。