PIIプロセッサーとして動作するパブリッククラウドにおける個人識別情報(PII)の保護のための実務規範
Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
ISO/IEC 27018:2014は、『情報セキュリティ管理策の実践のための規範』として広く利用されている国際規格「ISO/IEC 27002」をベースに、クラウド上で取り扱われる個人情報(PII:個人識別可能情報)を保護するためのベストプラクティスを提供するものです。クラウドサービス事業者やクラウド環境を利用してサービスを提供する事業者が管理策を実装する場合の手引きとなります。
ISO/IEC 27018の登場人物(Actor)を定義
・PII 主体 (プリンシパル)
・PII 管理者(コントローラ)
・PII 処理者(プロセッサ)
ISO/IEC 29100(JIS X 9250)
プライバシーフレームワークに基づきます
ISO/IEC 27018は、このPII コントローラが個人情報保護を確実にするためのサポートを担う『PII 処理者』に対する要求事項を規定したものです。
ISO/IEC 27018では、パブリッククラウドコンピューティング環境において「ISO/IEC 29100」が定めるプライバシー指針に従った個人情報(PII)を保護するために、PII 管理者が導入すべき「管理目的」「管理策」「関連情報」を定めています。ISO/IEC 29100:2011では「OECD8原則」や「EU指令」をベースとしたプライバシー原則を含む、『プライバシー保護のためのフレームワーク』を規定したものです。
ISO/IEC 27018では、ISO/IEC 27002の管理策に対して『追加管理策』が必要な場合、プライバシー原則に基づいて「パブリッククラウド PII 保護のための拡張管理策」を定めています。
参考情報
| 管理目的・管理策 | 手引き | 関連情報 | |
|---|---|---|---|
| 5. | 情報セキュリティのための方針群 | ○ | ○ |
| 6. | 情報セキュリティのための組織 | ○ | |
| 7. | 人的資源のセキュリティ | ○ | ○ |
| 8. | 資産の管理 | ||
| 9. | アクセス制御 | ○ | |
| 10. | 暗号 | ○ | |
| 11. | 物理的及び環境的セキュリティ | ○ | ○ |
| 12. | 運用のセキュリティ | ○ | |
| 13. | 通信のセキュリティ | ○ | |
| 14. | システムの取得、開発及び保守 | ||
| 15. | 供給者関係 | ||
| 16. | 情報セキュリティインシデントの管理 | ○ | |
| 17. | 事業継続マネジメントにおける情報セキュリティの側面 | ||
| 18. | 順守 | ○ |
ISO/IEC 29100「プライバシー原則」に基づく拡張管理策
| プライバシー原則 | 原文 | 管理策数 | |
| 1. | 同意及び選択 | Consent and choice | 1 |
| 2. | 目的の正当性及び明確化 | Purpose legitimacy and specification | 2 |
| 3. | 収集制限 | Collection limitation | - |
| 4. | データの最小化 | Data minimization | 1 |
| 5. | 利用、保持及び開示の制限 | Use, retention and disclosure limitation | 2 |
| 6. | 正確性及び品質 | Accuracy and quality | - |
| 7. | 公開性、透明性及び通知 | Openness, transparency and notice | 1 |
| 8. | 個人参加及びアクセス | Individual participation and access | - |
| 9. | 責任 | Accountability | 3 |
| 10. | 情報セキュリティ | Information security | 13 |
| 11. | プライバシーコンプライアンス | Privacy compliance | 2 |