自社の価値を高めるISMS認証取得ガイド|ISMS楽トル » ISMSの基礎知識 » ISO27018とは

ISO27018とは

ISO27018認証とは、ISMS(情報セキュリティ)の国際規格であるISO27001認証を土台とし、クラウド上で管理する個人情報に着目した固有の規格のことです。

ISO27018の概要と位置付け

ISO27018とは既存のISMS(ISO/IEC 27001)認証を土台とし、その上に特定の分野(=この場合は個人情報)固有の規格認証を追加するアドオン認証の一つです。クラウド上で取り扱う個人情報を、安全に運用するための規範として位置づけられ、認証を取得した事業者は、世界規格に準拠したクラウドセキュリティ体制を構築していることをアピールできます。

既存のISMS(ISO/IEC 27001)のアドオン規格と位置づけられるISO27018の認証では、世界的レベルでのセキュリティ体制に加え、個人情報に特化したより安全性の高い運用を検討することが求められます

クラウドサービスでは、社内資料や分析データなどさまざまな情報を扱いますが、なかでも個人情報は消費者にとって身近で、多くの人が関心を寄せている情報です。個人情報に対し、世界標準でセキュリティ対策を行っていることを宣言できるISO27018認証を取得することは、多くの企業にとって信頼性の面でのプライオリティを高めることにつながるでしょう。

ISO27018とプライバシーマークの違い

個人情報保護に関する認証といえば、プライバシーマーク(Pマーク)がよく知られています。多くの人が、一度は目にしたことがあるのではないでしょうか。ISO27018とプライバシーマークは、個人情報保護に特化した印象であることは同じなのですが、ISO27018が国際規格であるのに対し、プライバシーマークは日本情報経済社会推進協会(JIPDEC)によって定められた国内規格であることが大きな違いです。

また、取り扱う情報に関しても、ISO27018はパブリッククラウド上の個人情報であるのに対し、プライバシーマークは社内の個人情報に限られている点でも異なります。

グローバル化が加速し、情報のデジタル化が進む昨今の世界では多くの個人情報がクラウド上に存在し、世界中でやり取りされています。そのような時代の流れのなかで、ISO27018は国際的な規格であり、オンライン上でやり取りされるクラウドセキュリティを対象としている点が、認証取得の大きな強みです。

費用、期間、実績別
おすすめISMS認証コンサルはこちら

「ISO27018」と「ISO27017」の違い

ISO27017は、クラウドセキュリティの国際規格。

ISO27018は、クラウド上で取り扱われる個人情報を保護するための規格。

情報セキュリティの担当者に任命されたばかり、という方でもイメージしやすいような、おおまかな表現をすれば、パブリックとプライベートのような違いといった感じでしょうか。

ISO27017とISO27018は、クラウドサービスの情報セキュリティに特化した認証規格で、ISO27018が個人情報に限定した規格であるのに対し、ISO27017は、リスク対策をクラウドサービスにまで拡大させた規格です。

どちらも、クラウドサービスに特化した情報セキュリティマネジメントシステムの認証規格ISO27001を補うための規格であり、ISO27017とISO27018を取得したい場合には、まずISO27001を取得する必要がありますが、情報セキュリティを重視している企業では、ISO27001と同時に取得するケースが増えています

まとめ

ISO27017とISO27018を取得しているということは、クラウドサービスで起こりうるリスクに対して高度な情報セキュリティ対策を講じている企業であることを示します。

実際に、海外ではAmazon Web ServicesやGoogle、Microsoftのような企業が、いち早くISO27017を取得しており、ユーザーにとっても安心して利用できるサービスかどうかを判断する目安になっていくのかもしれません。

よく読まれるISMSの基礎知識ページ
目的別に選べる!
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】

ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。

コストを抑えて手間なく
「まず取得したい」
なら
ISOサポート
ISOサポート
※引用元:ISOサポート公式HP(引用元:https://www.iso-sp.co.jp/2700.html )
特徴
  • 専任不要&月額3.3万円の低コスト
    情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。
  • 中小企業向けフルアウトソーシング支援
    書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。
  • 維持運用しやすい実務重視の設計
    最小限の設計で、取得後も1名体制で継続しやすい。
公式サイトで
サービスの詳細を確認
電話で問い合わせる
複雑な組織や業種にも
柔軟に対応
してほしいなら
ISOプロ
ISOプロ
※引用元:ISOプロ公式HP(https://activation-service.jp/iso/lp/)
特徴
  • 現役審査員が直接サポート&訪問無制限
    複雑な多拠点対応も、現場に即した導入設計が可能。
  • 業種特化・6か月以内の取得も相談可
    業界特有の運用にも対応し、スピード重視の企業にもおすすめ。
  • ISO事務局も代行し全工程を一括支援
    社内対応の手間を減らし、効率・品質を向上。
公式サイトで
サービスの詳細を確認
電話で問い合わせる
中小企業で
運用負担を削減
したいなら
ワークストラスト
ワークストラスト
※引用元:ワークストラスト公式HP(https://www.workstrust.com/)
特徴
  • 書類作成の負担が少ない
    提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。
  • 取得時も取得後も運用の負担が少ない
    負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。
  •                          取得後は自社で維持、運用が可能
    必要最小限な運用が可能なため、自社だけでも準備が容易。
公式サイトで
サービスの詳細を確認
電話で問い合わせる