ISO/IEC 27701:2019: プライバシー情報管理
ISO/IEC 27701:2019 の概要
ISO/IEC 27701:2019 は、情報セキュリティ管理のために広く使用されている ISO/IEC 27001 および ISO/IEC 27002 標準を補完するために構築されています。 これは、要件を指定し、プライバシー情報管理システム (PIMS) のガイダンスを提供します。PIMS の実装は、ISO/IEC 27001 に依存する多くの組織にとって役立つコンプライアンスの追加となり、セキュリティとプライバシーの制御を調整するための強力な統合ポイントを作成します。 ISO/IEC 27701 は、データ コントローラーとデータ プロセッサの両方で使用できる個人データを管理するためのフレームワークを通じてこの統合を実現します。これは、一般的なデータ保護規則 (GDPR) コンプライアンスの主な違いです。
さらに、ISO/IEC 27701 監査では、organizationが監査基準で適用される法律/規制を宣言する必要があります。つまり、GDPR、カリフォルニア州消費者プライバシー法 (CCPA)、またはその他の法律に基づく要件の多くに標準をマップできることを意味します。 マップされると、ISO/IEC 27701 運用コントロールがプライバシーの専門家によって実装されます。 評価を認定された内部または外部のサード パーティは、標準の要件に対するorganizationのコンプライアンスを評価し、その旨の証明書を発行します。 このユニバーサル フレームワークにより、組織は新しい規制要件へのコンプライアンスを効率的に実装できます。 Microsoft は、ISO/IEC 27701 とさまざまなデータ保護規制との間の関係について共通の理解を得るために、オープンソースのデータ保護 マッピング プロジェクト を支援しています。
対象となる Microsoft のクラウド プラットフォームとサービス
スコープ内の Microsoft オンライン サービスは、Azure ISO/IEC 27701 証明書に表示されます。
- Azure (詳細な分析情報については、Azure ISO/IEC 27701 オファリングを参照してください)
- Dynamics 365 (詳細な分析情報については、Azure ISO/IEC 27701 オファリングを参照してください)
- Microsoft Defender XDR (Azure Governmentのスコープ内にない)
- Microsoft Bing 商用版 (Azure Governmentのスコープ内にない)
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Graph
- Microsoft Intune
- Microsoft マネージド デスクトップ (Azure Government の対象外)
- Microsoft Stream
- Microsoft 脅威エキスパート (Azure Government の対象外)
- Office 365、Office 365 米国政府、Office 365 米国防総省
- Power Apps
- Power Automate
- Power BI
- Power BI Embedded
- Power Virtual Agents (Azure Government の対象外)
- ユニバーサル印刷 (Azure Governmentのスコープ内にない)
- Windows 365
Azure、Dynamics 365、ISO 27701
Azure、Dynamics 365、およびその他のオンライン サービスコンプライアンスの詳細については、Azure ISO 27701:2019 オファリングを参照してください。
Office 365 と ISO 27001
Office 365環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。
Office 365 の適用性と範囲内のサービス
以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。
| 適用性 | 範囲内のサービス |
|---|---|
| 商用 | Access Online、Microsoft Entra ID、Azure Communications Service、Compliance Manager、Customer Lockbox、Delve、Exchange Online Protection、Exchange Online、Forms、Griffin、Identity Manager、Lockbox (Torus)、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 カスタマー ポータル、Office 365 マイクロサービス (Kaizala、ObjectStore、Swayを含みますが、これらに限定されません)、PowerPoint Online Document Service、Query Annotation Service、School Data Sync、Siphon、Speech、StaffHub、eXtensible Application Program)、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、Office Services Infrastructure、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、Project Online、Microsoft Purview カスタマー キーを使用したサービス暗号化、SharePoint Online、Skype for Business、Stream |
| GCC | Microsoft Entra ID、Azure Communications Service、Compliance Manager、Delve、Exchange Online、フォーム、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream |
| GCC High | Microsoft Entra ID、Azure Communications Service、Exchange Online、フォーム、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office 365セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business |
| DoD | Microsoft Entra ID、Azure Communications Service、Exchange Online、フォーム、Microsoft Defender for Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオン、Office 365セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、Power BI、SharePoint Online、Skype for Business |
Office 365 監査、レポート、証明書
Microsoft クラウドおよび商用テクニカル サポート サービスは、ISO/IEC 27701 の認定プロセスについて年に 1 回監査されます。
よく寄せられる質問
ISO/IEC 27701 は、進化する規制要件にどのように役立ちますか?
ISO/IEC 27701 には、コントローラーおよびプロセッサーに関する GDPR の関連要件に対応する規格の運用管理を含む付録が含まれています。 このマッピングは、ISO フレームワークに対してプライバシー規制を実装する方法のほんの一例です。 他の規制との追加対応が利用可能になり、検証されると、規格の運用管理を規制のレビューから実装に直接移行できます。 このユニバーサル フレームワークにより、組織は関連する規制要件を確実に実装できます。
ISO/IEC 27701 は監査コストにどのように役立ちますか?
さまざまな管轄区域でより多くのプライバシー規制が施行されると、コンプライアンスの証拠を提供する圧力も高まります。 しかし、すべての規制が独自の監査を必要とする場合、異なる規制認証のコストは法外に高くなります。 ISO/IEC 27701 は、一連のユニバーサル運用コントロールの概要を示すことで、複数の規制要件に対して監査を行い、認定する可能性のあるユニバーサル コンプライアンス フレームワークの概要も示しています。
公式の GDPR 認定の確立には、欧州の規制当局による承認が必要であることを認識することが重要です。 ISO/IEC 27701 と GDPR の間の整合は明らかですが、規制の決定が完了するまで、ISO/IEC 27701 認定は GDPR コンプライアンスまたは公式 GDPR 認定の証拠として取得しないでください。
ISO/IEC 27701 は PII に関連する商用契約にどのように役立ちますか?
個人情報の移動に関する商業契約は、コンプライアンスの認定を保証する場合があります。 現代の組織は、パートナー組織または共同コントローラー、クラウド プロバイダーなどのプロセッサー、それらの同じプロセッサーをサポートするベンダーなどのサブプロセッサーなどを含むビジネス パートナーの深いネットワークを用いて複雑なデータの転送を行っています。 このネットワークのいずれかの部分でも規制を順守しなければ、サプライ チェーン全体で連鎖的なコンプライアンス問題が発生する可能性があります。 それは、コンプライアンスの検証がこれらの組織間の契約条件によって提供される保証を超える価値がある場合です。 世界経済は、これらの組織の大部分が世界中に広がっていることを規定しているので、ISOの国際規格を使用してネットワーク全体のコンプライアンスを管理することは実用的です。
こういったコンプライアンスへの依存により、規格に対する認証の重要性が高まります。 すべての企業や組織がそのような認証を取得する必要があるわけではありませんが、特に機密データまたは大量のデータの処理が関係する場合には、ほとんどの企業や組織がそのような処理を行うパートナーおよびベンダーから恩恵を受けます。
ISO/IEC 27701 は ISO/IEC 27001 とどのように関連していますか?
ISO/IEC 27701 は、情報セキュリティ管理に最も広く採用されている国際規格の 1 つである ISO/IEC 27001 の上に構築されています。 ORGANIZATIONが ISO/IEC 27001 に既に精通している場合は、ISO/IEC 27701 によって提供される新しいプライバシー制御を統合する方が論理的かつ効率的です。 この方法は、両方の実装と監査のコストが削減され、達成が容易されることを意味します。 ISO/IEC 27701 および ISO/IEC 27001 の重要なポイント:
- ISO/IEC 27001 は、世界で最も使用されている ISO 規格の 1 つであり、多くの企業がすでに認証を受けています。
- ISO/IEC 27701 には、プライバシーとセキュリティのギャップを埋めるのに役立つ新しいコントローラーとプロセッサ固有のコントロールが含まれています。 これは、組織内の 2 つの異なる機能の間の統合のポイントを提供します。
- プライバシーはセキュリティに依存します。 同様に、ISO/IEC 27701 は、セキュリティ管理のために ISO/IEC 27001 に依存します。 ISO/IEC 27701 の認定は、ISO/IEC 27001 認定の延長として取得する必要があり、個別に取得することはできません。
ISO/IEC 27701 を使用してorganizationは何を行う必要がありますか?
organizationのサイズやコントローラーまたはプロセッサに関係なく、organizationは、独自のorganizationの認定を追求するか、ビジネス要件に基づいてベンダーやサプライヤーに要求することを検討する必要があります。 この状況は、機密性の高いまたは大量の個人データを処理しているプロセッサ、サブプロセッサ、および共同コントローラーに特に適用されます。 organizationは、自社の製品やサービスの認定が適しているかどうかを判断するために、ビジネス ニーズを評価する必要があります。
Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する
Microsoft Purview Compliance Manager は、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。