ISO/IEC 27701:2019 の概要
ISO/IEC 27701:2019 は、情報セキュリティ管理のために広く使用されている ISO/IEC 27001 および ISO/IEC 27002 標準を補完します。 要件を指定し、プライバシー情報管理システム (PIMS) のガイダンスを提供します。 PIMS の実装は、ISO/IEC 27001 に依存する組織にとって役立つコンプライアンスの追加です。 この標準では、セキュリティとプライバシーの制御を調整するための強力な統合ポイントが作成されます。 ISO/IEC 27701 は、データ コントローラーとデータ プロセッサの両方で使用できる個人データを管理するためのフレームワークを提供します。 このフレームワークは、一般的なデータ保護規則 (GDPR) コンプライアンスの重要な違いです。
さらに、ISO/IEC 27701 監査では、organizationが適用される法令を監査の基準で宣言する必要があります。 この要件は、標準を GDPR またはその他の法律に基づく要件の多くにマップできることを意味します。 マッピングが完了すると、プライバシーの専門家は ISO/IEC 27701 運用コントロールを実装します。 評価の認定を受けている内部または外部の第三者は、標準の要件に対するorganizationのコンプライアンスを評価し、その旨の証明書を発行します。 このユニバーサル フレームワークにより、組織は新しい規制要件へのコンプライアンスを効率的に実装できます。 Microsoft は、ISO/IEC 27701 とさまざまなデータ保護規制との間の関係について共通の理解を得るために、オープンソースのデータ保護 マッピング プロジェクト を支援しています。
Microsoft のスコープ内のクラウド プラットフォームとサービス
Azure ISO/IEC 27701 証明書には、スコープ内の Microsoft オンライン サービスが表示されます。
- Azure (詳細な分析情報については、Azure ISO/IEC 27701 オファリングを参照してください)
- Dynamics 365 (詳細な分析情報については、AZURE ISO/IEC 27701 オファリングを参照してください)
- Microsoft Defender XDR (Azure Governmentのスコープ内にない)
- Microsoft Bing 商用版 (Azure Governmentのスコープ内にない)
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Graph
- Microsoft Intune
- Microsoft マネージド デスクトップ (Azure Government の対象外)
- Microsoft Stream
- Microsoft 脅威エキスパート (Azure Government の対象外)
- Office 365、Office 365 米国政府、Office 365 米国防総省
- Power Apps
- Power Automate
- Power BI
- Power BI Embedded
- Power Virtual Agents (Azure Government の対象外)
- ユニバーサル印刷 (Azure Governmentのスコープ内にない)
- Windows 365
Azure、Dynamics 365、ISO 27701
Azure、Dynamics 365、およびその他のオンライン サービスコンプライアンスの詳細については、Azure ISO 27701:2019 オファリングを参照してください。
Office 365 と ISO 27001
Office 365環境
Microsoft Office 365 は、マルチテナント ハイパースケール クラウド プラットフォームで、世界の一部の地域のお客様が利用できるアプリとサービスの統合エクスペリエンスを提供するものです。 ほとんどの Office 365 サービスでは、顧客データがある地域を指定できます。 Microsoft は、データの回復性のために、顧客データを同じ地理的エリア内の他の地域 (米国など) にレプリケートする場合がありますが、Microsoft は選択した地理的エリアの外部に顧客データをレプリケートしません。
このセクションでは、次のOffice 365環境について説明します。
- クライアント ソフトウェア (クライアント): 顧客デバイスで実行されている商用クライアント ソフトウェア。
- Office 365 (商用): グローバルに利用可能な商用パブリックな Office 365 クラウド サービス。
- Office 365 Government Community Cloud (GCC): Office 365 GCC クラウド サービスは、米国の連邦、州、地方、および部族政府、および米国政府の代わりにデータを保持または処理する請負業者が利用できます。
- Office 365 Government Community Cloud - 高 (GCC High): Office 365 GCC High クラウド サービス は、国防総省 (DoD) セキュリティ要件ガイドライン レベル 4 のコントロールに従って設計されており、厳しく規制された連邦および国防の情報をサポートします。 この環境は、連邦政府機関、国防産業基盤 (DIB)、政府機関の請負業者によって使用されます。
- Office 365 DoD (DoD): Office 365 DoD クラウド サービス は、DoD セキュリティ要件ガイドライン レベル 5 のコントロールに従って設計されており、厳格な連邦および防衛規制をサポートしています。 この環境は、米国国防総省が排他的に使用するためのものです。
このセクションを使用すると、規制対象の業界やグローバル市場におけるコンプライアンスの義務を果たすことができます。 どの地域でどのサービスが利用できるかを確認するには、「国際的な使用可能性情報」と、「Microsoft 365 顧客データの格納先」の記事を参照してください。 Office 365 Government クラウド環境の詳細については、「Office 365 Government Cloud」の記事を参照してください。
あらゆる適用法と規制に準拠するのは、お客様の組織が全責任を負っていただくものとします。 このセクションに記載されている情報は法的アドバイスではありません。組織の規制コンプライアンスに関する質問については、法律アドバイザーに相談してください。
Office 365 の適用性と範囲内のサービス
以下の表を使用して、Office 365 サービスとサブスクリプションの適用性を決定します。
| 適用性 | 範囲内のサービス |
|---|---|
| 商用 | Access Online、Microsoft Entra ID、Azure Communications Service、Compliance Manager、Customer Lockbox、Delve、Exchange Online Protection、Exchange Online、Forms、Griffin、Identity Manager、Lockbox (Torus)、Office 365、Microsoft Teams、MyAnalytics、Office 365 Advanced Compliance アドオン、Office 365 カスタマー ポータル、Office 365のMicrosoft Defenderマイクロサービス (Kaizala、ObjectStore、Sway、PowerPoint Online Document Service、Query Annotation Service、School Data Sync、Siphon、Speech、StaffHub、eXtensible Application Program)、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、Office Services Infrastructure、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、Project Online、Microsoft Purview カスタマー キーを使用したサービス暗号化、SharePoint Online、Skype for Business、Stream |
| GCC | Microsoft Entra ID、Azure Communications Service、Compliance Manager、Delve、Exchange Online、フォーム、Office 365、Microsoft Teams、MyAnalytics のMicrosoft Defender、Office 365 Advanced Compliance アドオン、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream |
| GCC High | Microsoft Entra ID、Azure Communications Service、Exchange Online、フォーム、Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオンのMicrosoft Defender、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business |
| DoD | Microsoft Entra ID、Azure Communications Service、Exchange Online、フォーム、Office 365、Microsoft Teams、Office 365 Advanced Compliance アドオンのMicrosoft Defender、Office 365 セキュリティ & コンプライアンス センター、Office Online、Office Pro Plus、OneDrive for Business、Planner、Power BI、SharePoint Online、Skype for Business |
Office 365 監査、レポート、証明書
Microsoft クラウドおよび商用テクニカル サポート サービスは、ISO/IEC 27701 の認定プロセスの一環として年次監査を受けます。
よく寄せられる質問
ISO/IEC 27701 は、進化する規制要件にどのように役立ちますか?
ISO/IEC 27701には、標準の運用制御を含む付属書が含まれています。 付属書は、これらのコントロールを、コントローラーとプロセッサの GDPR の関連要件に照らしてマップします。 このマッピングは、組織が ISO フレームワークに対してプライバシー規制を実装する方法の 1 つの例にすぎません。 他の規制との追加のマッピングが利用可能になり、検証されると、組織は標準から規制レビューから実装に運用コントロールを直接転送できます。 このユニバーサル フレームワークにより、組織は関連する規制要件を確実に実装できます。
ISO/IEC 27701 は監査コストにどのように役立ちますか?
さまざまな管轄区域でより多くのプライバシー規制が施行されるにつれて、コンプライアンスの証拠を提供する圧力が高まります。 しかし、すべての規制が独自の監査を必要とする場合、異なる規制認証のコストは法外に高くなります。 ISO/IEC 27701 は、一連のユニバーサル運用コントロールの概要を示すことで、複数の規制要件に対して監査を行い、認定する可能性のあるユニバーサル コンプライアンス フレームワークの概要も示しています。
公式の GDPR 認定の確立には、欧州の規制当局による承認が必要であることを認識することが重要です。 ISO/IEC 27701 と GDPR の間の整合は明らかですが、規制の決定が完了するまで、ISO/IEC 27701 認定は GDPR コンプライアンスまたは公式 GDPR 認定の証拠として取得しないでください。
ISO/IEC 27701 は PII に関連する商用契約にどのように役立ちますか?
個人情報の移動に関する商業契約は、コンプライアンスの認定を保証することができます。 最新の組織は、パートナー組織や共同管理者、クラウド プロバイダーなどのプロセッサ、同じプロセッサをサポートするベンダーなどのサブプロセッサなど、ビジネス パートナーの深いネットワークで複雑なデータ転送を行います。 このネットワークのどの部分でも規制に準拠しないと、サプライ チェーン全体でコンプライアンスの問題が連鎖する可能性があります。 それは、コンプライアンスの検証がこれらの組織間の契約条件によって提供される保証を超える価値がある場合です。 世界経済は、これらの組織の大部分が世界中に広がっていることを規定しているので、ISOの国際規格を使用してネットワーク全体のコンプライアンスを管理することは実用的です。
こういったコンプライアンスへの依存により、規格に対する認証の重要性が高まります。 すべての企業や組織がこのような認定資格を取得する必要があるわけではありませんが、特に機密性の高いデータ処理や大量のデータ処理が関与しているパートナーやベンダーの恩恵を受けます。
ISO/IEC 27701 は ISO/IEC 27001 とどのように関連していますか?
ISO/IEC 27701 は、情報セキュリティ管理に最も広く採用されている国際規格の 1 つである ISO/IEC 27001 の上に構築されています。 ORGANIZATIONが ISO/IEC 27001 に既に精通している場合は、ISO/IEC 27701 によって提供される新しいプライバシー制御を統合する方が論理的かつ効率的です。 この方法は、両方の標準の実装と監査のコストが低く、達成が容易であることを意味します。 ISO/IEC 27701 および ISO/IEC 27001 の重要なポイント:
- ISO/IEC 27001 は、世界で最も使用されている ISO 規格の 1 つであり、多くの企業がすでに認証を受けています。
- ISO/IEC 27701 には、プライバシーとセキュリティのギャップを埋めるのに役立つ新しいコントローラーとプロセッサ固有のコントロールが含まれています。 これは、組織内の 2 つの異なる機能との統合のポイントを提供します。
- プライバシーはセキュリティに依存します。 同様に、ISO/IEC 27701 は、セキュリティ管理のために ISO/IEC 27001 に依存します。 ISO/IEC 27701 の認定は、ISO/IEC 27001 認定の延長として取得する必要があり、個別に取得することはできません。
ISO/IEC 27701 を使用してorganizationは何を行う必要がありますか?
organizationのサイズやコントローラーまたはプロセッサに関係なく、独自のorganization、またはビジネス要件に基づいてベンダーまたはサプライヤーに要求することで、認定を追求することを検討してください。 この状況は、特に、機密性の高いまたは大量の個人データを処理しているプロセッサ、サブプロセッサ、およびココントローラーに適用されます。 ビジネス ニーズを評価して、独自の製品とサービスの認定が適しているかどうかを判断します。
Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する
Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。