ISO/IEC 27701 認証証明書でプライバシーに対する取り組みを強化

※この投稿は米国時間 2020 年 7 月 1 日に、Google Cloud blog に投稿されたものの抄訳です。

EU の一般データ保護規則（GDPR）やカリフォルニア州消費者プライバシー法、オーストラリアのプライバシー原則など、ユーザーのプライバシーを保護および維持する方法を示した法律によって、テクノロジーにおけるプライバシーは数十年にわたって強化されてきました。Google では常にプライバシーを最優先事項としてとらえており、世界的なプライバシー要件とデータ保護要件にお客様が直接対応できるよう継続的な取り組みを行っています。Google Cloud がデータ処理者として ISO/IEC 27701 認証証明書を取得したことを本日発表いたします。これは大手クラウド プロバイダとしては初めてのことです。

2019 年に公開された ISO/IEC 27701 は、組織がプライバシー関連の国際的なフレームワークと法律に準拠するのを支援する世界的な標準です。この標準は、個人情報保護マネジメント システム（PIMS）の導入、メンテナンス、継続的な改善のためのガイダンスを示しており、GDPR に準拠する必要がある組織で重要な役割を果たす、データ管理者とデータ処理者が利用できます。情報セキュリティ管理システム（ISMS）の要件の概要と定義をまとめた ISO/IEC 27001 で体系化されている、セキュリティ業界のベスト プラクティスを拡張したのが ISO/IEC 27701 です。  

ISO 27701 からお客様が得られるメリット

独立系第三者機関である Coalfire ISO から Google Cloud Platform（GCP）に対して、ISO/IEC 27701 の認証登録証明書が発行されました。この認証証明書は、GCP に対する Google の PIMS（証明書の範囲として記載されている）が ISO/IEC 27701 の要件に準拠しており、監査と証明書発行を行った団体が国際認定フォーラム（IAF）/ 米国適合性認定機関（ANAB）の要件に従っていることを示すものです。つまり、この証明書は IAF の多国間認証協定（MLA）のもと、IAF が認証した他の監査団体と認定団体からもされることになります。

 Google が取得した認証証明書は、Google Cloud が長きにわたってプライバシーに取り組んでいることと、最も信頼できるサービスをお客様に提供していることを実証するものです。ISO/IEC 27701 で概略が示されている厳格な標準に準拠することで、Google Cloud のお客様は証明書の次のようなメリットを活用できます。 

• 認定機関の要件に従って、信頼できる第三者が検証した、あらゆる用途に使えるプライバシー管理機能のセットを、プライバシー プログラムを導入する際の強固な基盤として使用できる
• 自社のコンプライアンスの取り組みで、Google Cloud Platform の ISO/IEC 27701 認証証明書を活用できる
• 内部監査者と第三者監査者は時間と費用を削減し、複数のプライバシー目標に準拠していることを単一の監査サイクルの中で実証できる
• プライバシー関連の役割と責任の透明性が増すことで、GDPR などのプライバシー規制に準拠する取り組みを推進できる

お客様に対する取り組み

今回取得した証明書は、世界クラスのセキュリティとプライバシーに対する Google の継続的な取り組みが独立系機関によって証明されたことを意味するだけでなく、お客様のコンプライアンスの取り組みにも役立つことになります。Google Cloud のコンプライアンスとプライバシーに対する取り組みの詳細はコンプライアンス リソース センターでご覧いただけます。

 - クラウド プライバシー担当ディレクター Jennifer Merriss、エンジニアリング コンプライアンス担当ディレクター Kim Macpherson