コンプライアンス自動化ソリューションのリーディングプロバイダーであるDrata(ドラータ)は、国際規格ISO/IEC 27018:2025の第3版への対応を発表した。この規格は、クラウドサービスプロバイダーがPII(個人識別情報)処理者として機能するパブリッククラウドサービスにおけるPIIの保護を目的として設計されている。DrataはISO 27018をISO 27001のアドオンフレームワークとして提供しており、顧客はISO 27001を導入した後にISO 27018を追加できる。
クラウド導入が急速に進み、データ保護要件が複雑化している中で、ISO/IEC 27018:2025への対応はユーザーにとって大きな意義を持つ。ISO 27018:2025は、パブリッククラウド環境におけるPIIに特化した、世界的に認められた実践規範と管理フレームワークを提供する。これにより、組織は透明性の確保、契約上の義務の管理、監査の実現、そしてさまざまな法域における規制要件への対応が可能になる。企業が顧客からISO 27018への準拠を求められることは珍しくない。
ISO/IEC 27018:2025の最新版には、いくつかの新機能が追加されている。ISO/IEC 27002:2022との整合性が図られており、コントロールストラクチャーと用語が最新の情報セキュリティーベースラインに合わせて更新されている。附属書Bの導入により、前版(2019年版)とのマッピングと下位互換性に関するガイダンスが提供され、ユーザーにとって移行が容易になる。
新版では、クラウドサービスプロバイダー(PII処理者)とクラウド顧客(PII管理者)の責任を明確に区別する定義とガイダンスを強化し、役割の明確化も図っている。また、サブプロセッサーの管理と透明性に関する義務を強化し、サードパーティーおよびサブプロセッサーとの関係の管理と文書化、そして侵害通知に関する詳細なガイダンスを提供している。構造と言語は、現在のクラウドサービスモデル、マルチテナント環境、そして進化する規制要件を反映するように最新化されている。DrataによるISO/IEC 27018:2025への対応は、クラウドにおけるデータ保護の強化に向けた重要な一歩だ。
出典:Drata
この製品の詳細については、Drata製品ページをご覧ください。
