コンプライアンス認証
ISO 27001
ISO 27001は、広く採用されているグローバル・セキュリティー規格です。この 規格では、定期的なリスク評価に基づいて企業と顧客の情報を管理するための体系的なアプローチが提供されます。
証明書は以下でダウンロードください。
IBM Cloud IaaS証明書 - ISO 27001 (339KB, 英語, PDF)
IBM Cloud PaaS証明書 -中国 - ISO 27001
クラウド・サービス証明書 - ISO 27001 (678KB, 英語, PDF)
ISO 27017
ISO 27017は、クラウド・サービスのプロビジョニングと使用に適用される情報セキュリティー管理に関するガイドラインと、クラウド・サービスのプロバイダーと顧客の両方に対する実装ガイダンスを提供します。
証明書は以下でダウンロードください。
ISO 27018
ISO 27018は、パブリック・クラウド・コンピューティング環境向けにISO 29100で規定されたプライバシー原則に従って、個人識別情報(PII)を保護する措置を実施するための、一般に認められている制御目標、制御、およびガイドラインを設定します。
証明書は以下でダウンロードください。
ISO 22301
ISO 22301は、組織内での事業継続性管理システム(BCMS)の計画、確立、実装、運用、モニタリング、レビュー、および保守に関する要件を提供します。 BCMSは、組織が事業の中断を引き起こすインシデントに備え、それを予防し、それが発生した場合に事業を復旧できるよう支援します。
ISO 31000
ISO 31000は、リスク・マネジメントの原則、フレームワーク、プロセスを提供します。組織の対象分野の専門家が、自社のリスク管理の慣行を国際的に認められているベンチマークと比較し、自社の慣行を国際標準に合わせられるようにすることが ISO 31000の目的です。
SOC 1、SOC 2、SOC 3
SOC 1レポートは、サービス組織における内部統制に焦点を当てたレポートです。業務受託会社およびその監査員が、業務受託会社の財務諸表監査を計画し、業務受託会社の財務報告に対する内部統制を評価する際に役に立ちます。SOC 2レポートおよびSOC 3レポートは、可用性、安全性、および機密性に関する特定の基準に従って、サービス組織のシステムの記述および内部統制に焦点を当てて作成されます。SOC 2レポートには、監査員によるテストとその結果が含まれます。SOC 3レポートは、SOC 2レポートの要約で、一般的な用途向けです。
IBM Cloud IaaS SOC 1およびSOC 2の認証は、IBMのお客様ポータルから請求してください。
または、IBM営業担当者にお問い合わせください。
PCI
クレジット・カードなどの決済に関して一貫した基準を確保するために、PCIセキュリティー標準協議会(PCI Security Standards Council)は、PCI DSS(Payment Card Industry Data Security Standards)を策定しました。この基準には、カード所有者データを保護するためのベスト・プラクティスが組み込まれており、多くの場合、第三者の認定セキュリティー評価機関(Qualified Service Assessor:QSA)による検証が必要です。
または、IBM営業担当者にお問い合わせください。
HITRUST
Health Information Trust Alliance(HITRUST)は、医療業界の代表者によって運営される組織です。HITRUSTは、Common Security Frameworkを作成し、管理しています。CSFとは、医療機関およびその提供者が一貫性のある、合理的な方法でセキュリティーおよびコンプライアンスを提供するのを支援する認証のフレームワークです。
IRAP(オーストラリア)
Information Security Registered Assessors Program(IRAP)は、オーストラリア電信電子局(Australian Signals Directorate:ASD)のイニシアチブであり、オーストラリアのセキュリティーをサポートするために、高品質の情報通信技術サービスを政府に提供することを目的としています。IRAPは、民間セクターから公共セクターに至る個人によるオーストラリア政府へのサイバー・セキュリティー評価サービスの提供を公認するフレームワークを提供しています。
IBMが取得したISO管理システム認証
IBMは、企業全体でISO 9001、ISO 14001、ISO 50001、およびOHSAS 1800の認証を取得しています。IBMが取得した管理システム認証をお読みください。
グローバルな規制
EU モデル条項
EU モデル条項(EU Model Clauses)は、EU市民の個人情報(PII)の管理および処理に携わる組織に対応します。これらの条項は、非EU企業に対して、世界中のすべての場所で、EUが定めた法律および慣例に従うことを義務付けます。同条項は、EU圏外に存在するプロバイダーが、EU法に準拠してデータを処理する場合に限り、EU 市民のPIIを保有する企業に対して実施権と快適性を提供します。
FERPA
学生情報を無許可の開示から保護することを義務付ける家庭教育の権利とプライバシーに関する法(Family Educational Rights and Privacy Act:FERPA)への準拠で、中核となるのはセキュリティーです。クラウド・コンピューティングを使用する教育機関では、テクノロジー・ベンダーが機密性の高い学生データを適切に管理するという契約上の再保証が必要です。
HIPAA
米国の「医療保険の相互運用性と説明責任に関する法令(Health Insurance Portability and Accountability Act:HIPAA)」は、保護対象の医療情報(PHI、e-PHI)の保管および処理について規定しています。HIPAAの対象となる企業や個人は、この保護医療情報を安全に守るよう設計された一連の技術、管理、および物理的な制御を実装する必要があります。
IaaSのBridge Letterは、お客様ポータルから請求していただけます。
または、IBM営業担当員にお問い合わせください。
マイナンバー法
日本では、社会保障・税番号(マイナンバー)制度が2016年1月に施行されました。この法律では、日本の住人一人ひとり(日本国籍か外国籍かは問わない)に、主に納税や社会保障の目的で使用される固有の番号が割り当てられます。個人情報保護委員会(Personal Information Protection Commission:PPC)は、企業がマイナンバー情報を正しく処理し、保護するためのガイドラインを作成しました。
ITAR
IBM Cloudは、アメリカ合衆国のInternational Traffic in Arms Regulations(ITAR)をサポートする連邦政府および商用の両方の市場でオファリングを提供します。ITARは、米国の防衛関連物資、防衛サービス、および米国の製造業者、輸出業者、ブローカーによって処理される関連技術データを保護するための輸出規制規則です。ITARでは、国務省または特別免除の認可を得ている場合を除き、ITAR環境に保管されている品目に物理的または論理的にアクセスできるのは、米国人のみであることが規定されています。
クラウド・コンピューティング・コンプライアンス・コントロール・カタログ(C5)(ドイツ)
ドイツ連邦政府の情報セキュリティー庁によって導入されたクラウド・コンピューティング・コンプライアンス・コントロール・カタログ(Cloud Computing Compliance Controls Catalog:C5)は、クラウド・サービス・プロバイダーがそれぞれのクラウド・サービスの最小限レベルを確保するために満たす必要のある要件を概説する、クラウド固有の認証スキームです。 C5は、既存のセキュリティー標準(ISO 27001など)に、データ処理での透明性を高めるための追加要件を組み合わせることによって、クラウド・プロバイダーに対する要件を強化します。
IBM Cloud IaaS C5認証は、IBM Cloudお客様ポータルから請求していただけます。
または、IBM営業担当員にお問い合わせください。
アライメントとフレームワーク
CJIS規格
Criminal Justice Information Systems(CJIS)Divisionは、アメリカ合衆国司法省連邦捜査局の1部門です。CJIS Divisionは、Criminal Justice Information(CJI)のソース、伝送、保管、および生成の保護に関する法執行機関ならびに刑事司法機関の意向を示すセキュリティー・ポリシーを作成し、公開しています。このポリシーでは、最小限の機密保護要件、ガイドライン、および取り決めが規定されています。
CSA
クラウド・セキュリティー・アライアンス(CSA)は、クラウド・コンピューティングにおけるセキュリティーを保証するためのベスト・プラクティスの使用を推奨することを目的とする非営利組織です。CSAが目的を達成するために使用するメカニズムの1つが、「Security, Trust, and Assurance Registry(STAR)」です。これは、さまざまなクラウド・コンピューティング・オファリングで提供されるセキュリティー管理について記述した、公的にアクセス可能な無料レジストリーです。
EU-US Privacy Shield
EU-US Privacy Shield FrameworkおよびSwiss−US Privacy Shield Frameworkは、大西洋の両側に位置する企業に、欧州連合(EU)とスイスの個人データをアメリカ合衆国に移動させる際のデータ保護要件を満たすメカニズムを提供して欧米間の貿易を支援するために、アメリカ合衆国商務省、欧州委員会、スイス政府によって設計されました。
FFIEC
新たな脅威に対処するために、Federal Financial Institutions Examination Council(FFIEC)では、金融組織が常時リスク・アセスメントを行い、それに応じて必要な制御メカニズムを調整し、セキュリティーに階層化したアプローチを実施するよう要求しています。IBM CloudはFFIECに従って、FFIECガイダンスへの適合、新たな脅威の識別、その影響への対処、さらにはお客様に対する不正を防止するための階層化セキュリティーの適用に必要な、重要な制御要件を規定します。
FISC
金融情報システム・センター(The Center for Financial Industry Information Systems:FISC)は、日本の大蔵省(当時)により設立されました。その目的は、日本の金融情報システムに関連する問題について調査を行うことです。FISCは、銀行および金融業界内の情報システムのセキュリティーを促進するためのガイドラインを作成しました。FISCのセキュリティー・ガイドラインは、法律により定められたものではありませんが、情報システムの設計と保守において、日本のほとんどの金融機関で認識および使用されています。
IBM Cloud IaaS(旧SoftLayer)の「金融機関等コンピュータシステムの安全対策基準」(FISC安全対策基準)への対応
お客様がクラウド・サービスを自社システムのインフラストラクチャーとして採用を検討される際、セキュリティーやコンプライアンスへの対応の調査を必ず行なわれることと思います。 弊社では、お客様のリスク評価を円滑に実施していただくために、公益財団法人金融情報システムセンター『金融機関等コンピュータシステムの安全対策基準・解説書(第8版追補)』(FISC安対基準)をベンチマークし、弊社で自己評価を実施の上、第三者による支援として新日本監査法人による助言を受けました。
IBM Cloud IaaS サービスを調査対象としていますが、それ以外の管理基準に関しては弊社のアプリケーション開発、運用支援等のサービスで対応可能かの確認を実施しました。調査結果資料についての詳細は、弊社担当営業にお問い合わせください。
FISMA
Federal Information Security Management Act of 2002(FISMA)は、連邦政府のデータの安全性を保証します。FISMAでは、タイムリーかつコスト効率の良い方法で許容可能なレベル以下にリスクを抑えるために、年に1度職員や局長が機密保護プログラムの見直しを実施することを要求しています。
コンプライアンスセキュリティー
IBMと提携することで、お客様はフル・スタックのIBM Cloudセキュリティー・サービスだけでなく、133カ国で1万2000以上のお客様をサポートするセキュリティー・チームにもアクセスできるようになります。企業のセキュリティーにおける実績あるリーダーであるIBMは、3,500件を超えるセキュリティーに関する特許を保有しています。またIBMは、セキュリティー免疫システムを高度なコグニティブ・コンピューティングと組み合わせることにより、お客様組織の変革とリスクの軽減を同時に実現します。
IBM Cloud 全般(IaaS および PaaS サービス)におけるセキュリティーに関する考え方をガイドブックにまとめています。
プライバシー
IBMは、社員、お客様、ビジネス・パートナー(お客様およびビジネス・パートナー内の連絡先を含む)、その他の識別可能な個人に関する個人情報のプライバシーおよび機密性を保護することに全力で取り組んでいます。このような情報の収集、使用、開示、保管、アクセス、転送、または処理を行うための統一された手法は、IBMが個人情報を公正かつ適切に処理し、適切な状況下でのみ、それを開示および/または転送するのに役立ちます。
コンプライアンスのリソースと情報
