IBM Cloudの地域コンプライアンス・プログラムについて

国際組織のリーダーは、ITインフラストラクチャーをクラウドに移行させる際に、地域固有のコンプライアンス標準が増大している状況に直面しています。IBM Cloud™プラットフォーム・サービスは、お客様がこれらの地域のコンプライアンス標準に対応するのを支援します。

アジア太平洋

FISC(日本)

金融情報システム・センター(The Center for Financial Industry Information Systems:FISC)は、日本の大蔵省(当時)により設立されました。その目的は、日本の金融情報システムに関連する問題について調査を行うことです。FISCは、銀行および金融業界内の情報システムのセキュリティーを促進するためのガイドラインを作成しました。FISCのセキュリティー・ガイドラインは、法律により定められたものではありませんが、情報システムの設計と保守において、日本のほとんどの金融機関で認識および使用されています。

IRAP(オーストラリア)

Information Security Registered Assessors Program(IRAP)は、オーストラリア電信電子局(Australian Signals Directorate)により作成されたもので、オーストラリアのセキュリティーをサポートするために、高品質の情報通信技術サービスを政府に提供することを目的としています。IRAPは、民間セクターから公共セクターに至る個人によるオーストラリア政府へのサイバーセキュリティー評価サービスの提供を公認する枠組みを提供しています。

K-ISMS(韓国)

韓国情報セキュリティー管理システム(K-ISMS)は、韓国インターネット振興院(KISA)が主催する韓国政府の後援による認証です。K-ISMSは、組織の情報セキュリティー管理システムが適切に確立、管理、運用されているかを評価するために設計された認証システムです。この認証を取得すると、韓国のIBM Cloudインフラストラクチャーのお客様が、重要なデジタル情報資産を保護し、KISAのコンプライアンス標準に適合するための、地域の法的要件の遵守をより簡単に実証できるようになります。

IBM Cloudインフラストラクチャー・サービスのK-ISMS認証を表示する(英語)(PDF、317 KB)

IBM Cloudインフラストラクチャー・サービスのK-ISMS認証を表示する(韓国語)(PDF、280 KB)

ISMSロゴ

MTCS(シンガポール)

Multi-Tier Cloud Security(MTCS)はシンガポール標準SS 584とも呼ばれ、シンガポールで運用しているクラウド・サービス・プロバイダーのための多層セキュリティー標準です。

IBM Cloudインフラストラクチャー認証を要求するには: お客様ポータルにアクセスする(IBM外部へのリンク)

マイナンバー法(日本)

日本では、社会保障・税番号(マイナンバー)制度が2016年1月に施行されました。この法律では、日本の住人一人ひとり(日本国籍か外国籍かは問わない)に、主に納税や社会保障の目的で使用される固有の番号が割り当てられます。個人情報保護委員会(Personal Information Protection Commission:PPC)は、企業がマイナンバー情報を正しく処理し、保護するためのガイドラインを作成しました。

マイナンバー法のロゴ

ヨーロッパおよび英国

BaFin(ドイツ)

BaFin(正式名はドイツ連邦金融監督庁)は、ドイツのすべての金融サービス会社を監督しています。BaFinは、金融サービス会社に提供されるクラウド・コンピューティング・サービスに対する規制フレームワークの仕様を発表しました。

C5(ドイツ)

ドイツ連邦政府の情報セキュリティー庁(BSI)によって導入されたクラウド・コンピューティング・コンプライアンス・コントロール・カタログ(Cloud Computing Compliance Controls Catalog:C5)は、クラウド固有の認証スキームです。このスキームは、クラウド・サービス・プロバイダーがそれぞれのクラウド・サービスの最小限のセキュリティー・レベルを確保するために満たす必要のある要件を概説します。C5は、既存のセキュリティー標準(ISO 27001など)に、データ処理での透明性を高めるための追加要件を組み合わせることによって、クラウド・プロバイダーに対する要件を強化します。

IBM CloudインフラストラクチャーC5認証を要求するには、以下のいずれかを実行します。お客様ポータルにアクセスする(IBM外部へのリンク)
IBM担当員へのお問い合わせ

欧州銀行監督局 - EBA(EU)

欧州銀行監督局(EBA)は、EU全体において、一貫性のある効率的かつ効果的な監督慣行を確立し、連合法の一様な適用を確保する使命の一環として、権限を持つ分野における規制ガイドラインと勧告を発行しています。

IBM CloudプラットフォームがEBA勧告をサポートする方法について読む(PDF、1.5 MB)

ENISA IAF(EU)

欧州連合ネットワーク情報セキュリティー機関(ENISA)は、情報セキュリティー確保のためのフレームワーク(IAF)を発行しました。これは、クラウド・サービスの導入のリスクを評価し、異なるクラウド・プロバイダーのオファーを比較し、選択されたクラウド・プロバイダーから保証を取得し、保証の負担を軽減することを目的とする保証基準のセットです。

ENS(スペイン)

スペインの国定セキュリティー・フレームワーク(ENS)は、セキュリティーに関する規定を整備し、スペインのすべての公共機関に適用される法令です。ENSは、eGovernmentサービスのセキュリティー・ポリシーを確立します。すべての公共機関が従うべき、情報の適切な保護を可能にするための基本原則と最小要件を設定しています。

IBM CloudインフラストラクチャーENS高認証を表示する(PDF、704 KB)

ENS高認証のあるIBM Cloudプラットフォームのサービスには、以下のものが含まれます。

IBM Cloud Bare Metal
IBM Cloud Block Storage
IBM Cloud Direct Link
IBM Cloud File Storage
IBM Cloud Hardware Security Module
IBM Cloud Object Storage(IaaS)
IBM Cloud Virtual Servers

ENSスペイン認証

EU モデル条項

EU モデル条項(EU Model Clauses)は、EU市民の個人情報(PII)の管理および処理に携わる組織に対応します。これらの条項は、非EU企業に対して、世界中のすべての場所で、EUデータ保護指令が定めた法律および慣例に従うことを義務付けます。同条項は、EU圏外に存在するプロバイダーが、EU法に準拠してデータを処理する場合に限り、EU市民のPIIを保有する企業に対して実施権と保証を提供します。2018年5月に、EUデータ保護指令は一般データ保護規則(GDPR)に置き換えられました。

EU-US Privacy Shield

EU-US Privacy Shield FrameworkおよびSwiss−US Privacy Shield Frameworkは、アメリカ合衆国商務省、欧州委員会、スイス政府によって設計されました。これらのフレームワークは、大西洋の両側に位置する企業に、欧州連合(EU)とスイスの個人データをアメリカ合衆国に移動させる際のデータ保護要件を満たすメカニズムを提供して、欧米間の貿易を支援します。

IBMポリシーおよびPrivacy Shield認証されたIBM Cloudサービスのリストを表示する

GDPR(EU)

IBMは、EUの一般データ保護規則(GDPR)の一環として、プライバシーへの継続的なコミットメントを計画的に強化しています。IBMは、データ保護の原則をビジネス・プロセスにさらに深く組み込むために活動しています。この作業では、個人データの共有を防止するデフォルト設定に依存するモバイル・アプリケーションを含め、個人データへのアクセスを制限する既存のコントロールも強化しています。

IBMのGDPRフレームワークの詳細はこちら

G-Cloud(英国)

英国政府は、英国政府機関がクラウド・プロバイダーと調達契約を締結するための、より迅速かつ安価なプロセスを可能にするためのG-Cloudフレームワークを創設しました。G-Cloudサービスは3つのカテゴリーに分類されます。クラウド・ホスティング、クラウド・ソフトウェア、およびクラウド・サポートです。

Hébergeurs de Données de Santé - HDS; 健康データ・ホスティング(フランス)

Hébergeurs de Données de Sante(HDS)は、フランスで最初に収集された個人の健康データを保護する条件を記述するために設計されています。データ・ホスティングには、データの重要な性質にふさわしいセキュリティー管理を組み込む必要があります。

フランスで収集した個人の健康データをホストする個人または法人は、この目的のために承認または認証される必要があります。

IBM Cloudインフラストラクチャー・サービスHDS認証を表示する(PDF、448 KB)

IT-Grundschutz(ドイツ)

IT-Grundschutzの目的は、組織内のあらゆる種類の情報に適切なセキュリティー・レベルを実現することです。IT-Grundschutzは、このプロセスへの全体的なアプローチを使用し、技術、組織、人員、およびインフラストラクチャーの安全防護策を適用するためのガイダンスを提供します。

NIS指令(EU)

ネットワークおよび情報システム(NIS)指令(EU 2016/1148)は、EU全体を対象とする最初のサイバーセキュリティー法であり、EUにおける重要なインフラストラクチャーのためのサイバーセキュリティーの全体的なレベルを向上させることを目的としています。

IBMは、ネットワークおよび情報システムのセキュリティーにもたらされるリスクを管理するのに適切で見合った、標準的な技術的および組織的な対策を保持します。これには、セキュリティー・モニター・プログラムと、サイバーセキュリティーの脅威や攻撃に対応するためのグローバルなインシデント対応プロセスが含まれます。IBMはさらに、オンライン・トレーニング、研修ツール、ビデオ、およびその他の認識イニシアチブを組み合わせて活用して、従業員のセキュリティー意識と責任の文化を育成します。これらの技術的および組織的な対策についての詳細は、ISO 27001およびSOC 2などのIBMの認証および監査レポートでご覧いただけます。

 

米国

FERPA

学生情報を無許可の開示から保護することを義務付ける、家庭教育の権利とプライバシーに関する法(Family Educational Rights and Privacy Act:FERPA)への準拠で、中核となるのはセキュリティーです。クラウド・コンピューティングを使用する教育機関では、テクノロジー・ベンダーが機密性の高い学生データを適切に管理するという契約上の再保証が必要です。