IBM Cloudのコンプライアンス・プログラム

国際組織のリーダーは、ITインフラストラクチャーをクラウドに移行させる際に、地域固有のコンプライアンス標準が増大している状況に直面しています。IBM Cloud™プラットフォーム・サービスは、お客様がこれらの地域のコンプライアンス標準に対応するのを支援します。

BaFin（正式名はドイツ連邦金融監督庁）は、ドイツのすべての金融サービス会社を監督しています。BaFinは、金融サービス会社に提供されるクラウド・コンピューティング・サービスに対する規制フレームワークの仕様を発表しました。

ドイツ連邦政府の情報セキュリティー庁（BSI）によって導入されたクラウド・コンピューティング・コンプライアンス・コントロール・カタログ（Cloud Computing Compliance Controls Catalog：C5）は、クラウド固有の認証スキームです。このスキームは、クラウド・サービス・プロバイダーがそれぞれのクラウド・サービスの最小限のセキュリティー・レベルを確保するために満たす必要のある要件を概説します。C5は、既存のセキュリティー標準（ISO 27001など）に、データ処理での透明性を高めるための追加要件を組み合わせることによって、クラウド・プロバイダーに対する要件を強化します。

IBM CloudインフラストラクチャーC5認証を要求するには、以下のいずれかを実行します。お客様ポータルにアクセスする（IBM外部へのリンク）

欧州銀行監督局（EBA）は、EU全体において、一貫性のある効率的かつ効果的な監督慣行を確立し、連合法の一様な適用を確保する使命の一環として、権限を持つ分野における規制ガイドラインと勧告を発行しています。

IBM CloudプラットフォームがEBA勧告をサポートする方法について読む（PDF、1.5 MB)

欧州連合ネットワーク情報セキュリティー機関（ENISA）は、情報セキュリティー確保のためのフレームワーク（IAF）を発行しました。これは、クラウド・サービスの導入のリスクを評価し、異なるクラウド・プロバイダーのオファーを比較し、選択されたクラウド・プロバイダーから保証を取得し、保証の負担を軽減することを目的とする保証基準のセットです。

スペインの国定セキュリティー・フレームワーク（ENS）は、セキュリティーに関する規定を整備し、スペインのすべての公共機関に適用される法令です。ENSは、eGovernmentサービスのセキュリティー・ポリシーを確立します。すべての公共機関が従うべき、情報の適切な保護を可能にするための基本原則と最小要件を設定しています。

IBM CloudインフラストラクチャーENS高認証を表示する（PDF、704 KB）

ENS高認証のあるIBM Cloudプラットフォームのサービスには、以下のものが含まれます。

IBM Cloud Bare Metal
IBM Cloud Block Storage
IBM Cloud Direct Link
IBM Cloud File Storage
IBM Cloud Hardware Security Module
IBM Cloud Object Storage（IaaS）
IBM Cloud Virtual Servers

EU モデル条項（EU Model Clauses）は、EU市民の個人情報（PII）の管理および処理に携わる組織に対応します。これらの条項は、非EU企業に対して、世界中のすべての場所で、EUデータ保護指令が定めた法律および慣例に従うことを義務付けます。同条項は、EU圏外に存在するプロバイダーが、EU法に準拠してデータを処理する場合に限り、EU市民のPIIを保有する企業に対して実施権と保証を提供します。2018年5月に、EUデータ保護指令は一般データ保護規則（GDPR）に置き換えられました。

EU-US Privacy Shield FrameworkおよびSwiss−US Privacy Shield Frameworkは、アメリカ合衆国商務省、欧州委員会、スイス政府によって設計されました。これらのフレームワークは、大西洋の両側に位置する企業に、欧州連合（EU）とスイスの個人データをアメリカ合衆国に移動させる際のデータ保護要件を満たすメカニズムを提供して、欧米間の貿易を支援します。

IBMポリシーおよびPrivacy Shield認証されたIBM Cloudサービスのリストを表示する

IBMは、EUの一般データ保護規則（GDPR）の一環として、プライバシーへの継続的なコミットメントを計画的に強化しています。IBMは、データ保護の原則をビジネス・プロセスにさらに深く組み込むために活動しています。この作業では、個人データの共有を防止するデフォルト設定に依存するモバイル・アプリケーションを含め、個人データへのアクセスを制限する既存のコントロールも強化しています。

IBMのGDPRフレームワークの詳細はこちら

英国政府は、英国政府機関がクラウド・プロバイダーと調達契約を締結するための、より迅速かつ安価なプロセスを可能にするためのG-Cloudフレームワークを創設しました。G-Cloudサービスは3つのカテゴリーに分類されます。クラウド・ホスティング、クラウド・ソフトウェア、およびクラウド・サポートです。

Hébergeurs de Données de Sante（HDS）は、フランスで最初に収集された個人の健康データを保護する条件を記述するために設計されています。データ・ホスティングには、データの重要な性質にふさわしいセキュリティー管理を組み込む必要があります。

フランスで収集した個人の健康データをホストする個人または法人は、この目的のために承認または認証される必要があります。

IBM Cloudインフラストラクチャー・サービスHDS認証を表示する（PDF、448 KB）

IT-Grundschutzの目的は、組織内のあらゆる種類の情報に適切なセキュリティー・レベルを実現することです。IT-Grundschutzは、このプロセスへの全体的なアプローチを使用し、技術、組織、人員、およびインフラストラクチャーの安全防護策を適用するためのガイダンスを提供します。

ネットワークおよび情報システム（NIS）指令（EU 2016/1148）は、EU全体を対象とする最初のサイバーセキュリティー法であり、EUにおける重要なインフラストラクチャーのためのサイバーセキュリティーの全体的なレベルを向上させることを目的としています。

IBMは、ネットワークおよび情報システムのセキュリティーにもたらされるリスクを管理するのに適切で見合った、標準的な技術的および組織的な対策を保持します。これには、セキュリティー・モニター・プログラムと、サイバーセキュリティーの脅威や攻撃に対応するためのグローバルなインシデント対応プロセスが含まれます。IBMはさらに、オンライン・トレーニング、研修ツール、ビデオ、およびその他の認識イニシアチブを組み合わせて活用して、従業員のセキュリティー意識と責任の文化を育成します。これらの技術的および組織的な対策についての詳細は、ISO 27001およびSOC 2などのIBMの認証および監査レポートでご覧いただけます。