【企業が準拠しなければならないセキュリティ基準について】
色々なセキュリティサービス/製品を調べていると必ず出てくるセキュリティ基準の単語…。
この基準はつまり何なのか?をかなり簡単にまとめてみました。
※自分で気になったものだけ取り上げております。
【今回取り上げるセキュリティ基準一覧】
①ISO 27001
②PCI DSS
③GDPR
④HIPAA・HITECH
①ISO 27001とは?
ISOが定めた、情報セキュリティマネジメントシステム(ISMS)に関する国際規格。
・ISMSの確立、実施、維持、継続的な改善
・情報セキュリティのリスクアセスメントおよびリスク対応
を実現するためにこういうことをしていきましょう、という内容が書かれている。
■そもそもISOとは?
International Organization for Standardization
国際標準化機構
ISOの主な活動は国際的に通用する規格を制定すること。
ISOが定めた規格のことをISO規格と呼ぶ。
国際的な取引をスムーズにするために、何らかの製品やサービスに関して「世界中で同じ品質、同じレベルのものを提供できるようにしましょう」という国際的な基準のため、ITに関わるものだけではなくカードの大きさなどの”モノ”に対する規格や、組織の品質活動や環境活動を管理するための仕組みといった規格もある。
スイスのジュネーブに本部がある。
■情報セキュリティマネジメントシステム(ISMS)とは?
ISMS=Information Security Management Systemの略称。
企業や組織の情報を守るためのマネジメントシステム、つまり企業や組織において情報セキュリティを実現するための仕組みのこと。
☆ISMSのマネジメントシステム規格として最も有名なのがISO 27001らしいです。
ISO 27001は企業内でISMSを構築していくうえで参考になるガイドラインのようなもの、という位置づけになる様子。
②PCI DSSとは?
Payment Card Industry Data Security Standard(ペイメント・カード・インダストリー・データ・セキュリティ・スタンダード)
クレジットカード業界における情報セキュリティ基準
クレジットカード会員データを安全に取り扱う事を目的として、国際ペイメントブランド5社(アメリカンエキスプレス、Discover、JCB、マスターカード、VISA)が共同で策定した。
カード情報を「保存、処理、または伝送する」企業であるカード加盟店、銀行、決済代行など行うサービス・プロバイダーが、年間のカード取引量に応じて、PCI DSS 準拠する必要がある。
カード取引量がPCI DSS準拠の基準に満たさなくても、各カードブランドが制定しているセキュリティー基準プログラムに準拠する必要がある。
*準拠しなければならない業界例*
金融業:クレジットカード会社、クレジットカード発行金融機関
流通業: 大手百貨店、スーパー、量販店、鉄道、航空会社
通信/メディア/公共:携帯電話会社、通信会社、ユーティリティ、新聞
製造業:石油業界 他
③GDPRとは?
General Data Protection Regulation(ゼネラル・データ・プロテクション・レギュレーション)
EU一般データ保護規則
一言でいうと、欧州域内に所在する個人データの処理・移転に関する規則。
日本企業であれば関係ないというわけではなく、情報が扱われる範囲によっては企業の規模に関わらず当てはまる場合がある。
BtoB事業のみの企業:従業員や仕入先・販売先の個人データが対象
BtoC事業を行う企業:グローバルベースの顧客の個人データも対象
☆業界や規模に関わらず、多くの企業で準拠しなければならない可能性があるみたいです。
④HIPAA・HITECHとは?
■HIPAA
Health Insurance Portability and Accountability Act
医療保険の相互運用性と説明責任に関する法令
■HITECH
Health Information Technology for Economic and Clinical Health Act
経済的及び臨床的健全性のための医療情報技術に関する法律
いずれも医療情報を扱うクラウドサービスに関わる法律。
電子化された医療情報におけるプライバシーとセキュリティを保護するためのもの。
電子カルテを所有する医療現場に限らず、電子カルテを扱うクラウドサービスまで法律の効力が及ぶ。
HIPAA:電子化した医療情報に関するプライバシー保護・セキュリティ確保について定めたアメリカの法律
HITECH:HIPAA法を拡張し違反に対する罰則を厳しくしたアメリカの法律
→医療機関がHIPAAが定める「プライバシー規則」「セキュリティ規則」に準拠しているか監査する。
セキュリティ基準いろいろVol.2もあるかも?