管理

LINE WORKSにおける個人情報保護とセキュリティ認証への対応について

2016.10.31

LINE WORKSは、国際的なセキュリティ標準である SOC2/SOC3 および ISO27001、ISO27017、
ISO27018認証を取得しており、プライバシー情報
保護の安全性が保証されています

 

クラウドサービスの導入を検討するにあたり、保存されるデータや顧客の個人情報が万が一ハッキングなどの被害に遭い、漏えいする心配がないか、という点は多くの企業における課題であり、セキュリティの懸念は導入の大きなハードルとなっています。

 

クラウドサービスを提供するベンダーは、自社が提供するサービスがいかに安全かをアピールしていますが、何をもって安全と判断すれば良いでしょうか。

 

例えば、A銀行が「私たちの金庫はとても安全です。家にある現金や貴重品は当行に預けてください。」と広告しているとすると、何をもって安全というのか、その安全がどう保証されるのかという疑問が出てきます。このように、A銀行が安全だと保障して安心を与えるための仕組みが ”認証 (Certification)” です。

 

LINE WORKSは、第三者機関による監査を経てプライバシーおよび情報セキュリティに関する認証を取得しており、セキュリティ面でも安全で安心のサービスを提供しています。

 

 

1. LINE WORKSが取得している情報セキュリティ認証を
教えてください

LINE WORKSは、情報セキュリティに関する国際認証である「SOC2、SOC3、ISO27001、ISO27017、ISO27018」を取得しており、毎年更新審査を実施して取得した認証を維持しています。

 

LINE WORKSは、会社が設立された2015年にSOC2/SOC3を取得し、2016年にISO27001、ISO27017、ISO27018を取得しており、サービスの安全性を担保するための努力を続けています。

これらの認証は、グローバルIT企業であるAmazonやMicrosoftが提供するサービスも取得している認証であり、LINE WORKSサービスは国際水準の情報セキュリティを提供していることを意味しています。

 

SOC2、SOC3

01
ISO/IEC 27001、27017、27018

02

 

 

 

2. SOC2/SOC3とは

SOC (Service Organization Control) とは、会社の内部業務手順に対する評価を行い、当該基準を満たした場合、認定されるプライバシーおよび機密情報保護に特化された国際的な認証です。

 

SOC (Service Organization Control) 認証とは、米国公認会計士協会 (AICPA) とカナダ公認会計士協会 (CICA) が定めたTrust Services Principles Section 100 への準拠性を、外部監査機関が監査を通じて検証し、該当基準をすべて満たす場合に付与されるプライバシーおよび情報保護に関する国際的な認証です。

SOCは、企業が提供するサービスの運用に関する内部統制を評価する報告書で、セキュリティ (Security)、可用性 (Availability)、処理のインテグリティ (Processing Integrity)、機密保持 (Confidentiality)、プライバシー (Privacy) の5つの領域に対して、計116個の統制が適切に行われているかを検証します。

SOC報告書は、目的や利用者によってSOC2とSOC3の2つがあります。企業が提供するサービスの運用に関する内部統制を評価する報告するという点では同じですが、SOC2は企業内およびパートナーなどの外部関係者のみに公開されるものであり、SOC3は誰にでも公開できるという点で違いがあります。

SOC2、SOC3認証を取得したということは、適切な手続を踏まなければ誰も顧客のプライバシーや個人情報に関するデータに任意にアクセスすることはできず、承認される場合もその人数は最小限に統制されていることを意味します。

 

 

 

3. ISO27001/ISO27017/ISO27018とは

ISO27001は国際標準化機構 (ISO) および国際電気標準会議 (IEC) によって制定された情報セキュリティ分野で最も権威のある国際認証規格です。また ISO27017 および ISO27018 は、クラウドサービスに関するセキュリティ指針です。

 

ISO/IECは、国際標準化機構 (International Organization for Standardization, ISO) と国際電気標準会議 (International Electro-technical Commission, IEC) によって制定された情報セキュリティ管理システムに関する国際認証規格です。

ISO27001は、ISOが要求する項目を基盤とした情報保護管理体制によって組織が運営されているかどうかを検証します。ISO27001の項目は、情報セキュリティマネジメントシステム (Information Security Management System, ISMS) が組織に効果的に定着・運営されるために必要な要求事項が含まれており、コンプライアンス (Compliance)、アクセス制御 (Access Control)、コミュニケーションセキュリティ (Communication Security) の14の領域について、合計113の統制項目が適切に反映されているかを検証します。

ISO27017とISO27018はクラウドサービスに特化された認証で、クラウドサービス事業者が備えなければならないセキュリティ基準や内部統制および個人情報保護のための体制と透明性を備えているかについて検証します。

ISO27017は、クラウドサービスに必要なセキュリティ統制と実装指針であり、情報保護ポリシー、情報保護組織、資産管理、アクセス制御、暗号化などの項目の他、クラウドサービス事業者が備えるべきセキュリティ統制などの項目が含まれています。ISO27018は、パブリッククラウド環境で個人を識別できる情報
(PII、Personally Identifiable Information) を保護するための指針と利用者のデータ統制権保証、利用者情報の処理と保管透明性確保などを主な内容としています。

 

 

LINE WORKSは情報セキュリティとプライバシー保護に努め、ユーザーの皆様がより安心して利用できるサービスを提供してまいります。

セキュリティ 認証 個人情報保護