このたび Azure は、新しい国際標準である ISO/IEC 27701 のプライバシー情報管理システム (PIMS) に対応したデータ処理業者として認定を受けた米国初の大手クラウド プロバイダーとなりました。PIMS 認定は、Azure が管理と運用制御の包括的セットを提供していることを示しています。これは、組織がプライバシーに関する法律と規制に準拠していることを立証する際に役立ちます。Azure のお客様は Microsoft の優れた監査機能を利用することにより、Microsoft の認定に基づいて独自の認定を取得し、ますます増え続けるグローバルなプライバシー要件に、より簡単に準拠できるようになります。
PIMS 認定を獲得した米国初の大手クラウド プロバイダーとなったことは、EU モデル条項への準拠を達成した最初のプロバイダーであることを含め、Azure の一連の「プライバシー第一」の取り組みの中で最も新しい成果です。また、Microsoft は、GDPR (一般データ保護規則) に含まれているコア データ プライバシー権を、世界中のお客様に対して自発的に拡大適用した最初の大手クラウド プロバイダーでもあります。
PIMS は、情報セキュリティ管理に広く使用されている ISO/IEC 27001 標準の拡張機能として策定されているため、ISO/IEC 27001 に依存する多くの組織にとって、PIMS のプライバシー情報管理システムを実装することは有益なコンプライアンスの拡張となるだけでなく、セキュリティとプライバシーの制御を調整するための強力な統合ポイントにもなります。PIMS では、GDPR コンプライアンスの重要な特徴であるデータ コントローラーとデータ プロセッサの両方で使用できる個人データ管理用フレームワークを介してこれを実現します。さらに組織は、すべての PIMS 監査において、監査の条件として適用される法律や規制を宣言する必要があります。これは、GDPR、CCPA (カリフォルニア州消費者プライバシー法) などの法律に規定されている要件の多くに、この標準をマップできることを意味します。この共通フレームワークを使用すると、組織は新しい規制要件に合わせて効率的にコンプライアンスを運用することができます。
また、PIMS では新しいプライバシー規制へのコンプライアンスを実装するためのテンプレートを提供することによって、お客様を支援しています。テンプレートを使用すると、新しい要件について複数の認定と監査に対応する必要性が軽減され、時間とコストの両方を節約することができます。これは、サプライ チェーンの取引関係および国境をまたぐデータ移動にとってきわめて重要です。
この短いビデオでは、Microsoft がどのように ISO/IEC 27701 に準拠し、コンプライアンスがどのようにお客様にとってのメリットになるかについて説明します。
ISO/IEC 27701:2019 の登録証明書は Schellman & Company LLC から発行されています。この標準には、Azure パブリック、政府クラウド、Germany クラウドにデプロイされている Microsoft Azure、Dynamics、その他のオンライン サービスをサポートする情報セキュリティ管理システムに関連して、個人を特定できる情報 (PII) プロセッサとして、プライバシー管理に対応した ISO/IEC 27001:2013 の拡張機能であるプライバシー情報管理システムを実装する際の要件、制御、およびガイドラインが網羅されています。ここで提供されるオンライン サービスには、適用宣言書バージョン 2019-02 に従い、開発、運用、インフラストラクチャ、および関連するセキュリティ、プライバシー、コンプライアンスが含まれます。証明書のコピーは、Service Trust Portal で確認できます。
現代のビジネスはデジタル変革によって推進されています。これには、データを深く理解し、ビッグ データ分析と AI のパワーを利用する能力も含まれます。しかし、お客様や規制当局から、このデータを活用してもよいという許可を受けるには、まず信頼を得る必要があります。Microsoft では、PIMS などの組み込みコントロールなど、プライバシーの自動化に役立つツールを使用して、このようなプライバシーの負担を軽減できるよう取り組んでいます。
Microsoft は、長年、プライバシーを確約しており、お客様がデータをより細かく制御できるようにするための対策を引き続き講じています。Microsoft の信頼できるクラウドは、プライバシー、セキュリティ、透明性、コンプライアンスへの取り組みを基盤としています。また、Microsoft のセキュリティ センターでは、検証済みの監査レポート、データ管理機能、およびお客様のデータについて法律執行機関から受け取った法的要求の数に関する情報も提供しています。