TKCは10月16日、パブリッククラウドサービスにおける個人情報保護の国際規格「ISO/IEC 27018」の認証を取得したと発表。同日、同社本社で授与式を開いた。対象となるのは、同社のデータセンターである「TKCインターネット・サービスセンター(TISC)」であり、同認証を取得するのは国内初という。
ISO/IEC 27018は、クラウド事業者を対象にパブリッククラウドで“個人識別情報(Personally Indentifiable Information:PII)”を保護するための実施基準を認証するもので、すでに米Dropboxが取得。認証されているのは、TKCを含めて世界で3社だけだという。
情報セキュリティ管理のための規範として広く利用されている国際規格「ISO/IEC 27002」をベースとし、パブリッククラウドにおける個人情報保護に特化した初めての国際規格。仕様は2014年7月に公開されていた。
BSIグループジャパン 営業本部 大手法人営業部 営業マネージャー 登山慎一氏
審査、認証を受け持ったBSIグループジャパン 営業本部 大手法人営業部 営業マネージャーの登山慎一氏は「ISO/IEC 27002は、システムのセキュリティを向上させるという意味では適しているが、個人情報の保護についてはカバーされていない」と説明した。
「ISO/IEC 27018は、個人情報保護におけるベストプラクティスを提供するものであり、事業者や利用者のニーズにマッチした認証制度である。構築したクラウドプラットフォームの上で個人情報を適切に管理、運用していることを認証する。TKCは自前のデータセンターでサービスを運用しているが、自治体のデータのやりとりに公衆回線を活用していることから、広義にパブリッククラウドであるとの認識の上で審査した」(登山氏)
TKCは、5月にISO/IEC 27018認証取得に向けたプロジェクトチームを10人規模で発足。9月から審査を開始、10月12日付けで認証登録となった。認証されたTISCは、TKCが提供する地方公共団体向けクラウドサービス「新世代TASKクラウド」、会計事務所向け電子申告システム「e-TAX2000」、企業向け戦略財務情報システム「FX4クウラド」などの各種クラウドサービスを運用。400Tバイト規模のストレージを持つという。
TKC 代表取締役社長 角一幸氏
TKC代表取締役社長の角一幸氏は、「TKCは、ルールに基づく経営をするという体質を持っている。こうした経営を49年間続けてきた」と前置きし、「当社の取引先は、会計事務所やそれに関与する中小企業、あるいは大企業や関連会社、全国の市町村のほか、全国の弁護士や法律事務所といったように社会的に重要な役割を担う企業も多い。企業の決算データや個人の申告データなどを扱っている」と同社の立ち位置を解説した。
「2018年には、預かるマイナンバーの数は3000万人に近づくと想定しており、4人に1人の番号を預かることになる。この重みをシステム、運用、安全面で担うことになる。今回の認証は、パブリッククラウドに対するものであるが、パプリッククラウドよりもプライベートクラウドの方が安全性が高いと判断している。パブリッククラウドで認証を得ることで、プライベートクラウドでの安全性も担保できると考えた」(角氏)
角氏は続けて「マイナンバー制度がスタートする、このタイミングで、ISO/IEC 27018を取得できたことはタイムリーであり、ラッキーだ。だが、認証を取得することはゴールではない。スタートラインにようやく立てたという気持ちでいる。ゴールは先にある。今後5年間でデータセンターに30億~50億円を投資していくことで、データセンターに関するセキュティの向上、業務水準の向上に取り組む」と今後を見通した。
「運用面での強化はもちろん、最新IT機器への刷新、安全面への投資も進める。今回の認証は、新規顧客の獲得や新たなサービスの創出につなげるというよりも、既存顧客に対して安心感を提供できるものになると考えている。また、プライバシーマークを取得していることが条件とされる案件が多いように、将来的にはISO/IEC 27018が条件のひとつに組み込まれていくだろう。アドバンテージは1年程度だろうが、日本で一番目に取得したことに意味がある。安心して利用してもらえるデータセンター、企業でありたいと考えている」(角氏)
BSIグループジャパン 代表取締役社長 竹尾直章氏
BSIグループジャパン代表取締役社長の竹尾直章氏は、「クラウド利用者からセキュリティに対する懸念の声が高まっている。一部調査では、IT関連意思決定者の76%がクラウド事業者に対するセキュリティに懸念を持っているという結果も出ている。だが、自社でシステムを運用するよりも、クラウド事業者による環境の方が、セキュリティが強固であるのは明らか」とクラウドに対する見方を説明した。
「クラウド事業者がセキュリティを強化する上で、寄り所とするものがISO/IEC 27018になる。クラウド事業者にとっては、さらなるセキュリティレベルの向上への取り組みが可能になり、ユーザー企業にとっては、クラウドサービスを選択する際の指標にもなる。TKCには、トップマネジメントの意識の高さがあり、業界最高水準の取り組みを実現している。また、課題解決に対する取り組みが速い点も評価している。審査しているなかでも課題を解決しており、結果として、不適合とする部分がなかった。セキュリティに対する真剣さ、スピードを重視し経営の表れである」(竹尾氏)
BSIグループの登山氏は、「マイナンバー制度のスタートや自動運転車の実用化、ウェアラブル端末の普及などにより、IoTによるPIIの収集が活発化。日本でも個人情報の保護に対する強化が求められている。今後、個人情報を取り扱うパブリックサービス事業者の大半は、ISO/IEC 27018を取得すると考えている。2019年までに国内で100社強の認証取得が見込まれる」との見込みを明らかにした。
