株式会社yett(福岡県福岡市)は、法人向けクラウドストレージサービス「Everidays(エブリデイズ)」について、情報セキュリティの国際規格「ISO/IEC 27001:2022」「ISO/IEC 27017:2015」「ISO/IEC 27701:2019」の更新審査を完了した。審査機関は一般財団法人 日本品質保証機構(JQA)で、認証の有効期限は2029年1月30日となる。
更新対象は、情報セキュリティマネジメントシステム(ISMS)に関するISO/IEC 27001、クラウドサービスの提供・利用に関する管理策を扱うISO/IEC 27017、個人情報の取り扱いに関するプライバシー情報マネジメントシステム(PIMS)のISO/IEC 27701の3規格だ。Everidaysは顧客から預かるデータを国内のMicrosoft Azureデータセンターで保管している。今回の更新審査完了は、情報セキュリティ体制、クラウドサービスとしてのセキュリティ対策、個人情報保護の管理体制が国際基準を満たしていることの確認につながったという。yettは認証の維持・運用を通じ、継続的な改善に取り組む方針を示している。
認証期限は2029年1月
更新審査は、ISO/IEC 27001等の認証が一定期間ごとに外部の審査機関による確認を必要とする枠組みに沿う。今回の審査では3規格について審査を受け、いずれも認証が更新された。審査機関はJQAで、認証の有効期限は2029年1月30日とされた。
yettは2018年7月設立で、Webサービス(SaaS)の企画・開発・保守・運用などを手がける。Everidaysは法人向けオンラインクラウドストレージとして提供しており、更新審査の完了にあわせて、機能やサービス内容に変更はないとしている。
ISO/IEC 27001は、組織が保有する情報資産を適切に保護するための仕組みに関する国際規格とされ、リスクアセスメントや管理策の運用を通じて情報の機密性・完全性・可用性を維持することを目的とする。ISO/IEC 27017は、ISO/IEC 27001の管理策に加え、クラウド環境特有のリスクに対応する追加的なガイドラインを定める。ISO/IEC 27701は、ISO/IEC 27001の枠組みを拡張し、個人情報の収集・保管・処理における管理体制の構築を求める国際規格という。
Everidaysはユーザー数無制限の法人向けオンラインクラウドストレージとして展開している。利用実績として、中小企業や上場企業、官公庁や自治体などの公的機関、教育機関など業界業種を問わず、約1,000社以上の組織で利用があるとしている。
更新後も機能変更なし
yettは、今回の更新が既存認証の更新に当たり、Everidaysの機能やサービス内容の変更はないとしている。セキュリティに関する資料として、セキュリティホワイトペーパーとセキュリティチェックシートを公開しているという。
運用面では、更新審査が「認証取得後も情報セキュリティマネジメントシステムが適切に運用・改善されているか」を外部の審査機関が確認する手続きと説明されている点が焦点となる。