規格と規制の遵守

ISO 認証証明書

国際標準化機構(ISO)では、情報と社会のセキュリティについての世界的な基準を定めて、信頼性の高い革新的な製品やサービスを開発する組織をサポートしています。Dropbox は、オランダに拠点を置く独立系第三者機関の EY CertifyPoint による一連の監査を通じてデータ センター、システム、アプリケーション、スタッフ、プロセスの認証を受けています。

ISO 27001(情報セキュリティ マネジメント)

ISO 27001 は世界中で認識されている情報セキュリティ マネジメント システム(ISMS)の最高基準です。この基準は、ISO 27002 で説明されているセキュリティのベスト プラクティスも利用しています。Dropbox では信頼に応えるべく、物理的、技術的および法的な側面から持続的かつ包括的に統制し、改善を続けています。Dropbox の監査を実施した EY CertifyPoint は Raad voor Accreditatie(オランダの認証委員会)の ISO 27001 認証を継続的に保持しています。Dropbox Business、Dropbox Education の ISO 27001 認証証明書をご覧ください。

ISO 27017(クラウドのセキュリティ)

ISO 27017 とは、クラウド セキュリティの新しい国際規格で、クラウド サービスの提供と使用におけるセキュリティ管理のガイドラインを定めています。Dropbox の共有責任ガイドでは、Dropbox とお客様が協力して解決できるセキュリティ、プライバシー、コンプライアンス要件の一部を説明しています。Dropbox Business、Dropbox Education の ISO 27017 認証証明書をご覧ください。

ISO 27018(クラウドのプライバシーとデータ保護)

ISO 27018 とは、お客様に代わり個人情報を処理する Dropbox のようなクラウド サービス プロバイダに適用されるプライバシーとデータ保護の国際規格で、お客様が一般的な規制や契約上の要件あるいは疑問に対応するための基準を提供しています。Dropbox Business、Dropbox Education の ISO 27018 認証証明書をご覧ください。

ISO 22301(事業継続マネジメント)

ISO 22301 とは、組織がサービス途絶の影響を抑え、万が一サービス途絶が発生した際に損害を最小限に抑えることで適切に対応するための指針を示すビジネス継続性の国際規格です。Dropbox Business のビジネス継続性管理システム(BCMS)は全体的なリスク管理戦略の一貫であり、危機的な問題が発生したときにスタッフと業務を保護します。Dropbox Business、Dropbox Education の ISO 22301 認証証明書をご覧ください。

 

SOC レポート

Service Organization Controls(SOC)レポートは、SOC 1、SOC 2、SOC 3 とも呼ばれ、組織内で実施される内部管理の報告のために American Institute of Certified Public Accountants(AICPA)により確立されたフレームワークです。Dropbox は、独立系第三者機関の Ernst & Young LLP による一連の監査を通じてシステム、アプリケーション、スタッフ、プロセスを検証しています。

セキュリティ、機密性、完全性、可用性、プライバシーを評価する SOC 3

SOC 3 保証レポートでは、セキュリティ、可用性、処理の完全性、機密性、プライバシー(TSP セクション 100)といった、5 つのトラスト サービス基準すべてに関する情報を提供しています。Dropbox の一般使用を目的としたレポートは、SOC 2 レポートの要旨をまとめたもので、デザインの効率性や当社の管理に関するオペレーションについて独立した第三者監査の査定評価が盛り込まれています。Dropbox Business、Dropbox Education の SOC 3 検査をご覧ください。

セキュリティ、機密性、完全性、可用性、プライバシーを評価する SOC 2

SOC 2 レポートでは、セキュリティ、可用性、処理の完全性、機密性、プライバシー(TSP セクション 100)といった、5 つのトラスト サービス基準すべてに対応した、細やかな制御ベースの保証を提供しています。SOC 2 レポートには、Dropbox がお客様のファイルを保護するうえで使用しているプロセスと 100 以上の管理機能が記載されています。Dropbox 管理機能のデザイン効率性や操作性についての独立した第三者監査の査定評価の他に、本レポートには監査者のテスト手順と各管理機能の結果報告も記載されています。また、Dropbox の SOC 2 レポート(SOC 2+ レポートともいいます)には、前述の ISO 基準に対して監査済みの管理機能のマッピングも含まれており、透明性の強化に努めています。Dropbox Business、Dropbox Education の SOC 2 検査はリクエストに応じて提供しています。Dropbox のセールス チーム、またはサポート(Dropbox Business を現在ご利用のお客様の場合)にお問い合わせください。

SOC 1/SSAE 18/ISAE 3402(元 SSAE 16 または SAS 70)

SOC 1 レポートは、経理報告プログラム(ICFR)を使用して社内管理を行ううえで、Dropbox Business、Dropbox Education が重要要素であるとお考えのお客様に保証を提供しています。Dropbox はこうした保証を主にお客様の Sarbanes-Oxley(SOX)コンプライアンス向けに適用しています。独立した第三者機関による監査は、Statement on Standards for Attestation Engagements No. 18(SSAE 18)および International Standard on Assurance Engagements No. 3402(ISAE 3402)に従って実施されます。こうした規格は、過去の Statement on Standards for Attestation Engagement No.16(SSAE 16)および Statement on Auditing Standards No. 70(SAS 70)に代わるものです。Dropbox Business、Dropbox Education の SOC 1 検査はリクエストに応じて提供しています。Dropbox のセールス チームまたはサポート(現在 Dropbox Business をご利用のお客様)にお問い合わせください。

 

クラウド セキュリティ アライアンス - Security, Trust, Assurance, Risk(CSA STAR)レジストリ

CSA Security, Trust, Assurance, and Risk(STAR)レジストリは、クラウド サービス向けのセキュリティ保証プログラムを提供しており、誰でもアクセスできる無料の登録データです。現在使用中のクラウド プロバイダのセキュリティ評価や、契約を検討する際に役立てることができます。

Dropbox Business と Dropbox Education は CSA STAR のレベル 2 認証とレベル 2 証明を受けています。CSA STAR レベル 2 では、ISO 27001 の要件、SOC 2 トラスト サービス基準、CSA Cloud Controls Matrix(CCM)v3.0.1. に則って、第三者機関(EY CertifyPoint による認証と Ernst & Young LLP による証明)によるセキュリティ管理事項の評価が必要です。Dropbox の CSA STAR レベル 2 の認証と証明は、CSA ウェブサイトでご覧いただけます。

 

HIPAA/HITECH

医療保険の携行性や責任に関する法律(HIPAA)や経済的および臨床的健全性のための医療情報技術に関する法律(HITECH)を遵守するためにお客様が必要とする場合、Dropbox は Dropbox Business、Dropbox Education のお客様との間で事業提携契約書(BAA)に署名します。詳しくは「HIPAA スタートガイド」およびヘルプセンター記事をご覧ください。

Dropbox は、HIPAA/HITECH のセキュリティ、プライバシー、違反通知の各規則への対応のみならず、Dropbox 社内での実施状況、Dropbox Business や Dropbox Education で HIPAA/HITECH のセキュリティおよびプライバシー規則の準拠を求めるお客様に対する推奨内容を評価した、第三者機関による保証報告書を提供しています

これらの報告書が必要なお客様はセールス担当者にお問い合わせください。Dropbox Business、Dropbox Education チームの管理者の方は管理コンソールの[アカウント]ページで電子署名により BAA にご署名いただけます。

注:管理コンソールで BAA に電子署名することができるのは、米国内のお客様のみです。

ドイツ BSI C5 証明レポート

Cloud Computing Compliance Controls Catalog(C5)とは、クラウド サービスの供給に適用されるセキュリティ管理に関する報告について、ドイツ連邦情報技術安全局(Bundesamt fur Sicherheit in der Informationstechnik - BSI)が定めたフレームワークです。C5 証明は、BSI が定めた「クラウド企業向けのセキュリティ対策」に則って、企業が情報セキュリティ対策を行っていることを示す目安となります。C5 は、ISO 27001 や CSA STAR といった既存の国際セキュリティ基準を元に定められています。C5 証明レポートを受けるため、Dropbox のシステム、プロセス、管理機能は、ドイツを拠点とする第三者機関の Ernst & Young GmbH による検証を受けました。第三者機関による監査は、International Standard on Assurance Engagements No. 3000(ISAE 3000 および IDW PS 860)に則って実施されます。

本レポートには Dropbox のシステム、アプリケーション、プロセス、管理機能に関する詳細な説明および第三者機関の監査官の検証手順と各管理機能の結果が記載されています。Dropbox Business、Dropbox Education の C5 レポートはリクエストに応じて提供しています。Dropbox のセールス チームまたはサポート(現在 Dropbox Business をご利用のお客様)にお問い合わせください。


*Dropbox Paper は C5 レポートの対象外です。

 

欧州連合/米国間プライバシー シールドおよびスイス/米国間プライバシー シールド

Dropbox は、EU 加盟国、欧州経済領域、英国ならびにスイスから米国へ転送されるユーザー個人データの収集、使用および保持に関して、アメリカ合衆国商務省により定められている EU/米国間およびスイス/米国間のプライバシー シールド フレームワークに準拠しています。プライバシー シールド原則を遵守により、組織が GDPR に基づき充分なプライバシー保護を提供できるよう担保します。

Dropbox のプライバシー シールド証明書はこちらからご覧いただけます。プライバシー シールドについて詳しくは、こちらのウェブサイトをご覧ください。

EU 一般データ保護規則(GDPR)

一般データ保護規則 2016/679(GDPR)は、EU データ主体の個人データ処理に関する既存のフレームワークへの重要な変更を示した欧州連合の規則です。GDPR では、個人データを取り扱う Dropbox のような企業に適用される新しい要件や厳格化した要件を採用しています。この規則は、従来の EU 指令 95/46 EC(データ保護指令)に代わり、2018 年 5 月 25 日に発効されました。Dropbox は GDPR に準拠していますので、ご利用いただくお客様による GDPR の遵守を支えます。詳細については、こちらのヘルプセンターの記事をご覧ください。

 

学生と児童(FERPA と COPPA)

Dropbox Business と Dropbox Education では、米国の家庭教育の権利とプライバシーに関する法(FERPA)により課せられるベンダーの義務に従い、顧客がサービスを利用できるようになっています。教育機関は、児童オンライン プライバシー保護法(COPPA)に沿った形でのみ Dropbox Business または Dropbox Education を利用できます。

 

PCI DSS

Dropbox は PCI データ セキュリティ スタンダード(PCI DSS)に準拠しています。ただし、Dropbox Business、Dropbox Education、Dropbox Paper はクレジット カードによる取引を処理または保管するように設計されていません。Dropbox ではお客様のリクエストに応じて販売者ステータスについての PCI 準拠証明書(AoC)を提供しています。Dropbox のセールス担当者またはサポート(Dropbox Business を現在ご利用のお客様)にお問い合わせください。

 

Dropbox の再受託プロバイダ

Dropbox のデータ センター コロケーションと マネージド サービス プロバイダもセキュリティ対策の検証のために定期的に SOC 1、SOC 2、ISO 27001 の監査を受けています。Dropbox では情報セキュリティ管理プログラムの一環として、年に 1 回以上、これらの監査結果を確認しています。監査レポートが入手できない場合は、ベンダー セキュリティ審査を行っています。監査や審査により Dropbox やお客様に対する重大なリスクが発見された場合、サービス プロバイダと連携して顧客データへどのような影響が及ぶかを把握し、問題が解決されるまで対応を記録します。

 

Dropbox Business、Dropbox Education のコンプライアンスについての詳細

コンプライアンスや証明書のドキュメントをご希望の方は Dropbox のセールス担当者またはサポート(Dropbox Business を現在ご利用のお客様)にお問い合わせください。