規格と規制を遵守


Dropbox の ISO 27001 認証

ISO 認証証明書

国際標準化機構(ISO)では、情報と社会のセキュリティについての世界的な基準を定めて、信頼性の高い革新的な製品やサービスを開発する組織をサポートしています。Dropbox は、オランダに拠点を置く独立系第三者機関である EY CertifyPoint による一連の監査を通じてデータ センター、システム、アプリケーション、スタッフ、プロセスの認証を受けています。

ISO 27001(情報セキュリティ マネジメント)

ISO 27001 は世界中で認識されている情報セキュリティ マネジメント システム(ISMS)の最高基準です。この基準は、ISO 27002 で説明されているセキュリティのベスト プラクティスも利用しています。Dropbox では信頼に応えるべく、物理的、技術的および法的制御を持続的かつ包括的に管理し、改善を続けています。Dropbox の監査を実施した EY CertifyPoint は Raad voor Accreditatie(オランダの認証委員会)の ISO 27001 認定を維持しています。Dropbox Business と Dropbox Education の ISO 27001 認証証明書を確認する

ISO 27017(クラウドのセキュリティ)

ISO 27017 とは、クラウド セキュリティの新しい国際規格で、クラウド サービスの提供と使用におけるセキュリティ管理のガイドラインを定めています。Dropbox の共有責任ガイドでは、Dropbox とお客様が協力して解決できるセキュリティ、プライバシー、コンプライアンスの要件のいくつかを説明しています。Dropbox Business と Dropbox Education の ISO 27017 認証証明書を確認する

ISO 27018(クラウドのプライバシーとデータ保護)

ISO 27018 とは、お客様に代わり個人情報を処理する Dropbox のようなクラウド サービス プロバイダに適用されるプライバシーとデータ保護の国際規格で、お客様が一般的な規制や契約上の要件あるいは疑問に対応するための基本となります。Dropbox Business と Dropbox Education の ISO 27018 認定証明書を確認する

ISO 22301(事業継続マネジメント)

ISO 22301 とは、組織がサービス途絶の影響を抑え、万が一サービス途絶が発生した際に損害を最小限に抑えることで適切に対応するための指針を示すビジネスの継続性の国際規格です。Dropbox Business のビジネス継続性管理システム(BCMS)は全体的なリスク管理戦略に含まれ、危機的な問題が発生した時にスタッフと業務を保護します。Dropbox Business と Dropbox Education の ISO 22301 認証証明書を確認する


Dropbox の SOC コンプライアンス

SOC レポート

Service Organization Controls(SOC)レポートは、SOC 1、SOC 2、SOC 3 とも呼ばれ、組織内で実施される内部管理の報告のために American Institute of Certified Public Accountants(AICPA)により確立されたフレームワークです。Dropbox は、第三者機関である EY CertifyPoint と Young LLP による数回の監査を通じてシステム、アプリケーション、スタッフ、プロセスの認証を受けています。

セキュリティ、機密性、完全性、可用性、プライバシーの SOC 3

SOC 3 保証レポートでは、セキュリティ、機密性、処理の完全性、可用性、プライバシー(TSP セクション 100)といった、5 つの信用提供原則すべてに関する情報を提供しています。一般使用を目的とした本レポートは Dropbox の SOC 2 レポートの要旨をまとめたもので、効率的なデザインや当社の管理権限に関するオペレーションについての独立した第三者監査の査定評価が含まれています。Dropbox Business と Dropbox Education の SOC 3 検査を確認する

セキュリティ、機密性、完全性、可用性、プライバシーの SOC 2

SOC 2 レポートでは、セキュリティ、機密性、完全性、可用性、プライバシー(TSP セクション 100)といった、5 つの信用提供原則すべてに関する情報を含む、管理ベースでの詳細な保証を提供しています。SOC 2 レポートには、Dropbox がお客様のファイルを保護する上で使用しているプロセスと 100 件以上の管理事項が含まれています。Dropbox の効率的なデザインや当社の管理権限に関するオペレーションについての独立した第三者監査の査定評価の他に、本レポートには監査者のテスト手順と各管理事項の結果報告も記載されています。また、Dropbox の SOC 2 レポート(SOC 2+ レポートともいいます)には、前述の ISO 基準に対する Dropbox の管理事項の監査済みのマッピングも含まれており、お客様に対する透明性の強化に努めています。Dropbox Business と Dropbox Education の SOC 2 検査はリクエストに応じて提供していますので、セールス チームまたはアカウント管理チームにお問い合わせください。

SOC 1/SSAE 18/ISAE 3402(元 SSAE 16 または SAS 70)

SOC 1 レポートは、経理報告プログラム(ICFR)をご利用になって社内管理を行う上で、Dropbox Business や Dropbox Education が重要な要素であるとお考えのお客様に保証を提供しています。Dropbox はこうした保証をお客様の Sarbanes-Oxley(SOX)コンプライアンス向けに主に適用しています。独立した第三者機関による監査は、Statement on Standards for Attestation Engagements No. 18(SSAE 18)および International Standard on Assurance Engagements No. 3402(ISAE 3402)に従って実施されます。こうした規格は、過去の Statement on Standards for Attestation Engagement No.16(SSAE 16)と Statement on Auditing Standards No. 70(SAS 70)に代わるものです。Dropbox Business と Dropbox Education の SOC 1 検査はリクエストに応じて提供していますので、セールス チームまたはアカウント管理チームにお問い合わせください。


Dropbox の CSA STAR 認証

クラウド セキュリティ アライアンス - Security, Trust, and Assurance Registry(CSA STAR)

CSA Security, Trust & Assurance Registry (STAR)は、クラウド サービス向けのセキュリティ保証プログラムを提供しており、誰でもアクセスできる無料の登録データです。ユーザーが現在使用中のクラウド プロバイダのセキュリティを評価したり、契約を検討したりする際に役に立ちます。

Dropbox Business と Dropbox Education は CSA STAR レベル 2 認証と レベル 2 証明を受けています。CSA STAR レベル 2 では、ISO 27001 の要件、SOC 2 信用サービスの原則、CSA Cloud Controls Matrix(CCM)v.3.0.1. に則って、第三者機関(EY CertifyPoint による認証と Ernst & Young LLP による証明)によるセキュリティ管理事項の評価が必要です。Dropbox では Dropbox Business と Dropbox Education の CSA STAR レベル 1 の自己評価も完了しています。自己評価とは CSA の Consensus Assessments Initiative Questionnaire(CAIQ)に基づいた厳格なアンケートのことで、CCM に則って、クラウドの利用者やクラウドのセキュリティ監査担当者からの約 300 の質問に対する回答を紹介しています。CSA ウェブサイトで Dropbox の CSA STAR レベル 1 およびレベル 2 の認定と証明を確認する


Dropbox の HIPAA 証明書

HIPAA/HITECH

医療保険の携行性や責任に関する法律(HIPAA)や経済的および臨床的健全性のための医療情報技術に関する法律(HITECH)を遵守するために Dropbox Business や Dropbox Education をご利用中のお客様が必要とする場合、Dropbox は事業提携契約書(BAA)に署名します。詳しくは「HIPAA スタートガイド」 および ヘルプセンター記事をご覧ください。

Dropbox は Dropbox の HIPAA/HITECH におけるセキュリティ、プライバシー、違反行為に関する通知を評価した第三者機関による保証報告書に加え、Dropbox Business や Dropbox Education で HIPAA/HITECH セキュリティおよびプライバシー規則に応じることを意図するお客様に対する Dropbox 社内の慣行および推奨事項の図表を提供しています。

これらのドキュメントが必要なお客様は、アカウント管理チームまたはセールス担当にお問い合わせください。Dropbox Business や Dropbox Education のチーム管理者は管理コンソールの[アカウント]ページで電子署名により BAA にご署名いただけます。

注:管理コンソールで BAA に電子署名することができるのは、Dropbox Paper をご利用になっていない米国内のお客様のみです。Dropbox では Dropbox Paper に対し、HIPPA/HITECH サポートを提供していません。


Dropbox ドイツ BSI C5 レポート

ドイツ BSI C5 証明レポート

Cloud Computing Compliance Controls Catalog(C5)とは、クラウド サービスの供給に適用されるセキュリティ管理に関する報告のために、ドイツ連邦情報技術安全局(Bundesamt fur Sicherheit in der Informationstechnik - BSI)が定めたフレームワークです。C5 証明は、BSI が定めた「クラウド企業向けのセキュリティ対策」に則って、企業が情報セキュリティ対策を行っていることを示す目安となります。C5 は、ISO 27001 や CSA STAR といった既存の国際セキュリティ基準を元に定められています。C5 証明レポートを受けるために、ドイツを拠点とする第三者機関の Ernst & Young GmbH により Dropbox のシステム、プロセス、管理機能の検証を受けました。第三者機関による監査は、International Standard on Assurance Engagements No. 3000(ISAE 3000)に則って実施されます。

本レポートには Dropbox のシステム、アプリケーション、プロセス、管理機能に関する詳細な説明および第三者機関の監査官の検証手順と各管理機能の結果が記載されています。Dropbox Business と Dropbox Education の C5 レポートはリクエストに応じて提供していますので、セールス チームまたはアカウント管理チームにお問い合わせください。

*Dropbox Paper は C5 レポートの対象には含まれていません。


欧州連合/米国間のプライバシー シールドおよびスイス/米国間のプライバシー シールド

Dropbox は EU 加盟国、欧州経済地域、およびスイスから米国へのユーザーの個人情報の収集、使用、保持に関してアメリカ合衆国商務省により定められている米国/EU 間および米国/スイス間のセーフ ハーバー フレームワークに準拠しています。組織が EU データ保護条令に基づいて充分なプライバシー保護を確実に提供できるよう、プライバシー シールド原則を順守しています。


EU 一般データ保護規則(GDPR)

一般データ保護規則 2016/679(GDPR)は、EU 居住者の個人情報処理についての既存のフレームワークへの重要な変更を示した欧州連合の規則です。GDPR では、個人データの取り扱いを行う Dropbox のような企業に適用される新しい要件やさらに厳しい要件を採用しています。この規則は 2018 年 5 月 25 日に効力を発し、現在の EU 指令 95/46 EC(データ保護指令)に取って代わります。すべての対象企業と同様に、Dropbox では引き続き詳細な GDPR コンプライアンス計画の策定と実施を行い、2018 年 5 月 25 日に先立って、完全に順守する予定です。詳細については、このヘルプセンターの記事をご覧ください。


学生と児童(FERPA と COPPA)

Dropbox Business および Dropbox Education は米国の家庭教育の権利とプライバシーに関する法(FERPA)により課せられるベンダーの義務に従って、お客様によるサービス利用を認めています。13 歳以下の学生を有する教育機関も、サービスの利用に関して保護者の同意を得ることを教育機関に義務づける特定の契約条項に同意した場合、児童オンラインプライバシー保護法(COPPA)に従って Dropbox Business または Dropbox Education を利用することができます。


UK Digital Marketplace G-Cloud

Dropbox Business は英国(UK)政府のクラウド サービス調達の Digital Marketplace に登録されています。Dropbox Business Standard プランDropbox Business Advanced プランDropbox Enterprise プランが掲載されている UK Digital Marketplace のリストをご覧ください。

*Dropbox Paper は英国(UK)政府のクラウド サービス調達の Digital Marketplace の一覧に含まれていません。


PCI DSS

Dropbox は PCI データ セキュリティ スタンダード(PCI DSS)に準拠しています。ただし、Dropbox Business、Dropbox Education および Dropbox Paper はクレジット カードによる取引を処理または保管するように設計されていません。Dropbox ではお客様のリクエストに応じて販売者ステータスについての PCI 準拠証明書(AoC)を提供しています。Dropbox のセールス担当またはアカウント管理チームにお問い合わせください。


Dropbox の再受託プロバイダ

Dropbox のデータ センター コロケーションと Dropbox が管理するサービス プロバイダもセキュリティ対策の検証のために定期的に SOC 1、SOC 2、ISO 27001 の監査を受けています。Dropbox では情報セキュリティ管理プログラムの一環として、年に 1 回以上、これらの監査結果を確認しています。監査レポートが入手できない場合は、ベンダー セキュリティ審査を行っています。監査や審査により Dropbox やお客様に対する重大なリスクが発見された場合、サービス プロバイダと連携して顧客データへどのような影響が及ぶかを把握し、問題解決までの対応を記録します。


Dropbox Business や Dropbox Education のコンプライアンスについての詳細

コンプライアンスや証明書のドキュメントをご希望の方は Dropbox の担当者またはアカウント管理チームにお問い合わせください。