規格と規制を遵守


Dropbox の ISO 27001 認証

ISO 認証証明書

国際標準化機構(ISO)では、情報と社会のセキュリティについての世界的な基準を定めて、信頼性の高い革新的な製品やサービスを開発する組織をサポートしています。Dropbox は、オランダに拠点を置く独立系第三者機関である EY CertifyPoint による一連の監査を通じてデータ センター、システム、アプリケーション、スタッフ、プロセスの認証を受けています。

*Dropbox Paper は ISO 認証の対象には含まれていません。

ISO 27001(情報セキュリティ マネジメント)

ISO 27001 は世界中で認識されている情報セキュリティ マネジメント システム(ISMS)の最高基準です。この基準は、ISO 27002 で説明されているセキュリティのベスト プラクティスも利用しています。Dropbox では信頼に応えるべく、物理的、技術的および法的制御を持続的かつ包括的に管理し、改善を続けています。Dropbox の監査を実施した EY CertifyPoint は Raad voor Accreditatie(オランダの認証委員会)の ISO 27001 認定を保持しています。Dropbox Business、Dropbox Enterprise、Dropbox Education の ISO 27001 認証証明書

ISO 27017(クラウドのセキュリティ)

ISO 27017 はクラウド セキュリティの新しい国際規格で、クラウド サービスの提供と使用におけるセキュリティ管理のガイドラインを定めています。Dropbox の共有責任ガイドでは、Dropbox とお客様が協力して解決できるセキュリティ、プライバシー、コンプライアンスの要件について説明しています。Dropbox Business、Dropbox Enterprise、Dropbox Education の ISO 27017 認証証明書

ISO 27018(クラウドのプライバシーとデータ保護)

ISO 27018 は、お客様に代わり個人情報を処理する Dropbox のようなクラウド サービス プロバイダーに適用されるプライバシーとデータ保護の新たな国際規格で、お客様が一般的な規制や契約上の要件あるいは疑問に対応するための基本となります。Dropbox Business、Dropbox Enterprise、Dropbox Education の ISO 27018 認証証明書

ISO 22301(事業継続マネジメント)

ISO 22301 は、組織がサービス途絶の影響を抑え、万が一サービス途絶が発生した際に損害を最小限に抑えることで適切に対応するための指針を示すビジネスの継続性の国際規格です。Dropbox Business のビジネス継続性管理システム(BCMS)は全体的なリスク管理戦略に含まれ、危機的な問題が発生した時にスタッフと業務を保護します。Dropbox Business、Dropbox Enterprise、Dropbox Education の ISO 22301 認証証明書


Dropbox の CSA STAR 認証

クラウド セキュリティ アライアンス - Security, Trust, and Assurance Registry(CSA STAR)

CSA Security, Trust & Assurance Registry (STAR)は、クラウド サービス向けのセキュリティ保証プログラムを提供しており、誰でもアクセスできる無料の登録データです。ユーザーが現在使用中のクラウド プロバイダのセキュリティを評価したり、契約を検討したりする際に役に立ちます。

Dropbox Business、Dropbox Enterprise、Dropbox Education は CSA STAR のレベル 2 認証を受けています。これは ISO 27001 の要件およびクラウド サービスの性能レベルの測定条件である CSA Cloud Controls Matrix(CCM) v.3.0.1 に則って、独立した第三者機関(EY CertifyPoint)による Dropbox のセキュリティ コントロールに関する評価です。Dropbox Business は CSA の Consensus Assessments Initiative Questionnaire(CAIQ)に基づいた厳しい調査である CSA STAR レベル 1 の自己評価も完了しています。これは CCM に則って、クラウドの利用者やクラウドのセキュリティ監査担当者からの約 300 の質問に対する回答を紹介しています。

*Dropbox Paper は CSA STAR 登録者一覧の対象には含まれていません。


Dropbox の SOC コンプライアンス

SOC レポート

Service Organization Controls(SOC)レポートは、SOC 1、SOC 2、SOC 3 とも呼ばれ、組織内で実施される内部管理の報告のために American Institute of Certified Public Accountants(AICPA)により確立されたフレームワークです。Dropbox は、独立系第三者機関である Ernst & Young LLP による一連の監査を通じてシステム、アプリケーション、スタッフ、プロセスを検証しています。

*Dropbox Paper は SOC レポートの対象には含まれていません。

セキュリティ、機密性、完全性、可用性、プライバシーの SOC 3

SOC 3 保証レポートでは、セキュリティ、機密性、処理の完全性、可用性、プライバシー(TSP セクション 100)といった、5 つの信用提供原則すべてに関する情報を提供しています。一般使用を目的とした本レポートは Dropbox の SOC 2 レポートの要旨をまとめたもので、効率的なデザインや当社の管理権限に関するオペレーションについての独立した第三者監査の査定評価が含まれています。Dropbox Business、Dropbox Enterprise、Dropbox Education の SOC 3 検査

セキュリティ、機密性、完全性、可用性、プライバシーの SOC 2

SOC 2 レポートでは、セキュリティ、機密性、完全性、可用性、プライバシー(TSP セクション 100)といった、5 つの信用提供原則すべてに関する情報を含む、管理ベースでの詳細な保証を提供しています。SOC 2 レポートには、Dropbox がお客様のファイルを保護する上で使用しているプロセスと 100 件以上の管理事項が含まれています。Dropbox の効率的なデザインや当社の管理権限に関するオペレーションについての独立した第三者監査の査定評価の他に、本レポートには監査者のテスト手順と各管理事項の結果報告も記載されています。Dropbox Business、Dropbox Enterprise、Dropbox Education の SOC 2 検査はリクエストに応じて提供しています。 Dropbox のセールス担当またはアカウント管理チームにお問い合わせください。

SOC 1、SSAE 16、ISAE 3402(元 SAS 70)

SOC 1 レポートは、経理報告プログラム(ICFR)を使用して社内管理を行う上で、Dropbox Business、Dropbox Enterprise、Dropbox Education が重要要素であるとお考えのお客様に保証を提供しています。Dropbox はこうした保証をお客様の Sarbanes-Oxley(SOX)コンプライアンス向けに主に適用しています。独立した第三者機関による監査は、Statement on Standards for Attestation Engagements No. 16(SSAE 16)および International Standard on Assurance Engagements No. 3402(ISAE 3402)に従って実施されます。これらの規格は、廃止予定の監査基準書第 70 号(SAS 70)に代わって取り入れられています。Dropbox Business、Dropbox Enterprise、Dropbox Education の SOC 1 検査はリクエストに応じて提供しています。Dropbox のセールス担当またはアカウント管理チームにお問い合わせください。


学生と児童(FERPA と COPPA)

Dropbox Business、Enterprise、Education は米国の家庭教育の権利とプライバシーに関する法(FERPA)により課せられるベンダーの義務に従って、お客様のサービス利用を認めています。13 歳以下の学生を有する教育機関も、サービスの利用に関して保護者の同意を得ることを教育機関に義務づける特定の契約条項に同意した場合、児童オンラインプライバシー保護法(COPPA)に従って Dropbox Business、Dropbox Enterprise、Dropbox Education を利用することができます。


UK Digital Marketplace G-Cloud

Dropbox Business は英国(UK)政府のクラウド サービス調達の Digital Marketplace に登録されています。Dropbox のリストはこちらをご覧ください

*Dropbox Paper は英国(UK)政府のクラウド サービス調達の Digital Marketplace の一覧に含まれていません。


Dropbox の HIPAA 証明書

HIPAA/HITECH

医療保険の携行性や責任に関する法律(HIPAA)や経済的および臨床的健全性のための医療情報技術に関する法律(HITECH)を遵守するためにお客様が必要とする場合、Dropbox は Dropbox Business、Dropbox Enterprise、Dropbox Education のお客様との間で事業提携契約書(BAA)に署名します。詳しくは「HIPAA スタートガイド」 および ヘルプセンター記事をご覧ください。

Dropbox は当社の HIPAA/HITECH におけるセキュリティ、プライバシー、違反行為に関する通知規則だけでなく、Dropbox 社内での実施状況および Dropbox Business、Dropbox Enterprise、Dropbox Education で HIPAA/HITECH セキュリティおよびプライバシー規則の準拠を求めるお客様に対する推奨内容を評価した第三者機関による保証報告書を提供しています。

これらの報告書が必要なお客様は、アカウント管理チームまたは セールス担当にお問い合わせください。Dropbox Business、Dropbox Enterprise、Dropbox Education チームの管理者は管理コンソールの[アカウント]ページで電子署名により BAA にご署名いただけます。

注:管理コンソールで BAA に電子署名することができるのは、Dropbox Paper をご利用になっていない米国内のお客様のみです。Dropbox では Dropbox Paper に対し、HIPPA/HITECH サポートを提供していません。


PCI DSS

Dropbox は PCI データ セキュリティ スタンダード(PCI DSS)に準拠しています。ただし、Dropbox Business、Enterprise、Education、Dropbox Paper はクレジット カードによる取引を処理または保管するように設計されていません。Dropbox ではお客様のリクエストに応じて販売者ステータスについての PCI 準拠証明書(AoC)を提供しています。Dropbox のセールス担当またはアカウント管理チームにお問い合わせください。

欧州連合/米国間のプライバシー シールドおよびスイス/米国間のプライバシー シールド

Dropbox は EU 加盟国、欧州経済地域、およびスイスから米国へのユーザーの個人情報の収集、使用、保持に関してアメリカ合衆国商務省により定められている米国/EU 間および米国/スイス間のセーフ ハーバー フレームワークに準拠しています。組織が EU データ保護条令に基づいて充分なプライバシー保護を確実に提供できるよう、プライバシー シールド原則を順守しています。

EU 一般データ保護規則(GDPR)

一般データ保護規則 2016/679(GDPR)は、EU 居住者の個人情報処理についての既存のフレームワークへの重要な変更を示した欧州連合の規則です。 GDPR では、個人データの取り扱いを行う Dropbox のような企業に適用される新しい要件やさらに厳しい要件を採用しています。この規則は 2018 年 5 月 25 日に効力を発し、現在の EU 指令 95/46 EC(データ保護指令)に取って代わります。すべての対象企業と同様に、Dropbox では引き続き詳細な GDPR コンプライアンス計画の策定と実施を行い、2018 年 5 月 25 日に先立って、完全に順守する予定です。詳細については、このヘルプセンターの記事をご覧ください。

Dropbox の再受託プロバイダ

Dropbox のデータ センター コロケーションと Dropbox が管理するサービス プロバイダもセキュリティ対策の検証のために定期的に SOC 1、SOC 2、ISO 27001 の監査を受けています。Dropbox では情報セキュリティ管理プログラムの一環として、年に 1 回以上、これらの監査結果を確認しています。監査により Dropbox や顧客に対する重大なリスクが発見された場合、再受託プロバイダと連携して顧客データへどのような影響が及ぶかを把握し、問題解決までの対応を記録します。

Dropbox Business、Dropbox Enterprise、Dropbox Education のコンプライアンスについての詳細

コンプライアンスや証明書のドキュメントをご希望の方は Dropbox の担当者または アカウント管理チームにお問い合わせください。