規格と規制を遵守


Dropbox の ISO 27001 認証

ISO

国際標準化機構(ISO)では、情報と社会のセキュリティについての世界的な基準を定めて、信頼性の高い革新的な製品やサービスを開発する組織をサポートしています。Dropbox では、オランダに拠点を置く第三者機関である EY CertifyPoint より ISO の認証を受けたデータセンター、テクノロジー、システム、アプリケーション、スタッフ、プロセスを備えており、Raad voor Accreditatie(オランダ認定委員会)からの ISO 認証を維持しています。

ISO 27001(情報のセキュリティ)

ISO 27001 は ISO 27002 に記載されたベスト プラクティスを活用する情報セキュリティ管理システム(ISMS)の最高基準として世界中で認められています。Dropbox では信頼に応えるべく、物理的、技術的および法的制御を持続的かつ包括的に管理しています。Dropbox Business、Dropbox Enterprise、Dropbox Education の ISO 27001 認証

ISO 27017(クラウドのセキュリティ)

ISO 27017 は、クラウド サービスの提供と使用に適用されるセキュリティ管理のガイドラインを定めるクラウドの新しい国際規格です。Dropbox の共有責任ガイドでは、Dropbox とお客様が協力して解決できるセキュリティ、プライバシー、コンプライアンスの要件すべてを説明しています。Dropbox Business、Dropbox Enterprise、Dropbox Education の ISO 27017 認証

ISO 27018(クラウドのプライバシーとデータ保護)

ISO 27018 は、お客様に代わり個人情報を処理する Dropbox のようなクラウド サービス プロバイダに適用されるプライバシーとデータ保護の新たな国際規格で、お客様が一般的な規制や契約上の要件あるいは疑問に対応するための基本となります。Dropbox Business、Dropbox Enterprise、Dropbox Education の ISO 27018 認証

ISO 22301(ビジネス継続性)

ISO 22301 は、組織がサービス途絶になる可能性を減らし、万が一サービス途絶が発生した際に損害を最小限に抑えることで適切に対応するための指針を示すビジネス継続性の国際規格です。Dropbox Business のビジネス継続性管理システム(BCMS)は全体的なリスク管理戦略に含まれ、危機的な問題が発生した時にスタッフと業務を保護します。Dropbox Business、Dropbox Enterprise、Dropbox Education の ISO 22301 認証


Dropbox の CSA STAR 認証

クラウド セキュリティ アライアンス - Security, Trust, and Assurance Registry(CSA STAR)

CSA Security, Trust & Assurance Registry (STAR)は、クラウド サービス向けのセキュリティ保証プログラムを提供しており、誰でもアクセスできる無料の登録データです。ユーザーが現在使用中のクラウド プロバイダのセキュリティを評価したり、契約を検討したりする際に役に立ちます。

Dropbox Business、Dropbox Enterprise、Dropbox Education は CSA STAR のレベル 2 認証を受けています。これは ISO 27001 の要件およびクラウド サービスの性能レベルの測定条件である CSA Cloud Controls Matrix(CCM) v.3.0.1 に則って、独立した第三者機関(EY CertifyPoint)による Dropbox のセキュリティ コントロールに関する評価です。Dropbox Business は CSA の Consensus Assessments Initiative Questionnaire(CAIQ)に基づいた厳しい調査である CSA STAR レベル 1 の自己評価も完了しています。これは CCM に則って、クラウドの利用者やクラウドのセキュリティ監査担当者からの約 300 の質問に対する回答を紹介しています。


Dropbox の SOC コンプライアンス

SOC

Service Organization Controls(SOC)レポートは、SOC 1、SOC 2、SOC 3 とも呼ばれ、組織内で実施される内部管理の報告のために American Institute of Certified Public Accountants(AICPA)により確立されたフレームワークです。Dropbox のオペレーション、プロセス、テクノロジーは独立した第三者監査機関である Ernst & Young LLP より認証を受けています。

セキュリティ、機密性、完全性、可用性、プライバシーの SOC 3

SOC 3 保証レポートでは、セキュリティ、機密性、完全性、可用性、プライバシー(TSP セクション 100)といった、5 つの信用提供原則に関する情報を提供しています。一般使用を目的とした本レポートは Dropbox の SOC 2 レポートの要旨をまとめたもので、効率的なデザインや当社の管理権限に関するオペレーションについての独立した第三者監査の査定評価が含まれています。Dropbox Business、Dropbox Enterprise、Dropbox Education の SOC 3 検査

セキュリティ、機密性、完全性、可用性、プライバシーの SOC 2

SOC 2 レポートでは、セキュリティ、機密性、完全性、可用性、プライバシー(TSP セクション 100)といった、5 つの信用提供原則に関する情報を含む、管理ベースでの詳細な保証を提供しています。SOC 2 レポートには、Dropbox がお客様のデータを保護する上で使用しているプロセスと 100 件以上の管理事項が含まれています。Dropbox の効率的なデザインや当社の管理権限に関するオペレーションについての独立した第三者監査の査定評価の他に、本レポートには監査者のテスト手順と各管理事項の結果報告も記載されています。Dropbox Business、Dropbox Enterprise、Dropbox Education の SOC 2 検査はリクエストに応じて提供しています。Dropbox のセールス担当またはアカウント管理チームにお問い合わせください。

SOC 1、SSAE 16、ISAE 3402(元 SAS 70)

SOC 1 レポートは、経理報告プログラム(ICFR)を使用して社内管理を行う上で、Dropbox Business、Dropbox Enterprise、Dropbox Education が重要要素であるとお考えのお客様に保証を提供しています。Dropbox はこうした保証をお客様の Sarbanes-Oxley(SOX)コンプライアンス向けに主に適用しています。独立した第三者機関による監査は、Statement on Standards for Attestation Engagements No. 16(SSAE 16)および International Standard on Assurance Engagements No. 3402(ISAE 3402)に従って実施されます。これらの規格は、廃止予定の監査基準書第 70 号(SAS 70)に代わって取り入れられています。Dropbox Business、Dropbox Enterprise、Dropbox Education の SOC 1 検査はリクエストに応じて提供しています。Dropbox のセールス担当またはアカウント管理チームにお問い合わせください。


学生と児童(FERPA と COPPA)

Dropbox Business、Enterprise、Education は米国の家庭教育の権利とプライバシーに関する法(FERPA)により課せられるベンダーの義務に従って、お客様のサービス利用を認めています。13 歳以下の学生を有する教育機関も、サービスの利用に関して保護者の同意を得ることを教育機関に義務づける特定の契約条項に同意した場合、児童オンラインプライバシー保護法(COPPA)に従って Dropbox Business、Dropbox Enterprise、Dropbox Education を利用することができます。

UK Digital Marketplace G-Cloud

Dropbox Business は英国(UK)政府のクラウド サービス調達の Digital Marketplace に登録されています。Dropbox のリストはこちらをご覧ください


Dropbox の HIPAA 証明書

HIPAA/HITECH

医療保険の携行性や責任に関する法律(HIPAA)や経済的および臨床的健全性のための医療情報技術に関する法律(HITECH)を遵守するためにお客様が必要とする場合、Dropbox は Dropbox Business、Dropbox Enterprise、Dropbox Education のお客様との間で事業提携契約書(BAA)に署名します。詳しくは「HIPAA スタートガイド」 および ヘルプセンター記事をご覧ください。

Dropbox は当社の HIPAA/HITECH におけるセキュリティ、プライバシー、違反行為に関する通知規則だけでなく、Dropbox 社内での実施状況および Dropbox Business、Dropbox Enterprise、Dropbox Education で HIPAA/HITECH セキュリティおよびプライバシー規則の準拠を求めるお客様に対する推奨内容を評価した第三者機関による保証報告書を提供しています。

これらの報告書が必要なお客様は、アカウント管理チームまたは セールス担当へお問い合わせください。Dropbox Business、Dropbox Enterprise、Dropbox Education チームの管理者は管理コンソールの[アカウント]ページで電子署名により BAA にご署名いただけます。

注:Dropbox Paper ベータ版に参加されていない米国内のお客様のみ管理コンソールで BAA に電子署名することができます。


PCI DSS

Dropbox は PCI データ セキュリティ スタンダード(PCI DSS)に準拠していますが、Dropbox Business、Dropbox Enterprise、Dropbox Education はクレジット カードによる取引を処理または保管するように設計されていません。Dropbox ではお客様のリクエストに応じて販売者ステータスについての PCI 準拠証明書(AoC)を提供しています。Dropbox のセールス担当またはアカウント管理チームにお問い合わせください。

Dropbox の再受託プロバイダ

Dropbox のデータ センター コロケーションと Dropbox が管理するサービス プロバイダもセキュリティ対策の検証のために定期的に SOC 1、SOC 2、ISO 27001 の監査を受けています。Dropbox では情報セキュリティ管理プログラムの一環として、年に 1 回以上、これらの監査結果を確認しています。監査により Dropbox や顧客に対する重大なリスクが発見された場合、再受託プロバイダと連携して顧客データへどのような影響が及ぶかを把握し、問題解決までの対応を記録します。

Dropbox Business、Dropbox Enterprise、Dropbox Education のコンプライアンスについての詳細

コンプライアンスや証明書のドキュメントをご希望の方は Dropbox の担当者または アカウント管理チームにお問い合わせください。