Dropbox Business と Education が遵守する基準や規制

ISO

CSA STAR

SOC

FERPA および COPPA

UK Digital Marketplace G-Cloud

HIPAA/HITECH

PCI DSS

欧州連合/米国間のプライバシー シールドおよびスイス/米国間のプライバシー シールド

EU 一般データ保護規則

国際標準化機構(ISO)では、情報と社会のセキュリティについての世界的な基準を定めて、信頼性の高い革新的な製品やサービスを開発する組織をサポートしています。Dropbox は、オランダに拠点を置く第三者機関である EY CertifyPoint による数回の監査を通じてデータセンター、システム、アプリケーション、スタッフ、プロセスの認証を受けています。

:Dropbox Paper は ISO 認証の対象には含まれていません。

ISO 27001(情報セキュリティ マネジメント)

ISO 27001 は世界中で認識されている情報セキュリティ マネジメント システム(ISMS)の最高基準です。この基準は、ISO 27002 で説明されているセキュリティのベスト プラクティスも活用しています。Dropbox では信頼に応えるべく、物理的、技術的および法的制御を持続的かつ包括的に管理し、改善を続けています。Dropbox の監査を実施した EY CertifyPoint は Raad voor Accreditatie(オランダの認証委員会)の ISO 27001 認定を維持しています。

Dropbox Business と Education の ISO 27001 認証

ISO 27017(クラウドのセキュリティ)

ISO 27017 は、クラウド サービスの提供と使用に適用されるセキュリティ管理のガイドラインを定めるクラウドの新しい国際規格です。Dropbox の共有責任ガイドでは、Dropbox とお客様が協力して解決できるセキュリティ、プライバシー、コンプライアンスの要件のいくつかを説明しています。

Dropbox Business と Education の ISO 27017 認証

ISO 27018(クラウドのプライバシーとデータ保護)

ISO 27018 は、お客様に代わり個人情報を処理する Dropbox のようなクラウド サービス プロバイダに適用されるプライバシーとデータ保護の新たな国際規格で、お客様が一般的な規制や契約上の要件あるいは疑問に対応するための基本となります。

Dropbox Business と Education の ISO 27018 認証

ISO 22301(事業継続マネジメント)

ISO 22301 は、組織がサービス途絶の影響を抑え、万が一サービス途絶が発生した際に損害を最小限に抑えることで適切に対応するための指針を示すビジネスの継続性の国際規格です。Dropbox の事業継続マネジメント システム(BCMS)は全体的なリスク管理戦略の一部で、危機的な問題が発生した時にスタッフと業務を保護します。

Dropbox Business と Education の ISO 22301 認証

クラウド セキュリティ アライアンス:セキュリティ、信頼性、保証登録(CSA STAR)

CSA Security, Trust & Assurance Registry (STAR)は、クラウド サービス向けのセキュリティ保証プログラムを提供しており、誰でもアクセスできる無料の登録データです。ユーザーが現在使用中のクラウド プロバイダーのセキュリティを評価したり、契約を検討したりする際に役に立ちます。

Dropbox Business と Education は CSA STAR のレベル 2 認証を受けています。これは ISO 27001 の要件およびクラウド サービスの性能レベルの測定条件である CSA Cloud Controls Matrix(CCM) v.3.0.1 に則って行われる、独立した第三者機関(EY CertifyPoint)による Dropbox のセキュリティ コントロールに関する評価です。Dropbox Business は CSA の Consensus Assessments Initiative Questionnaire(CAIQ)に基づいた厳しい調査である CSA STAR レベル 1 の自己評価も完了しています。これは CCM に則って、クラウドの利用者やクラウドのセキュリティ監査担当者からの約 300 の質問に対する回答を紹介しています。

Dropbox の CSA STAR レベル 1 の自己評価およびレベル 2 認定は CSA ウェブサイトでご覧いただけます。

:Dropbox Paper は CSA STAR 登録者一覧の対象には含まれていません。

SOC レポート

Service Organization Controls(SOC)レポートは、SOC 1、SOC 2、SOC 3 とも呼ばれ、組織内で実施される内部管理の報告のために American Institute of Certified Public Accountants(AICPA)により確立されたフレームワークです。Dropbox のオペレーション、プロセス、テクノロジーは独立した第三者監査機関である Ernst & Young LLP より認証を受けています。

:Dropbox Paper は SOC レポートの対象には含まれていません。

セキュリティ、機密性、完全性、可用性、プライバシーの SOC 3

SOC 3 保証レポートでは、セキュリティ、機密性、完全性、可用性、プライバシー(TSP セクション 100)といった、5 つの信用提供原則すべてに関する情報を提供しています。一般使用を目的とした本レポートは Dropbox の SOC 2 レポートの要旨をまとめたもので、効率的なデザインや当社の管理権限に関するオペレーションについての独立した第三者監査の査定評価が含まれています。

Dropbox Business と Education の SOC 3 検査

セキュリティ、機密性、完全性、可用性、プライバシーの SOC 2

SOC 2 レポートでは、セキュリティ、機密性、完全性、可用性、プライバシー(TSP セクション 100)といった、5 つの信用提供原則すべてに関する情報を含む、管理ベースでの詳細な保証を提供しています。SOC 2 レポートには、Dropbox がお客様のファイルを保護する上で使用しているプロセスと 100 件以上の管理事項が含まれています。Dropbox の効率的なデザインや当社の管理権限に関するオペレーションについての独立した第三者監査の査定評価の他に、本レポートには監査者のテスト手順と各管理事項の結果報告も記載されています。Dropbox Business と Dropbox Education の SOC 2 検査はリクエストに応じて提供しています。 Dropbox のセールス担当またはアカウント管理チームにお問い合わせください。

SOC 1 / SSAE 16 / ISAE 3402(旧 SAS 70)

SOC 1 レポートは、経理報告プログラム(ICFR)を使用して社内管理を行う上で、Dropbox Business や Education が重要要素であるとお考えのお客様に保証を提供しています。Dropbox はこうした保証をお客様の Sarbanes-Oxley(SOX)コンプライアンス向けに主に適用しています。独立した第三者機関による監査は、Statement on Standards for Attestation Engagements No. 16(SSAE 16)および International Standard on Assurance Engagements No. 3402(ISAE 3402)に従って実施されます。こうした規格は、過去の Statement on Auditing Standards No. 70(SAS 70)に代わるものです。Dropbox Business と Education の SOC 1 検査はリクエストに応じて提供しています。Dropbox のセールス担当またはアカウント管理チームにお問い合わせください。

学生と児童(FERPA と COPPA)

Dropbox Business と Education は米国の家庭教育の権利とプライバシーに関する法(FERPA)により課せられるベンダーの義務に従って、お客様のサービス利用を認めています。13 歳以下の学生を有する教育機関も、サービスの利用に関して保護者の同意を得ることを教育機関に義務づける特定の契約条項に同意した場合、児童オンラインプライバシー保護法(COPPA)に従って Dropbox Business や Education を利用することができます。

UK Digital Marketplace G-Cloud

Dropbox Business と Enterprise はクラウド サービス調達業者を対象とした英国(UK)政府の Digital Marketplace に登録されています。

Dropbox Business Standard プランDropbox Business Advanced プランDropbox Enterprise が掲載されている UK Digital Marketplace ウェブサイトのリストをご覧ください。  

:Dropbox Paper は英国(UK)政府のクラウド サービス調達の Digital Marketplace の一覧に含まれていません。

HIPAA / HITECH

医療保険の携行性および責任に関する法律(HIPAA)や経済的および臨床的健全性のための医療情報技術に関する法律(HITECH)を遵守するためにお客様が必要とする場合、Dropbox は Dropbox Business、Enterprise、Education のお客様との間で事業提携契約書(BAA)に署名します。

詳細については、Dropbox の HIPAA スタート ガイドおよびヘルプセンター記事をご覧ください。

Dropbox は当社の HIPAA/HITECH におけるセキュリティ、プライバシー、違反行為に関する通知規則だけでなく、Dropbox 社内での実施状況および Dropbox Business、Enterprise、Education で HIPAA/HITECH セキュリティおよびプライバシー規則の準拠を求めるお客様に対する推奨内容を評価した第三者機関による保証報告書を提供しています。

これらの報告書が必要なお客様は、Dropbox のセールス担当または アカウント管理チームへお問い合わせください。Dropbox Business、Dropbox Enterprise、Dropbox Education のチーム管理者は管理コンソールの[アカウント]ページで電子署名により BAA にご署名いただけます。

HIPAA/HITECH の対象となるお客様は、PHI を Dropbox アカウントに移行する前に必ず BAA を完了してください。Dropbox Business のご購入に関する詳細は Dropbox セールス担当へお問い合わせください。Dropbox Business、Dropbox Enterprise、Dropbox Education のチーム管理者は管理コンソールの[アカウント]ページで電子署名により BAA にご署名いただけます。

注: 管理コンソールで BAA に電子署名することができるのは、Dropbox Paper をご利用になっていない米国内のお客様のみです。 Dropbox では Dropbox Paper に対し、HIPPA/HITECH サポートを提供していません。

PCI DSS

Dropbox は決済プロバイダの PCI データ セキュリティ スタンダード(PCI DSS)に準拠していますが、Dropbox Business、Education、Dropbox Paper はクレジット カードによる取引を処理または保管するように設計されていません。Dropbox ではお客様のリクエストに応じて販売者ステータスについての PCI 準拠証明書(AoC)を提供しています。Dropbox のセールス担当またはアカウント管理チームにお問い合わせください。

EU/米国間のプライバシー シールドおよびスイス/米国間のプライバシー シールド

Dropbox は EU 加盟国、欧州経済地域、およびスイスから米国へのユーザーの個人情報の収集、使用、保持に関してアメリカ合衆国商務省により定められている米国/EU 間および米国/スイス間のセーフ ハーバー フレームワークに準拠しています。組織が EU データ保護条令に基づいて充分なプライバシー保護を確実に提供できるよう、プライバシー シールド原則を順守しています。

Dropbox のプライバシー シールド証明書をご覧いただくか、プライバシー シールド ウェブサイトで詳細をご覧ください。

EU 一般データ保護規則(GDPR)

一般データ保護規則 2016/679(GDPR)は、EU 居住者の個人情報処理についての既存のフレームワークへの重要な変更を示した欧州連合の規則です。GDPR では、個人データの取り扱いを行う Dropbox のような企業に適用される新しい要件やさらに厳しい要件を採用しています。この規則は 2018 年 5 月 25 日に効力を発し、現在の EU 指令 95/46 EC(データ保護指令)に取って代わります。すべての対象企業と同様に、Dropbox では引き続き詳細な GDPR コンプライアンス計画の策定と実施を行い、2018 年 5 月 25 日に先立って、完全に順守する予定です。Dropbox と EU 一般データ保護規則についての詳細をご覧ください。

この記事は参考になりましたか?

Dropbox のサービス改善のために、ご意見やご感想をお聞かせください。

フィードバックありがとうございます。

コミュニティの回答
    コミュニティの回答

      その他のサポート

      コミュニティ

      Twitter サポート

      ガイド付きヘルプ