はじめに
Confluentでは、プライバシー優先の文化の育成に力を注いでいます。当社は、ユーザーの個人情報の機密性と完全性の保護、規制要求事項を遵守し、強固なプライバシー対策を実施することをお約束します。私たちはこれまで以上に、EUから米国への個人データ越境移転枠組の十分性認定が採択された今、これらのコミットメントを日々確認しています。継続的な改善と透明性を通じて、お客様の信頼を獲得および維持し、お客様のデータの安全性を維持し、プライバシーが常に尊重されるよう努めています。
当社は、 ISO 27701:2019認証(プロセッサおよびコントローラ)(ISO 27701) を取得したことをお知らせいたします。 この認証では、Confluent Platform、Confluent Cloud、に加えてConfluentが顧客に対するサービスの処理、管理、提供のために採用するすべての資産、テクノロジー、プロセスを対象としています。認証プロセスの一環として実施された第三者機関による審査では、これらの項目において不適合や改善の機会は見つかりませんでした。この認証の最終的な結果は、Confluent のプライバシープログラムが一般データ保護規則 (GDPR) などの個人情報保護法に沿ったグローバルなプライバシー基準を満たしていることを、第三者の監査人が独立した審査・検証したことを Confluent の顧客に保証するものです。
ISO 27701について
ISO 27701規格は、個人データの処理に関連するプライバシー情報を管理するための国際的な枠組みを提供しています。この認証は、Confluent が ISO 27701 の要件を満たすプライバシー情報管理システム (PIMS) を実装および維持していることを証明するもので、情報セキュリティマネジメントシステム(ISMS)の国際規格であるISO27001の拡張規格です。
ISO 27701 規格は、ISO 27001 のすべての管理項目と関連した 135 の個別の管理項目/要求事項に加えて、個人データ保護のための管理項目を含む PIMS を定めています。これは、組織がGDPRを含む国際的な個人情報保護法および規制に準拠することを支援するために設計されたグローバルな認証です。ISO 27701規格には、ISO 27701とGDPRの第5条から第49条(「認証機関」について記載されている第43条を除く)とのマッピングを示す附属書Dが含まれており、ISO 27701の要求事項および管理への準拠がGDPR対応をどのように支援するかを示しています。その結果として、ISO 27701はGDPRの多くの重要な要求事項に対する外部監査されたコンプライアンスをConfluentに提供するのです。
注記:ISO オンラインのすべてのコンテンツとすべての ISO 出版物は著作権で保護されているため、Confluent は ISO 27701 の対象となる正確なコントロールを提供することはできません。著作権はISOに帰属しています。ISO 27701規格の詳細については、https://www.iso.org/standard/71670.html を参照してください。
どのようにConfluent はISO 27701 規格を取得したのか
ISO 認証 は、 国際認定フォーラム(IAF:International Accreditation Forum) またはその他の同様の認定機関に認定された独立した第三者認証機関によって提供されます。 これらの認証機関は、企業の管理システムを審査し、特定のISO規格の要求事項に適合しているかどうかを検証する責任を負っています。 今回のケースでは、Moss Adams 監査法人 は Confluent を監査し、認証した認証機関です。
ISO 27701認証を取得するために、Confluentは厳格な監査プロセスを受けました。その中には、ISO 27701規格の要求事項を満たしていることを保証するために、認証機関による企業のプライバシー管理システム、ポリシー、手順、およびコントロールの審査が含まれていました。計画プロセスは複数年におよび、監査プロセス自体には数ヶ月を要し、会社全体の時間とリソースの多大な投資が必要でした。
ISO 27701認証がお客様にもたらすメリット
Confluent の ISO 27701 認証は、次のような理由により、お客様のプライバシーを保護し、関連する個人情報保護法を遵守するという当社の取り組みを示すものです。
- 包括的なPIMS:
当社のPIMSは、プライバシーリスクを特定、評価、管理するように設計されており、お客様のデータが常に保護されていることを保証します。当社のPIMSは、常に最高水準のプライバシー保護を満たし続けていることを確認するために、定期的に監査と検証を受けています。 - 強固なセキュリティ対策:
お客様のデータへの不正アクセスを防止するため、データの暗号化、アクセス制御、定期的な脆弱性評価などの強力なセキュリティ対策を実施しています。これらの対策は、外部からの脅威やサイバー攻撃からお客様のデータを保護するのに役立ちます。 - 個人情報保護法の遵守:
個人情報保護法の数が増えるにつれて、コンプライアンスは多くの組織にとって最重要事項となっています。当社のISO 27701認証は、GDPR、カリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act)、ブラジルの個人情報保護法(LGPD:Lei Geral Proteção de Dados Pessoais)、カナダの個人情報保護および電子文書法(PIPEDA:Consumer Privacy Act)、医療保険の携行性と責任に関する法律(HIPAA:Health Insurance Portability and Accountability Act)などの関連法規の重要な要件に準拠すること、つまり、お客様が遵守できるよう支援することを約束することを示しています。 - お客様の信頼の構築:
ISO 27701認証を取得することで、お客様のプライバシー保護に対する当社のコミットメントを示しています。当社の認証は、データの保護に対する当社の取り組みの証明することで、お客様が独自のデータ保護影響評価、転送影響評価、およびプライバシー影響評価の実施を支援することにより、お客様が独自の規制要求事項に準拠できるよう支援します。これにより、お客様はデータプライバシー規制の違反による罰金や罰則のリスクを回避できます。
ISO 27701の認証に加えて、Confluent Cloudの多数のプライバシーに焦点を当てた多数のコントロールと機能は、企業が独自の社内プライバシー基準を満たすのに役立ちます。これらのコントロールと機能は次のとおりです。
- データの暗号化:
Confluent Cloud クラスターでは、すべてのデータがデフォルトで暗号化され、セルフマネージド型暗号化キーがサポートされます。 - ロールベースのアクセス制御:
承認されたユーザーのみが顧客データにアクセスできるよう、きめ細かなアクセス制御を提供します。一般的なアイデンティティおよびアクセス管理システムとの統合により、安全な認証と承認を提供します。 - 無制限のストレージ:
お客様は、ストレージとコンピューティングのコストを切り離して、データを保存する設定をコントロールできます。 - レジリエンスの保証:
99.99% の稼働率SLA により、お客様は運用の負荷を軽減し、業界最高の SLA で Kafka を稼働させ続けることができます。 - ストリーム ガバナンス:
データがどこから来て、どこへ行くのか、そして、どこで、いつ、どのように変化したのかを追跡することで、お客様のクラウド環境全体を移動するデータストリームの信頼性を確立します。 - 複数ゾーン間のレプリケーション:
3つのゾーンにわたる同期複製により、単一ゾーンの障害から保護します。 - Cluster Linking:
geo レプリケーションとマルチクラウドのデータ移動を簡素化し、可用性と信頼性を高めます。 - 高い耐久性:
プロアクティブで堅牢なリアルタイム監査サービスでデータ破損の問題を回避します
Confluent の ISO 27701 認証は、プライバシーリスクを特定、評価、管理し、お客様のデータを常に保護するという Confluent のコミットメントを示している点が、他とは一線を画しています。ISO 27701認証の詳細については、 信頼とセキュリティのページ をご覧ください。Confluent がお客様のプライバシーに関する懸念に対してどのようにサポートできるかについては、Confluent のアカウントチームにお問い合わせいただくか、当社のプライバシーチーム privacy@confluent.io まで直接お問い合わせください。
原文:Confluent’s Commitment to Data Privacy: Announcing ISO 27701 Certification