規格と規制の遵守
ISO 認証証明書
国際標準化機構(ISO)では、情報と社会のセキュリティについての世界的な基準を定めて、信頼性の高い革新的な製品やサービスを開発する組織をサポートしています。Dropbox は、オランダに拠点を置く独立系第三者機関である EY CertifyPoint による一連の監査を通じてデータ センター、システム、アプリケーション、スタッフ、プロセスの認証を受けています。
ISO 27001(情報セキュリティ マネジメント)
ISO 27001 は世界中で認識されている情報セキュリティ マネジメント システム(ISMS)の最高基準です。この基準は、ISO 27002 で説明されているセキュリティのベスト プラクティスも利用しています。Dropbox ではお客様の信頼に応えるべく、物理的、技術的および法的制御を持続的かつ包括的に管理し、改善を続けています。Dropbox の監査を実施した EY CertifyPoint は Raad voor Accreditatie(オランダの認証委員会)の ISO 27001 認定を維持しています。Dropbox Standard、Dropbox Advanced、Dropbox Enterprise、Dropbox Education の ISO 27001 認証証明書は、こちらでご覧になれます。
ISO 27017(クラウド セキュリティ)
ISO 27017 とは、クラウド セキュリティの新しい国際規格で、クラウド サービスの提供と使用におけるセキュリティ管理のガイドラインを定めています。Dropbox の共有責任ガイドでは、Dropbox とお客様が協力して解決できるセキュリティ、プライバシー、コンプライアンスの要件のいくつかを説明しています。Dropbox Standard、Dropbox Advanced、Dropbox Enterprise、Dropbox Education の ISO 27017 認証証明書は、こちらでご覧になれます。
ISO 27018(クラウド プライバシーとデータ保護)
ISO 27018 とは、お客様に代わり個人情報を処理する Dropbox のようなクラウド サービス プロバイダに適用されるプライバシーとデータ保護の国際規格で、お客様が一般的な規制や契約上の要件あるいは疑問に対応するための基本となります。Dropbox Standard、Dropbox Advanced、Dropbox Enterprise、Dropbox Education の ISO 27018 認証証明書は、こちらでご覧になれます。
ISO 22301(事業継続マネジメント)
ISO 22301 とは、組織がサービス途絶の影響を抑え、万が一サービス途絶が発生した際に損害を最小限に抑えることで適切に対応するための指針を示すビジネスの継続性の国際規格です。Dropbox のビジネス継続性管理システム(BCMS)は全体的なリスク管理戦略の一環であり、危機的な問題が発生した時にスタッフと業務を保護します。Dropbox Standard、Dropbox Advanced、Dropbox Enterprise、Dropbox Education の ISO 22301 認証証明書は、こちらでご覧になれます。
ISO 27701(プライバシー情報マネジメント)
ISO 27701 は、プライバシー情報マネジメントの国際規格です。この規格は、ISO 27001 に基づく情報セキュリティ マネジメント システムを強化し、プライバシー情報マネジメント システム(PIMS)に拡張するためのフレームワークを提供します。Dropbox は PII 処理者としてこの認証を受けています。Dropbox Standard、Dropbox Advanced、Dropbox Enterprise、Dropbox Education の ISO 27701 認証証明書は、こちらでご覧になれます。
SOC レポート
Service Organization Controls(SOC)レポートは、SOC 1、SOC 2、SOC 3 とも呼ばれ、組織内で実施される内部管理の報告のために American Institute of Certified Public Accountants(AICPA)により確立されたフレームワークです。Dropbox は、独立系第三者機関の Ernst & Young LLP による一連の監査を通じてシステム、アプリケーション、スタッフ、プロセスの認証を受けています。
SOC 3:セキュリティ、機密性、処理の完全性、可用性、プライバシー
SOC 3 保証レポートでは、セキュリティ、可用性、処理の完全性、機密性、プライバシー(TSP セクション 100)といった、5 つのトラスト サービス基準すべてに関する情報を提供しています。一般使用を目的とした本レポートは Dropbox の SOC 2 レポートの要旨をまとめたもので、効率的なデザインや当社の管理権限に関するオペレーションについての独立した第三者監査の査定評価が含まれています。Dropbox Standard、Dropbox Advanced、Dropbox Enterprise、Dropbox Education の SOC 3 レポートは、こちらでご覧になれます。
SOC 2:セキュリティ、機密性、処理の完全性、可用性、プライバシー
SOC 2 レポートでは、セキュリティ、可用性、処理の完全性、機密性、プライバシー(TSP セクション 100)といった、5 つのトラスト サービス基準すべてに対応した、細やかな制御ベースの保証を提供しています。SOC 2 レポートには、Dropbox がお客様のファイルを保護するうえで使用しているプロセスと 100 以上の管理機能が記載されています。Dropbox 管理機能の効率的なデザインや操作性についての独立した第三者監査の査定評価の他に、本レポートには監査者のテスト手順と各管理機能の結果報告も記載されています。また、Dropbox の SOC 2 レポート(SOC 2+ レポートともいいます)には、前述の ISO 基準に対して監査済みの管理機能のマッピングも含まれており、透明性の強化に努めています。SOC 2 レポートの対象は、Dropbox Standard、Dropbox Advanced、Dropbox Enterprise、および Dropbox Education です。SOC 2 レポートは、Dropbox のトラスト センターでダウンロードしていただけます。
SOC 1/SSAE 18/ISAE 3402(旧 SSAE 16 または SAS 70)
SOC 1 レポートは、経理報告プログラム(ICFR)をご利用になって社内管理を行う際に、Dropbox が重要な要素であるとお考えのお客様に保証を提供しています。Dropbox はこうした保証をお客様の Sarbanes-Oxley(SOX)コンプライアンス向けに主に適用しています。独立した第三者機関による監査は、Statement on Standards for Attestation Engagements No. 18(SSAE 18)および International Standard on Assurance Engagements No. 3402(ISAE 3402)に従って実施されます。こうした規格は、過去の Statement on Standards for Attestation Engagement No.16(SSAE 16)と Statement on Auditing Standards No. 70(SAS 70)に代わるものです。SOC 1 レポートの対象は、Dropbox Standard、Dropbox Advanced、Dropbox Enterprise、および Dropbox Education です。SOC 1 レポートは、Dropbox のトラスト センターでダウンロードしていただけます。
クラウド セキュリティ アライアンス - Security, Trust, Assurance, Risk(CSA STAR)レジストリ
CSA Security, Trust, Assurance, and Risk(STAR)レジストリは、クラウド サービス向けのセキュリティ保証プログラムを提供しており、誰でもアクセスできる無料の登録データです。現在使用中のクラウド プロバイダのセキュリティ評価や、契約を検討する際に役立てることができます。
Dropbox Standard、Dropbox Advanced、Dropbox Enterprise、Dropbox Education は CSA STAR のレベル 2 認証とレベル 2 証明を受けています。CSA STAR レベル 2 では、ISO 27001 の要件、SOC 2 トラスト サービス基準、CSA Cloud Controls Matrix(CCM)v3.0.1. に則って、第三者機関(EY CertifyPoint による認証と Ernst & Young LLP による証明)によるセキュリティ管理事項の評価が必要です。Dropbox の CSA STAR レベル 2 の認証と証明は、CSA ウェブサイトでご覧いただけます。
HIPAA/HITECH
医療保険の携行性や責任に関する法律(HIPAA)や経済的および臨床的健全性のための医療情報技術に関する法律(HITECH)を遵守するためにお客様が必要とする場合、Dropbox は Dropbox Standard、Dropbox Advanced、Dropbox Enterprise、Dropbox Education のお客様との間で事業提携契約書(BAA)に署名します。詳しくは「HIPAA スタートガイド」およびヘルプセンター記事をご覧ください。
Dropbox は、HIPAA/HITECH のセキュリティ、プライバシー、違反通知の各規則への対応のみならず、Dropbox 社内での実施状況、Dropbox Standard、Dropbox Advanced、Dropbox Enterprise、Dropbox Education で HIPAA/HITECH のセキュリティおよびプライバシー規則の準拠を求めるお客様に対する推奨内容を評価した、SOC 2 レポートを提供しています。
これらの報告書が必要なお客様は、Dropbox のトラスト センターでご利用いただけます。Dropbox チーム管理者の方は管理コンソールの[アカウント]ページで電子署名により BAA にご署名いただけます。
注:管理コンソールで BAA に電子署名することができるのは、米国内のお客様のみです。
NIST SP 800-171 R2 証明レポート
米国立標準技術研究所(NIST)は、情報システムの保護を支援するための規格およびガイドラインの普及と管理に取り組んでいます。NIST 特別刊行物(SP)800-171 改訂 2 版(R2)には、連邦政府以外の情報システムおよび組織で扱う「管理すべき非機密情報(CUI)」を保護するためのガイドラインが記載されています。米国政府の CUI を処理、保存するすべての組織(研究機関や教育機関など)は、NIST SP 800-171 R2 に準拠する必要があります。Dropbox の CUI システム、プロセス、および管理機能は、独立した第三者監査機関である Ernst & Young LLP による検証を受けています。
Dropbox Standard、Dropbox Advanced、Dropbox Enterprise、Dropbox Education の NIST SP 800-171 R2 レポートは SOC 2 レポートに統合されており、Dropbox のトラスト センターでご利用いただけます。
*Dropbox Paper は NIST SP 800-171 R2 レポートの対象外です。
EU/米国間データ プライバシー フレームワーク、EU/米国間データ プライバシー フレームワークの英国拡張版、およびスイス/米国間データ プライバシー フレームワーク
Dropbox は、欧州連合(EU)、英国、スイスから米国へ転送される個人データの収集、使用および保持に関して、米国商務省により定められている EU/米国間データ プライバシー フレームワーク、EU/米国間データ プライバシー フレームワークの英国拡張版、およびスイス/米国間データ プライバシー フレームワークに準拠しています。データ プライバシー フレームワーク原則の遵守により、組織が GDPR に基づき充分なプライバシー保護を提供できるよう担保します。
Dropbox のデータ プライバシー フレームワーク証明書はこちらをご覧ください。詳細についてはデータ プライバシー フレームワークのウェブサイトをご覧ください。
EU 一般データ保護規則(GDPR)
一般データ保護規則 2016/679(GDPR)は、EU データ主体の個人データ処理に関する既存のフレームワークへの重要な変更を示した欧州連合の規則です。GDPR では、個人データを取り扱う Dropbox のような企業に適用される新しい要件や厳格化した要件を採用しています。この規則は、従来の EU 指令 95/46 EC(データ保護指令)に代わり、2018 年 5 月 25 日に発効されました。Dropbox は完全に GDPR に準拠していますので、お客様は GDPR の遵守を推進するために Dropbox をご利用いただけます。詳細については、こちらのヘルプセンターの記事をご覧ください。
EU クラウド行動規範
EU クラウド行動規範は、Dropbox などのクラウド サービス プロバイダが GDPR コンプライアンスへのコミットメントを実証できるようにする自発的手段です。欧州データ保護委員会(EDPB)が表明した肯定的な意見を受けて、EU クラウド行動規範は、2021 年 5 月にベルギーのデータ保護機関によって正式に認定されました(認定 ID:2022LVL02SCOPE3114)。Standard、Advanced、Enterprise、Education のチーム用 Dropbox プランは、EU クラウド行動規範の遵守を宣言しており、「レベル 2」のコンプライアンス マークを取得しています。これはつまり、これらのサービスがこの規範の要件に沿って技術、組織、契約において対策を実施していることを意味しています。EU クラウド行動規範と、この規範に関する Dropbox のコンプライアンスについて詳しくは、この規範の公式ウェブサイトをご覧ください。
学生と児童(FERPA と COPPA)
Dropbox では、米国の家庭教育の権利とプライバシーに関する法(FERPA)により課せられるベンダーの義務に従い、チームのお客様がサービスを利用できるようになっています。教育機関は、児童オンライン プライバシー保護法(COPPA)に沿った形でのみ Dropbox Standard、Dropbox Advanced、Dropbox Enterprise、Dropbox Education を利用できます。
米食品医薬品局(FDA)連邦規則集(CFR)第 21 章第 11 条
連邦規則集(CFR)第 21 章は、米食品医薬品局(FDA)、米麻薬取締局、全米麻薬撲滅対策室向けに、米国における食品と医薬品に関する規則を定めたものです。第 21 章第 11 条に明記された基準に基づいて、FDA では電子記録および電子署名は信頼性が高く、一般的に、用紙による記録および書面上の手書きの署名に相当するものであるとしています。
連邦規則集(CFR)第 21 章第 11 条に基づくコンプライアンス対策を Dropbox がどのようにサポートできるかについて詳しくは、Dropbox と連邦規則集(CFR)第 21 章第 11 条ホワイトペーパーとヘルプセンターの記事をご覧ください。
PCI DSS
Dropbox は PCI データ セキュリティ スタンダード(PCI DSS)に準拠しています。Dropbox では販売者ステータスについての PCI 準拠証明書(AoC)を提供しており、Dropbox のトラスト センターでご利用いただけます。
Dropbox の再受託プロバイダ
Dropbox のデータ センター コロケーションと Dropbox が管理するサービス プロバイダもセキュリティ対策の検証のために定期的に SOC 1、SOC 2、ISO 27001 の監査を受けています。Dropbox では情報セキュリティ管理プログラムの一環として、年に 1 回以上、これらの監査結果を確認しています。監査レポートが入手できない場合は、ベンダー セキュリティ審査を行っています。監査や審査により Dropbox やお客様に対する重大なリスクが発見された場合、サービス プロバイダと連携して顧客データへどのような影響が及ぶかを把握し、問題解決までの対応を記録します。
Dropbox のコンプライアンスについての詳細
コンプライアンスや証明書のドキュメントは、Dropbox のトラスト センターでご利用いただけます。