写真●「ISO27018」の認証状を手にするChatWorkの山本正喜専務取締役CTO(左)と、須藤裕嗣技術部マネージャー
[画像のクリックで拡大表示]

 ビジネスチャットサービス「チャットワーク」を提供するChatWork(大阪府吹田市)は2016年5月18日、パブリッククラウド上での個人情報保護に関する国際規格「ISO27018」の認証を取得したと発表した。厳格なセキュリティ管理体制を訴求し、顧客拡大につなげる考えだ。

 認証機関はBSIグループジャパン(東京・港)。情報セキュリティコンサルティングを手掛けるLRM(大阪市)が支援した(関連記事:LRMがクラウド上の個人情報管理規格「ISO27018」認証取得支援サービス開始)。発効は5月11日付。

 日本で認証を取得したのはTKCに続く2例目。海外では米マイクロソフトや米ドロップボックスなどが取得している。

 チャットワークは有力ビジネスチャットツールの一つ(関連記事:シンプルだから使われる、9万社が導入する「チャットワーク」)。2011年3月のサービス開始以来、急速に利用社数を伸ばしており、2016年4月末時点の導入企業は約9万7000社である。

 ChatWorkの山本正喜専務取締役CTO(写真左)は「お客様の大切な内部情報を預かるため、サービス開始以来、セキュリティには最大限の注意を払ってきた。お客様にセキュリティ水準を説明して納得してもらうには、第三者機関の認証取得が不可欠だった」と説明する。

 同社はまず2013年に「ISO27001/ISMS」の認証を取得した。サービスのほぼ全てを外部のパブリッククラウドサービス「Amazon Web Services(AWS)」上で構築していることもあり、クラウドに特化した認証の追加取得が必要と判断。2016年1月から認証に向けた作業を始め、4月に認証機関の審査を受けた。

 前提となる体制はISO27001認証取得時に構築済みだった。新たにISO27018認証を取得するに当たって、AWS上のデータの所在や暗号鍵の管理状況などを再確認し、追跡して管理できるよう組織体制を見直した。

 ChatWorkはAWSの「東京リージョン」を利用しており、チャットメッセージを含む個人情報は原則として日本国内に存在する。ただし、バックアップデータなどが例外的に日本国外のAWSデータセンターに作成される場合がある。こうした実態を把握し、情報流出が起こらないようにするための対策を継続的に講じるようにした。