ブラジルの一般データ保護法 (「LGPD」) は、個人データの保護を目的としたブラジルの主要な規制です。LGPD は、処理に使用された手段や、管理者またはデータの所在国にかかわらず、公的機関または民間機関の個人または法人によって実行される個人データ (識別または識別可能な自然人に関する情報として定義されています) の処理について、1) ブラジルで処理が行われ、2) 処理が商品またはサービスの提供の申込みや提供、もしくはブラジルに所在する個人のデータの処理を目的とし、または 3) 個人データがブラジル国内で収集されている場合に適用されます。

LGPD は、個人データを処理するための原則とルールを定めています。組織は、これらの措置の有効性を含む、個人データ保護の規制の遵守を証明できる措置の採用を実証できなければならず、個人データの処理に適用されるコンプライアンスのためのポリシーの策定と施行が必要となります。

LGPD において、contorller (管理者) と processor (処理者) (いずれも LGPD で定義) は、不正アクセス、または破壊、消失、改ざん、通信、もしくはあらゆる種類の不適切もしくは違法な処理といった、偶発的に生じ、もしくは違法に引き起こされた状況から個人データを保護する技術的および管理的手段を採用することが求められています。さらに、LGPD は、ブラジルの国家データ保護庁 (National Data Protection Authority、または「ANPD」) に対して、管理者と処理者によって実施されるべき最低限の技術標準を定める権限を付与しています。

AWS では、お客様のプライバシーとデータセキュリティの扱いに慎重を期しています。AWS のセキュリティは、その中核となるインフラストラクチャから始まります。クラウドに合わせて特別に構築され、世界で最も厳しいセキュリティ要件を満たすように設計された AWS のインフラストラクチャは、お客様のデータの機密性、整合性、可用性を確保するために 24 時間年中無休でモニタリングされています。このインフラストラクチャをモニタリングしているのと同じ世界クラスのセキュリティ専門家たちは、AWS の幅広い革新的なセキュリティサービスを構築し、管理にも携わっています。お客様は AWS のサービスを使用することにより、セキュリティ要件や規制要件を簡単に満たすことができます。AWS のお客様は、その規模や場所にかかわらず、サードパーティーの最も厳しい保証フレームワークに照らしてテストされた AWS の経験から、あらゆる利点を引き継ぎます。

AWS では、ISO 27001、ISO 27017、ISO 27018、PCI DSS レベル 1、SOC 1、2、3 など、世界的に認められたセキュリティ保証フレームワークと認定に基づいて AWS クラウドインフラストラクチャサービスに適切な技術的で体系的なセキュリティ対策を実装し、管理しています。この技術的で体系的なセキュリティ対策は、独立したサードパーティーの評価機関によって検証済みで、お客様のコンテンツへの不正アクセスおよびお客様のコンテンツの漏えいを防止するように設計されています。

例えば、ISO 27018 は、クラウド内の個人データ保護に焦点を合わせた最初の国際的な実務規範です。ISO 27018 は、情報セキュリティ基準である ISO 27002 に基づいており、公開クラウドサービスプロバイダーによって処理される個人識別情報 (PII) に適用される ISO 27002 統制の実装ガイダンスが用意されています。これは、特にお客様のコンテンツにおけるプライバシー保護のための AWS の管理体制が整っていることをお客様に示すものとなります。

AWS が包括的に講じているこれらの技術的で体系的な対策は、個人データを保護するための LGPD の目標に合致しています。AWS のサービスを使用しているお客様は、自身のコンテンツの管理を維持し、コンテンツの分類、暗号化、アクセス管理、セキュリティ認証情報など、特定のニーズに基づいてその他のセキュリティ対策を実装する責任を負います。

お客様がネットワークにアップロードしている内容を AWS 側で閲覧したり確認したりすることはできないため、データが LGPD の対象とみなされるかどうかを含め、LGPD と関連規制のコンプライアンスに従う最終的な責任はお客様にあります。このページの内容は既存のデータプライバシーに関するリソースを補足するものであり、お客様が AWS のサービスを使用して個人データを保存および処理する際に、お客様の要件を AWS 責任共有モデルに合わせるのに役立ちます。