データプライバシーよくある質問

お客様の信頼を維持することは継続的なコミットメントです。AWS は、変化し続けるプライバシー規制や立法上の状況を継続的にモニタリングすることで、変更点を特定し、お客様がコンプライアンス目標を達成するために必要とする可能性のあるツールを判断しています。お客様には、AWS が策定したプライバシーとデータセキュリティ関連のポリシー、慣行、およびテクノロジーの情報に関する情報をお伝えするよう尽力しています。

AWS のコミットメントには、以下が含まれます。

• アクセス: お客様は、AWS アカウントで AWS のサービスにアップロードするコンテンツを完全に制御するとともに、AWS のサービスやリソースへのアクセスを設定する責任を担います。AWS では、その効果的な実行に役立つ一連の高性能なアクセス、暗号化、およびロギング機能を提供しています (AWS Identity and Access Management、AWS Organizations、AWS CloudTrail など)。また、AWS 環境で開発またはデプロイするすべてのサービスに対するアクセスコントロール許可を設定するための API も提供しています。いかなる目的であっても、AWS がお客様の同意を得ることなくお客様のコンテンツにアクセスしたり、それらを使用したりすることはありません。AWS が、マーケティングや広告を目的としてお客様のコンテンツを使用したり、コンテンツから情報を抽出したりすることはありません。
• 保存: コンテンツを保存する AWS リージョンは、お客様が選択します。お客様のコンテンツは、複数の AWS リージョンにレプリケートし、バックアップすることができます。AWS が、お客様の同意を得ることなく選択された AWS リージョン外にコンテンツを移動したり、レプリケートしたりすることはありません。
  
• セキュリティ: コンテンツをセキュア化する方法は、お客様が選択します。AWS は、転送中または保管中のコンテンツを保護するための業界最高レベルの暗号化機能を提供しており、お客様が独自の暗号化キーを管理するオプションも提供しています。これらのデータ保護機能には、以下が含まれます。
  • 100 を超える AWS サービスで利用できるデータ暗号化機能。
  • AWS が暗号化キーを管理するか、お客様がそれらを完全に制御するかを選択できる、AWS Key Management Service (KMS) を使用した柔軟なキー管理オプション。
  • AWS 内でのセキュアな運用をサポートし、AWS のセキュリティコントロール環境を最大限に活用するための、セキュリティとデータ保護のベストプラクティスを用いたセキュリティ保証プログラム。これらのセキュリティ保護プロセスとセキュリティコントロールプロセスは、複数のサードパーティーの独立評価によって個別に検証されています。
• カスタマーコンテンツの開示: AWS は、法令、または政府機関による拘束力のある命令を遵守するために必要な場合を除き、カスタマーコンテンツを開示しません (以下にある「How does AWS classify customer information?」をご覧ください)。AWS が政府機関からお客様のカスタマーコンテンツの提出を求められた場合は、政府機関がそのデータの要請をお客様に直接行う方式への変更を試みます。お客様のカスタマーコンテンツを政府機関に開示せざるを得ない場合、AWS は法的に禁じられている場合を除き、その要求に関する妥当な通知をお客様に提供して、お客様が秘密保持命令、またはその他適切な救済措置を求めることができるようにします。

AWS が定義するカスタマーコンテンツとは、お客様のアカウントに関連した AWS サービスでの処理、保存、ホスティングのために、お客様またはエンドユーザーが AWS に転送するソフトウェア (マシンイメージを含む)、データ、テキスト、音声、動画、または画像、およびお客様またはそのエンドユーザーが AWS サービスの使用を通じて前述のコンテンツから取得する計算結果のことです。例えば、お客様、またはそのエンドユーザーが Amazon Simple Storage Service (S3) に保存するコンテンツもカスタマーコンテンツに含まれます。以下で説明するアカウント情報は、カスタマーコンテンツに含まれません。また、リソース識別子、メタデータタグ、アクセスコントロール、ルール、使用ポリシー、許可、および AWS リソースの管理に関連する類似項目に含まれる情報も、カスタマーコンテンツに含まれません。AWS は、個人を特定できる情報や機密情報をこれらの項目に含めないことをお勧めします。カスタマーコンテンツには、「AWS カスタマーアグリーメント」と「AWS サービス規約」の条項が適用されます。

AWS が定義するアカウント情報とは、お客様がそのアカウントの作成または管理に関連して AWS に提供する、お客様に関する情報のことです。例えば、アカウント情報には、カスタマーアカウントに関連付けられた名前、ユーザー名、電話番号、E メールアドレス、および請求情報が含まれます。これらの情報の取り扱い方法は、アカウント情報に適用される「AWS プライバシー通知」に説明されています。

お客様のカスタマーコンテンツはお客様が所有しており、そのカスタマーコンテンツを処理、保存、ホストできる AWS サービスもお客様が選択します。いかなる目的であっても、AWS がお客様の同意を得ることなくお客様のカスタマーコンテンツにアクセスしたり、それらを使用したりすることはありません。当社は、マーケティングや広告のために、カスタマーコンテンツを使用したり、情報を抜き出したりしません。

お客様のコンテンツは、お客様が制御します。

• カスタマーコンテンツが保存される地理的地域とストレージのタイプはお客様が決定します。
  
• カスタマーコンテンツのセキュア化された状態はお客様が選択します。AWS は、転送中または保管中のコンテンツを保護するための業界最高レベルの暗号化機能を提供しており、お客様が独自の暗号化キーを管理するオプションも提供しています。
• カスタマーコンテンツへのアクセス、および AWS のサービスとリソースへのアクセスは、お客様が制御するユーザー、グループ、許可、認証情報を通じてお客様が管理します。

AWS がアカウント情報を収集して使用する方法は、「AWS プライバシー通知」に説明されています。

AWS は、その情報を使用して AWS のサービスを提供し、カスタマーエクスペリエンスを保護および改善しています。例えば、AWS ではリソース識別子を使用して、AWS 支出をコストセンターごとに分類するために使用できるコストと使用状況レポートをお客様が生成できるようにしたり、IAM 許可を使用して、特定のユーザーがリザーブドインスタンスを購入できるかどうかを判断したりします。技術的なサポートについてお客様から AWS にお問い合わせがあった場合には、リソース識別子と許可を分析して問題の解決に役立てることもあります。

AWS はお客様のプライバシーを極めて慎重に扱っています。法令、または政府機関による有効かつ拘束力のある命令を遵守するために必要な場合を除き、AWS がカスタマーコンテンツを開示することはありません。AWS が政府機関からカスタマーコンテンツの提供を求められた場合は、政府機関がそのデータの要請をお客様に直接行う方式への変更を試みます。政府当局および規制当局は、有効で拘束力のある命令を取得するために、必要な法的手続きを行う必要があります。AWS は過度の広汎性を持つ場合、または不適切な命令に対して異議を申し立てます。やむを得ない事情によりお客様のコンテンツを政府機関に開示する場合、当社は、AWS が法律によってそうした行為を禁じられていない限り、当該請求に関する合理的な通知をお客様に送付し、お客様が秘密保持命令またはその他適切な救済措置を求められるようにします。また、お客様がそのカスタマーコンテンツを暗号化でき、AWS がお客様に対して独自の暗号化キーを管理するオプションを提供していることも重要な留意点です。

AWS は、お客様にとって透明性が重要であることを理解しています。そのため、AWS では「Amazon の情報リクエスト」ウェブページで AWS が受け取る情報リクエストの種類と量に関するレポートを定期的に公開しています。

AWS グローバルインフラストラクチャは、同一のネットワーク、コントロールプレーン、API、および AWS サービスを使用してワークロードを実行する場所と方法を選択する柔軟性を提供します。アプリケーションをグローバルに実行する場合は、任意の AWS リージョンとアベイラビリティーゾーンを選択できます。カスタマーコンテンツを保存する AWS リージョンはお客様が選択します。これによりお客様は、任意の場所に、その地理的要件に従って AWS のサービスをデプロイできます。例えば、オーストラリアの AWS のお客様がオーストラリア内のみにデータを保存したい場合は、AWS サービスのデプロイをアジアパシフィック (シドニー) の AWS リージョン限定で実行することを選択できます。その他の柔軟なストレージオプションを見つけるには、「AWS リージョン」ウェブページを参照してください。

お客様のカスタマーコンテンツを複数の AWS リージョンにレプリケートして、バックアップすることもできます。お客様が開始したサービスを提供する、または法令や政府機関の拘束力のある命令を遵守するために必要な場合を除き、AWS がお客様の同意を得ることなく、選択された AWS リージョン外にコンテンツを移動したり、レプリケートしたりすることはありません。ただし、AWS サービスにはすべての AWS リージョンで利用できないものがあることを念頭に置いておくことが大切です。各 AWS リージョンで利用できるサービスについては、「AWS リージョン別のサービス」ウェブページをご覧ください。

クラウドソリューションのセキュリティを評価するときは、お客様がクラウドのセキュリティとクラウド内のセキュリティの違いを理解して区別することが重要です。クラウドのセキュリティは、AWS が実装および運用するセキュリティ対策を対象としています。クラウドのセキュリティは AWS の責任です。クラウド内のセキュリティは、お客様が使用する AWS のサービスに関連してお客様が実装および運用するセキュリティ対策を対象としています。クラウド内のセキュリティはお客様の責任です。詳細については、「AWS の責任共有」ウェブページをご覧ください。

AWS では、お客様のデータのセキュア化を最優先事項としており、お客様がどの AWS リージョンを選択しているかにかかわらず、厳格な契約的、技術的、および組織的な対策を講じて、データの機密性、完全性、および可用性を保護しています。

AWS は、クラウド内の個人データの保護に焦点を当てた実践規範である ISO 27018 に準拠しています。ISO 27018 は、パブリッククラウドコンピューティング環境での個人を特定できる情報 (PII) や個人データの保護に対する規制要件を対象範囲に含めるために ISO 情報セキュリティ標準 27001 を拡張し、パブリッククラウドサービスプロバイダーが処理する PII に適用される ISO 27002 コントロールに基づいた実装ガイダンスを規定しています。詳細について、または AWS の ISO 27018 認定を確認するには、「AWS の ISO 27018 コンプライアンス」ウェブページをご覧ください。

さらに、AWS は SOC 2 Privacy Trust Criteria に基づく SOC 2 Type II Privacy レポートも公開しています。米国公認会計士協会 (AICPA) によって策定された SOC 2 Privacy Trust Criteria は、組織の目標を達成するための個人データの収集、使用、保持、開示、および廃棄方法に関連するコントロールの評価基準を定めています。AWS SOC 2 Privacy Type II レポートは、AWS のシステムと、AWS のプライバシーコントロール設計の適合性に関するサードパーティー証明を提供します。プライバシーレポートの対象範囲には、お客様が AWS にアップロードするコンテンツを AWS が処理する方法と、最新の AWS SOC レポートの対象となっているすべてのサービスと場所でコンテンツが保護される方法に関する情報が含まれます。SOC 2 Type II Privacy レポートは、AWS マネジメントコンソールの AWS Artifact を通じてダウンロードできます。

AWS とデータ保護に関する質問がおありのお客様は、担当の AWS アカウントマネージャーにお問い合わせいただくことをお勧めします。エンタープライズサポートにサインアップしているお客様は、担当のテクニカルアカウントマネージャー (TAM) に連絡してサポートを受けることもできます。AWS アカウントマネージャーと TAM は、ソリューションアーキテクトと協力して、お客様がコンプライアンスのニーズを満たせるように支援いたします。AWS はお客様に法的なアドバイスを提供できないため、データ保護に関する法的な質問については、お客様の顧問弁護士にご相談いただくことをお勧めします。

AWS には、エンタープライズサポート担当者、プロフェッショナルサービスコンサルタント、およびその他スタッフで構成されたチームもあり、プライバシーに関する質問のサポートを提供しています。ご不明な点がございましたら、こちらからお問い合わせください。