一般データ保護規則 (GDPR) センター

2020 年 7 月 16 日、欧州連合司法裁判所 (CJEU) は、EU 個人に関する個人データの EEA 外への転送に関する判決を下しました (Schrems II)。この Schrems II で、CJEU は、EU-US プライバシーシールドが EEA から米国に個人データを転送するための有効な仕組みではなくなったとの判決を下しました。ただし、同じ判決で、CJEU は、企業が EEA 外に個人データを転送するための有効な仕組みとして標準契約条項を引き続き使用できることを確認しました (必要に応じて補足措置を実施することを条件とします)。各国のデータ保護当局の代表者で構成される欧州機関である欧州データ保護委員会 (EDPB) は、その後、「勧告 01/2020 で、EU レベルでの個人データ保護に関して、転送ツールを補足してコンプライアンスを確保するための補足措置の網羅的でないリストを提供しています 」(EDPB 勧告)。

この EDPB 勧告は、データ輸出者が実施できる補足措置の例を提示しています。AWS のデータ転送リソースの詳細については、下記のよくある質問「Schrems II の判決後も AWS のサービスを引き続き使用できますか?」を参照してください。

はい。AWS のお客様は、引き続き AWS のサービスを使用して、欧州委員会から適切性の判断を受けていない EEA 外の国に顧客データを転送することができます。Schrems II の判決は、EEA 外への顧客データの転送の仕組みとして標準契約条項 (SCC) の使用を検証しました。AWS のお客様は、GDPR に準拠して EEA 外へ顧客データを転送する際に引き続き SCC を利用することができます。

• 処理場所。 お客様は、顧客データが保存される AWS リージョンを選択できます。利用可能な AWS リージョンの概要は、リージョンとアベイラビリティーゾーンにあります。AWS は、お客様が開始した AWS のサービスを提供する目的で必要な場合、または法律や政府機関の拘束力のある命令に従う必要がある場合を除き、お客様が選択した AWS リージョン外で顧客データを処理しません。AWS のサービスの一部としてのデータ転送の詳細については、プライバシー機能のウェブページを参照してください。
• 補助処理者。AWS は、顧客データの処理のサポート、AWS DPA に基づくお客様に対する AWS の義務の履行、または AWS のためのサービスの提供を目的として、補助処理者 (すなわち、AWS の関連会社または第三者) を使用する場合があります。詳細については、下記のよくある質問「AWS は補助処理者を使用して顧客データを処理しますか?」を参照してください。
• 転送ツール。 Schrems II 判決が、欧州委員会から十分性認定を受けていない EEA 外の国にデータを移転するためのメカニズムとして SCC の使用を検証したため、GDPR に準拠して EEA 外にデータを移転することを選択する場合、お客様は引き続き AWS DPA に含まれる SCC に依拠することができます。
• 補足措置。
  • お客様による管理。 お客様は、顧客データの保存場所を決定し、転送中および保存中の顧客データを保護し、AWS リソースへのユーザーアクセスを管理し、顧客データを変更、削除、取得できる、シンプルでありながら強力なツールを通じて、常に顧客データの所有権と管理を有しています。
  • 技術的および組織的対策。 AWS は、顧客データへの不正なアクセスまたは開示を防ぐように設計された、責任ある高度な技術的および物理的制御とプロセスを実装しています (詳細は、AWS コンプライアンスのウェブページを参照してください)。また、お客様が転送中および保存中の両方で顧客データを保護するために使用できる高度な暗号化およびキー管理サービス (お客様が自分のキーを管理できるサービスを含む) を多数提供しています。暗号化された顧客データは、適切な復号化キーなしではアクセスできなくなります。顧客データが暗号化されているかどうかに関係なく、常に不正アクセスから顧客データを保護するために細心の注意を払っています。
  • 法執行機関による要請。 AWS には、法執行機関から受け取ったリクエストを処理するための内部プロセスがあります。顧客データに対して法執行機関から要請を受けた場合は、要請の内容が正確かどうか慎重に調べ、適用法に適合しているかどうか検証します。法的に禁止されていない限り、AWS は、お客様が開示からの保護を求めるためのさらなる措置を講じることができるように、顧客データを開示する前にお客様に通知します。AWS DPA に関する補足補遺 (補足補遺) において、AWS は、顧客データに関する政府からの要求への対応に関して、強化された契約上のコミットメントを行っています。これには、(i) 顧客データを要求する政府機関が、関連するお客様に直接連絡するよう、あらゆる合理的な努力を尽くすこと、(ii) 法令上許容されている場合には、速やかに要求内容をお客様に通知すること (必要な場合は、禁止の免除を得るためにあらゆる合理的かつ適法な努力を尽くすことを含む) (iii) 要求と EU の法令との間に齟齬がある場合を含め、過度に広範であるか、または不適切な要求に異議を申し立てること、ならびに (iv) 上記の手順を実行した後も、AWS が政府の要求に応じて顧客データを開示することを強制される場合は、当該要求を満たすために必要な最小限の顧客データのみを開示することが含まれます。
  • 契約上の措置。 AWS は、AWS DPA および補足補遺に反映されている、上記の対策に対していくつかの契約上の措置を施しています。AWS DPA および補足補遺には、(1) 顧客データが保存および処理される AWS リージョンのお客様による選択、(2) AWS のインフラストラクチャを保護するために AWS が実装した技術的および組織的措置と、お客様が顧客データを保護するために適用することを選択できる技術的および組織的措置の両方、(3) 政府機関からデータ開示要求があった場合における、顧客データを保護し、お客様に通知するための AWS の措置、ならびに (4) 顧客データが処理される第三国で適用される法令を遵守して、AWS DPA に規定されている義務を履行する AWS の能力に関して、AWS からの契約上のコミットメントが含まれています。補足補遺は、(5) GDPR によって付与された権利の侵害があった場合に補償を請求する個人の法定権利にも対応しています。

はい、AWS は次の 3 種類の補助処理者を使用する場合があります。(1) AWS のサービスが実行されるインフラストラクチャを提供する AWS 事業体、(2) 顧客データの処理が必要となる可能性のある特定の AWS のサービスをサポートする AWS 事業体、および (3) AWS が特定の AWS のサービスの処理アクティビティを提供するために契約した第三者。AWS 補助処理者のウェブページは、お客様のために顧客データに対する処理アクティビティを提供してもらうことを目的として、AWS が AWS DPA に従って関与させる補助処理者に関する詳細情報を提供します。個々のお客様に関連する補助処理者は、お客様が選択した AWS リージョンや、お客様が使用する特定の AWS のサービスによって異なります。

AWS のホワイトペーパー、Navigating Compliance with EU Data Transfer Requirements では、お客様が Schrems II 規則、さらには、European Data Protection Board のレコメンデーションを踏まえたうえで、データ転送評価を実施する際にお客様を支援する目的で、AWS が提供するサービスとリソースに関する情報を紹介しています。このホワイトペーパーではまた、顧客データを保護するために、AWS が実施し、提供している主要な補足的手段についても説明しています。

AWS は、さまざまなセキュリティ基準および規制への AWS の準拠を立証した第三者である監査人からの複数のコンプライアンスレポートなど、AWS がそのインフラストラクチャに対して維持している高レベルのコンプライアンスを証明するために役立つ情報をお客様に提供しています。これらのレポートは、お客様が AWS で処理することとした顧客データを当社が保護していることをお客様に示すものです。この例には、AWS による ISO 27001、27017、および 27018 の遵守が含まれます。ISO 27018 には、顧客データの保護に重点を置いたセキュリティ統制が含まれています。

また、AWS は、データ保護向けの CISPE Code of Conduct にも準拠しています。CISPE Code of Conduct に関する詳細については、以下のよくある質問「AWS は、GDPR によって承認された、クラウドインフラストラクチャサービス固有の行動規範に準拠していますか?」でご確認ください。

はい。2023 年 6 月現在、107 の AWS サービスが Cloud Infrastructure Services Providers in Europe (CISPE) Data Protection Code of Conduct に準拠しています。CISPE は、欧州の数百万の顧客にサービスを提供するクラウドコンピューティングのリーダーの連合体です。CISPE Data Protection Code of Conduct (CISPE Code) は、クラウドインフラストラクチャサービスプロバイダーに焦点を当てた初の汎欧州のデータ保護行動規範です。CISPE Code は、欧州全土の 27 のデータ保護機関に代わって行動する European Data Protection Board (欧州データ保護委員会) によって承認され、主な監督機関としての役割を担うフランスのデータ保護当局 (CNIL) によって正式に採用されました。2017 年、AWS は旧版の CISPE Code への準拠を発表しました。

CISPE Code は、クラウドインフラストラクチャサービスプロバイダーが GDPR への準拠を実証し、顧客データを保護するための適切な運用を保証することをお客様が確信するのに役立ちます。CISPE Code には以下のような重要な利点があります。

• クラウドインフラストラクチャを重要視する: お客様のデータ、つまりクラウドインフラストラクチャサービスを使用してお客様のために処理される個人データの処理に関して、GDPR に基づくクラウドインフラストラクチャサービスプロバイダーの役割を明確にします。
• 欧州のデータ: お客様のデータを欧州経済領域 (EEA) 内でのみ保存および処理するサービスをお客様が利用できるようにすることをクラウドインフラストラクチャサービスプロバイダーに要求します。
• データのプライバシー: CISPE Code は、組織に対して、クラウドインフラストラクチャサービスプロバイダーが、GDPR に基づいてその組織のために処理する個人データ (顧客のデータ) に適用される要件を満たしていることを保証するものです。

AWS の準拠ステータスを示す Certificate of Compliance は、CISPE Public Register でご確認いただけます。記載されている AWS サービスは、CISPE Code に準拠していることが独自に検証されています。検証プロセスは、CNIL によって認定され、世界的に知られている独立モニタリング機関である Ernst & Young CertifyPoint (EY CertifyPoint) によって実施されました。

AWS 責任共有モデルが GDPR によって変わることはなく、お客様にとって引き続き重要です。責任共有モデルは、GDPR に基づいた AWS のさまざまな責任 (データの処理者または補助処理者として)、ならびにお客様の責任 (データ管理者またはデータ処理者として) を説明するために役立つアプローチです。

責任共有モデルにおいて、AWS には、AWS のサービス (「クラウド「の」セキュリティ」) をサポートする基盤となるインフラストラクチャを保護する責任があります。一方、お客様は、データ管理者またはデータ処理者として行動し、AWS のサービス (「クラウド「内の」セキュリティ」) にアップロードする個人データすべてに対して責任を負います。

AWS の「クラウドのセキュリティ」責任 – AWS は、AWS のサービスで実行されるすべてのインフラストラクチャの保護について責任を負います。このインフラストラクチャは、AWS のサービスを運用するためのハードウェア、ソフトウェア、ネットワーキング、施設で構成されています。これにより、お客様は、カスタマーコンテンツを処理する際に、セキュリティ構成の統制などの強力な統制を利用できるようになります。第三者の監査人は、AWS がコンピュータセキュリティのさまざまな規格や法規に準拠していることを検証しており、AWS はそれらの監査人が作成したさまざまなコンプライアンスレポートをお客様に提供しています (詳細については、AWS コンプライアンのウェブページをご覧ください)。お客様は、これらのレポートから、その顧客データがどのように保護されているかを理解できます。例えば、AWS は、ISO 27001、27017、27018 に準拠しています。ISO 27018 には、顧客データの保護に重点を置いたセキュリティ統制が含まれています。

「クラウド内のセキュリティ」に関するお客様の責任 - AWS のお客様には、AWS のサービスにデプロイすることを選択したアプリケーションとソリューションを設計および保護する責任があります。また、AWS のお客様は、その顧客データの機密性、整合性、およびセキュリティのニーズを保護できる方法で AWS のサービスを設定する責任も負います。お客様が自身のデータを保護するために必要な具体的な責任は、お客様が使用することを選択した AWS のサービスと、それらのサービスをお客様の IT 環境に統合する方法によって異なります。AWS のお客様は自身のデータに対する可視性とコントロールを持ち、データの機密性の種類に基づいて柔軟なセキュリティコントロールを実装できます。お客様は、独自のセキュリティ対策とツールを利用するか、AWS または他のサプライヤが提供するセキュリティ対策とツールを使用することで、これを行うことができます。このようにして、お客様はより機密性の高いデータのために追加のセキュリティ層を導入することができます。

AWS は、お客様がアプリケーションやソリューションを設計および保護するために使用でき、GDPR の要件の処理に役立つようにデプロイできる製品、ツール、サービスを提供いたします。

• AWS Identity and Access Management (IAM) を使用すると、組織は AWS の製品とリソースへのアクセスを安全に管理できます。IAM を使用するお客様は、AWS のユーザーやグループを作成して管理することや、権限を設定して AWS リソースへのアクセスを許可または拒否することができます。IAM は、各 AWS アカウントで追加料金なしで利用できる機能です。
• AWS CloudTrail を使用すると、AWS でのアクションに関連するアカウントアクティビティについての情報のログ記録、継続的なモニタリング、保持を行うことができるようになります。これにより、セキュリティ分析、リソース変更の追跡、トラブルシューティングを簡略化できます (デフォルトでは、AWS CloudTrail がすべての AWS アカウントで有効になっています)。
• Amazon GuardDuty はマネージド型の脅威検出サービスです。悪意のある操作や不正な動作を継続的に監視し、AWS アカウントとワークロードを保護します。異常な API コールや不正なデプロイの可能性など、アカウント侵害の可能性を示すアクティビティがモニタリングされます。インスタンスへの侵入の可能性や攻撃者による偵察も、GuardDuty によって検出されます。
• Amazon Macie は、Amazon S3 に保存された個人データの検出と分類をサポートするための機械学習ツールです。

GDPR に準拠して AWS リソースを使用する方法の詳細については、AWS での GDPR のコンプライアンスのホワイトペーパーをお読みください。

はい。AWS パートナーソリューションファインダー (PSF) で「GDPR」で検索すると、GDPR の遵守に役立つ製品やサービスを提供している ISV、MSP、SI パートナーを見つけることができます。また、AWS Marketplace で「GDPR」のソリューションを探すこともできます。

はい。AWS Security Assurance Services チームは、GDPR の遵守に向けたお客様との取り組みをサポートするさまざまな活動を実施しています。業界認定のコンプライアンス専門家で構成されるこのチームは、適用可能なコンプライアンス標準を AWS のサービス固有の機能に結び付けることにより、お客様がクラウドでコンプライアンスを達成、維持、自動化するのを支援いたします。AWS プロフェッショナルサービスのコンサルタントがお客様をどのようにサポートできるかについての詳細は、こちらをご覧ください。

お客様は、AWS サポートを活用して、GDPR コンプライアンスへの道のりを支援する技術的助言を受けることができます。AWS では、この活動の一環として、クラウドサポートエンジニアとテクニカルアカウントマネージャー (TAM) のチームを結成し、コンプライアンスに関するリスクの特定と低減をサポートするトレーニングを実施しました。AWS が提供するサポートのレベルは、お客様が選択した AWS Support プランによって異なります。お客様が AWS プレミアムサポートについてお知りになりたい場合は、AWS マネジメントコンソールで利用できる AWS Support Center にアクセスして、詳細を確認できます。この場合、エンタープライズサポート契約で指定した連絡先情報を使用するか、AWS サポートのウェブページにアクセスしてください。エンタープライズサポートに登録しているお客様は、GDPR 関連の質問に関して TAM に問い合わせることができます。

お客様が GDPR への準拠に取り組む際に役立つプログラムが 2 つあります。

• クラウド運用のレビュー – AWS エンタープライズサポートに登録しているお客様が利用できます。このプログラムは、クラウド内での運用アプローチにおいて足りない部分を特定できるように設計されています。このプログラムは、AWS が多数の代表的なお客様との経験から収集した運用上のベストプラクティスに基づき、クラウド運用をレビューして、関連する管理実施策を提案するもので、GDPR への準拠に向けた組織の取り組みに役立ちます。このプログラムでは、優れた運用のために、クラウドベースのシステムの準備、モニタリング、運用、最適化という 4 つの柱によるアプローチを使用しています。
• Well-Architected レビュー – 各組織は、このプログラムにより、AWS のベストプラクティスと比較して自社のアーキテクチャを評価し、安全性、信頼性、パフォーマンス、費用対効果に優れたアーキテクチャを構築できます。また、お客様は、Well-Architected レビューを使用することで、アーキテクチャのどこにリスクがあるかを把握し、アプリケーションを本番稼働する前に問題を解決できます。

AWS には、セキュリティインシデントのモニタリングとデータ侵害の通知プロセスがあり、AWS DPA に従って、不当な遅延なしに AWS のセキュリティ違反をお客様に通知します。また、AWS は、お客様のリソースに対して誰がアクセスできるか、またそのユーザーがいつどこからアクセスしたかを把握するためのツールをいくつか提供しています。このようなツールの 1 つに AWS CloudTrail があります。AWS CloudTrail を使用すると、AWS アカウントのガバナンス、コンプライアンス、運用監査、リスク監査を実施できるようになります。AWS CloudTrail を使用すると、お客様は AWS インフラストラクチャ全体でアクションに関するアカウントアクティビティをログに記録し、継続的に監視し、情報を保持できます。これにより、各組織は、AWS インフラストラクチャで何が発生しているかを把握でき、異常なアクティビティが発生した場合にはすぐに対策を講じることができます。お客様が GDPR に基づいてデータ管理者としての義務を果たせるようサポートするために AWS がお客様に提供している他のセキュリティツールの詳細については、AWS クラウドのセキュリティに関するウェブページをご覧ください。

AWS は、お客様と APN パートナーがその顧客データを保護し、サイバー攻撃から防御できるようサポートするための多数のツールを提供しています。そのようなツールの 1 つに AWS Shield があります。これは、分散サービス妨害 (DDoS) に対するマネージド型の保護サービスで、AWS で運用しているウェブサイトとアプリケーションを保護するために使用できます。AWS Shield Standard は追加料金なしで利用でき、アプリケーションのダウンタイムとレイテンシーを最小限に抑える常時稼働の検出機能および自動インライン緩和策となります。AWS で運用され、ELB、Amazon CloudFront、Amazon Route 53 のリソースを使用するウェブアプリケーションを標的とした攻撃に対する保護を強化するため、お客様と APN パートナーは AWS Shield Advanced に登録できます。また、AWS は、AWS を使用して DDoS 攻撃からの回復力に優れたアプリケーションを構築するお客様をサポートするため、AWS Best Practices for DDoS Resiliency を公開し、定期的に更新しています。

サイバー攻撃から顧客データを保護するために AWS が提供するその他のツールには、以下があります。

• AWS Identity and Access Management (IAM) を使用すると、組織は AWS の製品とリソースへのアクセスを安全に管理できます。IAM を使用すると、お客様と APN パートナーは、AWS のユーザーやグループを作成して管理することや、権限を設定して AWS リソースへのアクセスを許可または拒否することができます。IAM は、各 AWS アカウントで追加料金なしで利用できる機能です。
• AWS Config を使用すると、お客様と APN パートナーは、AWS リソースが適切に構成され、規制への準拠状態が確保されるよう、事前にパッケージ化されたルールを有効にすることができます。
• AWS CloudTrail を使用すると、AWS でのアクションに関連するアカウントアクティビティについての情報のログ記録、継続的なモニタリング、保持を行うことができるようになります。これにより、セキュリティ分析、リソース変更の追跡、トラブルシューティングを簡略化できます (デフォルトでは、AWS CloudTrail がすべての AWS アカウントで有効になっています)。
• Amazon GuardDuty はマネージド型の脅威検出サービスです。悪意のある操作や不正な動作を継続的に監視し、AWS アカウントとワークロードを保護します。異常な API コールや不正なデプロイの可能性など、アカウント侵害の可能性を示すアクティビティがモニタリングされます。インスタンスへの侵入の可能性や攻撃者による偵察も、GuardDuty によって検出されます。

Amazon Macie は、機械学習とパターンマッチングを使用して AWS の個人データを検出して保護する、フルマネージドのデータセキュリティとデータプライバシーのサービスです。組織で管理するデータが増大するにつれて、大規模な個人データを特定し保護することは、コストや時間のかかる、ますます複雑な作業となります。Amazon Macie では、大規模な個人データの検出を自動化し、データ保護のコストを削減します。Macie では、暗号化されていないバケット、パブリックアクセス可能なバケット、AWS Organizations で定義したもの以外の AWS アカウントと共有されているバケットのリストを含む、Amazon S3 バケットのインベントリが自動的に提供されます。次に、Macie は、選択したバケットに機械学習とパターンマッチングの手法を適用して、個人データを識別してアラートを発信します。

Amazon Macie は、クラウドセキュリティ向けの ISO 27017 規格やクラウドプライバシー向けの ISO 27018 規格など、国際的に認知された規格の認証を受けているため、お客様と APN パートナーは、Macie を使用してデータへのアクセスを継続的にモニタリングし、アクセスパターンに基づいて疑わしいアクティビティを検出できます。

AWS は、お客様による GDPR への準拠をサポートするため、AWS のコンテンツに含まれる個人データへのアクセスを管理する多数のツールを提供しています。次のようなツールがあります。

• デフォルトのセキュリティとは、AWS のサービスがデフォルトでセキュアになるよう設計されているという意味です。デフォルトの設定が使用された場合、リソースへのアクセスは、アカウント所有者とルート管理者のみに制限されます。
• AWS Identity and Access Management (IAM)では、AWS のサービスやリソースへのアクセスをお客様が安全に管理できます。IAM を使用して、組織は AWS のユーザーとグループを作成および管理し、アクセス権を使用して、AWS リソースへのユーザーとグループのアクセスを許可および拒否できます。IAM は、各 AWS アカウントで追加料金なしで利用できる機能です。
• AWS Multi-Factor Authentication を使用すると、AWS アカウントのユーザー名およびパスワードの保護を強化できます。AWS では、MFA デバイスとして仮想デバイスとハードウェアデバイスのいずれかを選択できます。
• AWS Directory Service を使用すると、社内ディレクトリとの統合および連携によって管理オーバーヘッドを削減し、エンドユーザーエクスペリエンスを向上できます。
• AWS Config を使用すると、お客様は、AWS リソースが適切に構成され、規制への準拠状態が確保されるよう、事前にパッケージ化されたルールを有効にすることができます。
• AWS CloudTrail では、AWS インフラストラクチャでのアクションに関連するアカウントアクティビティについての情報のログ記録、継続的なモニタリング、保持を行うことができるようになります。これにより、セキュリティ分析、リソース変更の追跡、トラブルシューティングを簡略化できます (デフォルトでは、AWS CloudTrail がすべての AWS アカウントで有効になっています)。
• Amazon Macie は、機械学習を使用し、AWS にある機密データを自動的に検出、分類、保護することにより、お客様がデータを失うことがないようサポートするサービスです。完全マネージド型のサービスで、データアクセスアクティビティの異常が継続的にモニタリングされ、不正アクセスのリスクや不注意によるデータ漏洩が検出された場合に詳細なアラートが生成されます。例えば、機密データへの外部アクセスをお客様が誤って許可したような場合です。

AWS は、お客様と APN パートナーが GDPR におけるデータ管理者としてデータ処理のセキュリティに関する義務を果たせるよう、クラウド内で保管中の顧客データのセキュリティを強化する機能を提供しています。AWS では次のような暗号化ツールを利用できます。

• Amazon Elastic Block Store、Amazon S3、Amazon Glacier、Amazon DynamoDB、Oracle RDS、SQL Server RDS、Redshift といった、ストレージやデータベースに関する AWS のサービスで利用可能なデータ暗号化機能
• 暗号化キーを AWS 側で管理するか、お客様が完全に自分で管理するかを選択できる、AWS Key Management Service などの柔軟なキー管理オプション
• Amazon SQS のサーバー側の暗号化 (SSE) を使用した、機密データ送信向けの暗号化メッセージキュー
• お客様がコンプライアンスの要件を満たせるようにする、AWS CloudHSM を使用した専用の、ハードウェアベースの暗号化キーストレージ

さらに、AWS には、AWS 環境内でお客様や APN パートナーが開発またはデプロイしたどのサービスにも暗号化とデータ保護を統合できる API が用意されています。

AWS では、お客様が GDPR の要件を満たすための特定の機能とサービスを提供しています。

アクセスコントロール: 承認された管理者、ユーザー、およびアプリケーションにのみ AWS リソースへのアクセスを許可する

• 多要素認証 (MFA)
• Amazon S3 バケット/Amazon SQS/Amazon SNS のオブジェクトおよびその他への詳細レベルのアクセス
• API リクエスト認証
• 地域制限
• AWS Security Token Service による一時的アクセストークン

モニタリングとロギング: AWS リソースのアクティビティの概要を確認する

• AWS Config によるアセット管理と設定
• AWS CloudTrail によるコンプライアンス監査およびセキュリティ分析
• AWS Trusted Advisor による設定上の課題の識別
• Amazon S3 オブジェクトへのアクセスの詳細なログ
• Amazon VPC フローログによるネットワーク内のフローに関する詳細情報
• ルールベースの設定チェックと AWS Config ルールによるアクション
• AWS CloudFront の AWS WAF 機能を使用したアプリケーションへの HTTP アクセスのフィルタリングとモニタリング

暗号化: AWS のデータを暗号化する

• AES256 (EBS/S3/Glacier/RDS) による保存データの暗号化
• マネージド型キー管理の一元化 (AWS リージョン別)
• VPN-Gateways による AWS への IPsec トンネル
• AWS CloudHSM によるクラウド上の専用の HSM モジュール

厳格なコンプライアンスフレームワークとセキュリティ基準: 以下のような厳格な国際基準への準拠を示します。

• 技術的対策に関する ISO 27001
• クラウドのセキュリティに関する ISO 27017
• クラウドのプライバシーに関する ISO 27018
• SOC 1、SOC 2 および SOC 3、PCI DSS レベル 1、
• BSI の 共通クラウドコンピューティングコントロールカタログ (C5)
• ENS「高」

GDPR は EU 規制であり、英国は EU 離脱後に対象外となりました。 英国政府は、「UK GDPR」として GDPR の要件を英国法に組み込みました。

AWS は、UK GDPR に基づくデータ処理者としての AWS のコミットメントを組み込んだ、AWS DPA に対する UK GDPR 準拠の UK GDPR 補遺条項を提供しています。UK GDPR 補遺条項は AWS サービス規約の一部であり、UK GDPR への準拠のためのデータ処理契約を必要とするすべてのお客様に自動的に適用されます。

AWS サービス規約の一部である UK GDPR 補遺条項には、EC によって採用された SCC と、英国のデータ保護規制機関 (Information Commissioners Office) によって発行された国際的なデータ移転に関する補遺 (IDTA) が含まれています。 IDTA は SCC を修正して、SCC が、個人データのために適切な水準の保護を提供しているとは認識されていない英国以外の国 (英国の第三国) への国際的なデータ移転について、UK GDPR の下で適切な保護手段となるようにします。UK GDPR 補遺条項は、お客様が AWS のサービスを使用して UK GDPR の対象となる顧客データ (英国の顧客のデータ) を英国の第三国に移転する場合には、常に SCC (IDTA によって修正されたもの) が自動的に適用されることを確認しています。 AWS サービス規約内の UK GDPR 補遺条項の一部として、お客様が英国の顧客データを英国の第三国に転送するために AWS のサービスを使用するときは、常に SCC (IDTA によって修正されたもの) が自動的に適用されます。

AWS は、AWS データ処理補遺条項にスイスに関する補遺 (「スイスに関する補遺」) を提供します。これには、スイス連邦データ保護法 (「FDPA」) に基づくデータ処理者としての AWS の取り組みが組み込まれています。スイスに関する補遺は AWS サービス規約 (第 1.14.4 条を参照) の一部であり、お客様のデータを処理するための、お客様による AWS サービスの利用に FDPA が適用される場合に自動的に適用されます。

AWS サービス規約の一部である AWS データ処理補遺条項に対するスイスに関する補遺には (第 1.14.4 条を参照)、欧州委員会によって採択され、スイス連邦データ保護情報コミッショナーの要求に応じて修正された標準契約条項 (「SCC」) が含まれています。スイスに関する補遺は、お客様が AWS のサービスを利用して FDPA の適用対象となるお客様のデータを第三国に移転する場合には、常に SCC (スイスに関する補遺によって修正されたもの) が自動的に適用されることを確認しています。

GDPR についてご質問があるお客様は、まず AWS アカウントマネージャーにお問い合わせください。エンタープライズサポートにサインアップしているお客様は、テクニカルアカウントマネージャー (TAM) に問い合わせることもできます。TAM はソリューションアーキテクトと連携し、お客様がリスクとリスク低減の可能性を特定できるようにサポートします。また、TAM とアカウントチームは、環境とニーズに基づいて、お客様と APN パートナーに具体的なリソースを紹介することもできます。

AWS には、エンタープライズサポート担当者やプロフェッショナルサービスコンサルタントといったスタッフによるチームもあり、GDPR に関する質問に回答しています。ご不明な点がございましたら、こちらからお問い合わせください。