すべての AWS のサービスが GDPR に対応

この度、AWS のサービス全てが GDPR (EU 一般データ保護規則) に準拠しましたことをご報告致します。この準拠によって、お客様は、AWS がサービスのセキュリティを維持する目的で、すでに講じているさまざまな対策から得られるメリットに加え、GDPR に準拠する計画の重要な構成要素として AWS のサービスを導入できるようになります。

この発表は、GDPR サービス準備状況に対する監査がすべて完了したことを示しており、これはすなわち、GDPR がデータ処理者に要求するプライバシーに関する高いハードルとデータ保護基準に対し、一般的に利用可能な AWS のすべてのサービスと機能が準拠したことを示しています。この作業は、GDPR の施行開始日となる 2018 年 5 月 25 日の 2 か月前に完了しています。これにより、独自の GDPR 準拠の製品、サービス、ソリューションを、自信を持って構築できる環境をお客様や APN パートナーの皆様に提供するものです。

AWS が GDPR サービスの準備を完了したことは、今回の発表内容の一部に過ぎません。私たちは GDPR への準拠を支援するため、お客様と APN (AWS Partner Network) の皆様との協力を継続していきます。この発表に加え、お客様自身が GDPR 準拠への取り組みを加速するために AWS がどのようにお役に立てるかについて、以下に例を挙げ、ご紹介いたします。

個人データのセキュリティ

GDPR サービス準備状況に対する監査では、AWS が GDPR に従って個人データを保護する目的でデータ処理者に対し技術的および組織的措置を効果的に講じていることを、私たちのセキュリティと法令遵守の専門家が確認しています。私たちにとってセキュリティは依然として最優先事項であり、イノベーションを継続させ、あらゆるグローバルオペレーションにおいてセキュリティと法令遵守のための高い基準を達成できるように投資していきます。私たちが持つ業界最高レベルの機能では、国際的に認知されているさまざまな認証や認定の基盤を提供し、厳しい国際規格に準拠できることを実証しています。準拠している国際規格には、技術的な対策に関する ISO 27001、クラウドセキュリティに関する ISO 27017、クラウドプライバシーに関する ISO 27018、SOC 1、SOC 2、SOC 3、PCI DSS レベル 1、および BSI の C5 (Common Cloud Computing Controls Catalogue) などの EU 特有の認定などがあります。AWS は、お客様を支援するための認証を引き続き取得していきます。

法令遵守対応サービス

GDPR の多くの要件は、個人データを効果的に管理し、保護することに重点を置いています。AWS のサービスは、お客様が GDPR に準拠するために必要な方法に沿って、独自のセキュリティ対策を実装するための機能を提供します。以下に挙げるような具体的な対策が含まれます。

• 個人データの暗号化
• 処理システムやサービスで提供している機密性、完全性、可用性、回復力を保証する能力
• 物理的または技術的なイベントが発生した場合に、適切なタイミングで可用性と個人データへのアクセスを復元する能力
• 処理のセキュリティを確保するための技術的措置と組織的措置の有効性を定期的にテスト、査定、評価するプロセス

これは、GDPR の要件を満たす目的で特別に設計された、一連の高度なセキュリティサービスと法令遵守サービスです。以下のように、GDPR の準拠を重視するお客様にとって特に重要であると考えられる AWS のサービスが数多くあります。

• Amazon GuardDuty – 脅威を検出するインテリジェントな方法と継続的に監視する機能を備えたセキュリティサービス
• Amazon Macie – Amazon S3 に保存されている個人データの検出と保護を支援する機械学習ツール
• Amazon Inspector – アプリケーションをセキュリティのベストプラクティスに準拠させるための自動化されたセキュリティ評価サービス
• AWS Config Rules – クラウドリソースがセキュリティルールに準拠しているかどうかを動的にチェックする監視サービス

さらに、このトピックに特化した「AWS における GDPR コンプライアンスに関する情報提供 (Navigating GDPR Compliance on AWS)」ホワイトペーパーも公開しています。このホワイトペーパーでは、監視、データアクセス、キー管理に関連するサービスなどの特定の AWS のサービスと、GDPR の概念とを結び付ける方法について詳しく説明しています。さらに、私たちの GDPR センターでは、GDPR に関するお客様の活動を直接サポートするために、さまざまな要件に取り組む際に必要な最新のリソースにアクセスできるようにしています。

準拠済みの DPA

私たちは、GDPR に準拠した DPA (Data Processing Addendum) を提供し、お客様が GDPR の契約上の義務を遵守できるようにします。

行動規範との適合

GDPR では、GDPR がデータ処理者に課す要件を十分に保証するための仕組みとして、「行動規範」の遵守が導入されます。これに関連して、以前私たちは、CISPE 行動規範の遵守を発表しました。CISPE 行動規範では、お客様が AWS のようなプロバイダーのサービスを利用する際に、法令を遵守した、安全でセキュアな環境でデータを完全に管理できるように、合わせて保証しています。CISPE 行動規範の詳細については、 https://aws.amazon.com/jp/compliance/cispe/ を参照してください。

トレーニングとサミット

AWS のサービスを使用して GDPR に準拠できるようにするトレーニングをプロフェッショナルサービスチームから提供できます。このチームは、GDPR ワークショップという 2 日間の特別セッションを提供します。このワークショップは、お客様の特定のニーズと課題に合わせてカスタマイズすることができます。また、ヨーロッパ各国、サンフランシスコ、東京で開催される AWS サミットで GDPR のプレゼンテーションを実施します。

その他のリソース

最後になりますが、私たちは、法令遵守、データ保護、およびセキュリティの専門家チームに加え、APN を用意して、GDPR の施行が開始された際に、ヨーロッパ各地のお客様が統制対象のワークロードをクラウド内で実行する準備をお手伝いします。その他のリソースに関する追加情報については、担当の AWS アカウントマネージャーにお問い合わせください。

5 月 25 日以降に向けて、GDPR 関連の概念を深く掘り下げる一方で、AWS がどのようにお客様のお役に立てるかをお伝えするブログを複数掲載する予定です。詳細については、GDPR センターをご覧ください。この重要な規則に対応していくために、AWSがお客様のパートナーとなれることを大きく期待するものです。

-Chad Woolf

Vice President, AWS Security Assurance

(翻訳：AWS セキュリティ・アシュアランス本部　戸内加奈。原文は All AWS Services GDPR ready)