AWS GDPR データ処理補遺条項がサービス条件に組み込まれました

この度、AWS GDPR (一般データ保護規則) に準拠したデータ処理補遺条項 (DPA) (.pdf) がオンラインサービス条件に組み込まれたことをご報告します。これにより、AWS のすべてのお客様が、グローバルに AWS GDPR DPA を利用できるようになりました。これは、2018 年 5 月 25 日以降、AWS のサービスを使用して一般データ保護規則に従って個人データを処理する場合に自動的に適用されます。AWS GDPR DPA には、欧州連合 (EU) のデータ保護機関によって承認され、29 条作業部会として知られる EU モデル条項も含まれています。このため、EU 加盟国及び欧州経済領域 (EEA) からそれ以外の国に個人データを転送する場合に、AWS の個人データが EEA で保護されるレベルと変わらない高いレベルで保護されるため、AWS のお客様は安心してデータを転送できます。

この発表は当社、お客様、APN（Amazon Partner Network）のパートナー各社にとって重要な GDPR コンプライアンスの構成要素となっています。クラウドサービスを使用して個人データを処理するすべてのお客様は、GDPR に準拠する場合、クラウドサービスのプロバイダーとの間にデータ処理契約を結ぶ必要があります。 2017 年 4 月の早い時期に、AWS は GDPR に対応した DPA をお客様が利用できることを発表しています。このように、2018 年 5 月 25 日の施行日より 1 年以上前に、当社はお客様への GDPR DPA の提供を開始しています。今、DPAがオンラインサービス条件に組み込まれましたが、データ処理条項について GDPR 要求事項を満たすためにお客様と APN パートナーに必要な追加の契約はありません。

AWS GDPR DPA によって、以下に記載しているその他、多くの重要な保証がお客様に提供されます。

• AWS がお客様のデータを処理するのは、お客様の指示に従う場合のみです。
• AWS は、AWS ネットワークのための強力で技術的かつ組織的な手段を実施しており、今後も維持していきます。
• セキュリティインシデントが発覚した場合、AWS は遅滞なくお客様に通知します。
• AWS は、ISO 27001 認証、ISO 27017 認証および ISO 27018 認証に関連して発行された証明書を使用可能にして、お客様とパートナーの独自の GDPR コンプライアンス活動をさらに支援します。

AWS GDPR DPA のオフラインバージョンにすでに署名されているお客様は、GDPR DPA を引き継ぐことができます。当社は、GDPR DPA を AWS のサービス条件に組み込むことにより、GDPR に従ったDPAを必要とする世界中のすべてのお客様に、GDPR DPA を容易に提供できるようにしています。

ただし、AWS GDPR DPA は、全体像のまだほんの一部に過ぎません。私たちはこれからもお客様およびAPN パートナーとともに努力し、GDPR コンプライアンスに向けての道のりをサポートします。

GDPR または AWS GDPR DPA についてご質問がある場合、アカウント担当者に問い合わせるか、AWS 一般データ保護規則 (GDPR) センターを参照してください (https://aws.amazon.com/compliance/gdpr-center/)。

-Chad Woolf

Vice President, AWS Security Assurance

(翻訳：AWS Growth Strategies, セキュリティ・コンプライアンス マーケティング担当　戸内加奈。原文は AWS GDPR Data Processing Addendum – Now Part of Service Terms)