AWSは新しい大西洋横断データプライバシーフレームワークを歓迎します。

本記事はMichael Punke (Vice President for Global Public Policy, Amazon Web Services) によって 2022 年 4 月に投稿されたものです。

Amazon Web Services（AWS）は、先月、欧州連合（EU）と米国（US）の間で原則合意された新しい大西洋横断Data Privacy Framework（Data Privacy Framework）を歓迎します。この発表は、大西洋を横断するデータの流れにおけるプライバシー保護を強化するという米国とEUの共通の意志を示しており、AWSやその他の企業が現在すでに提供しているセーフガードを補完することになります。AWSは、Data Privacy Framework が採択された際には、それに準拠した認証を行うことを約束し、当社の顧客とそのエンドユーザーが新しい保護措置の恩恵を受けることを期待しています。

Data Privacy Framework が完成すれば、認定を受けた企業が米国とEUの間で大西洋を越えたデータ転送を行うための仕組みが再び確立されることになります。発表によると、新しいData Privacy Framework は、欧州連合司法裁判所（CJEU）が2020年7月のSchrems II 判決でEU-USプライバシーシールドを無効とした際に提起した懸念に対処するものであるとのことです。Data Privacy Frameworkは、米国の情報活動が国家安全保障を守るために必要かつ適切なものに限定されるよう新たなセーフガードを採用し、またEU市民の苦情に対応するための新たな救済制度を設ける予定です。

AWSは、Trusted Cloud Principles（クラウドを利用する組織の利益と個人の基本的権利を保護するためのクラウド業界のイニシアチブ）の策定者の1人として、クラウド技術の活用により、データの管理と維持におけるプライバシーとセキュリティ保護を促進する規則と規制の改善を全面的に支持します。

AWSの技術を利用する組織は、Schrems II以降も大西洋を越えたデータ転送を行うことができましたが、新しいData Privacy Frameworkは、お客様がデータ転送の評価を行う際に、さらなる明確性とアジリティを確保することになるでしょう。これにより、当社のお客様は、成長、デジタル変革、グローバルな競争優位性といった価値を引き出すことができるようになります。

欧州経済領域（EEA）との間で迅速かつ機敏な取引を望む組織は、成長のための革新と最高の技術への投資という目標が、国境を越えたプライバシー保護を推進する国際的な枠組みによってサポートされているという確実性を必要としています。新しいData Privacy Frameworkが完成すれば、AWSのプライバシーに対する継続的なコミットメントと相まって、AWSのサービスを利用する際にヨーロッパとの間でデータを転送することを選択したお客様に、さらにシンプルさと信頼を提供することになるでしょう。

我々の集団安全保障には、これまで以上に大西洋の両岸、そしてそれ以上の相互信頼が必要です。したがって、我々はData Privacy Frameworkの最終化に参加することを楽しみにしており、また、そのことに引き続きコミットしています。また、OECDのワークストリーム（民間企業が保有するデータへの信頼できる政府アクセス）のようなフォーラムで、プライバシーとセキュリティの適切なバランスについて幅広いコンセンサスを得るための努力も支援しています。

AWSのプライバシーとセキュリティについて

AWSは、お客様のデータの保護に取り組んでいます。私たちは、お客様が進化するヨーロッパの法律や標準にうまく対応し、最高レベルのセキュリティ、プライバシー、レジリエンスを実現するための支援を続けています。AWSはすでに、一般データ保護規則（GDPR）とSchrems II裁定に準拠し、お客様のコンテンツを保護し、欧州外に転送するための包括的な技術、運用、契約上の措置を提供しています。また、お客様は、フランス、ドイツ、アイルランド、イタリア、スウェーデン、そして2022年以降にはスペインにある当社のリージョンのいずれか、または複数を選択することにより、お客様のデータを選択したAWSリージョンに確実に保存し、欧州連合内でコンテンツを保存することができます。さらに、お客様はアクセス、暗号化、ログの高度な機能を使用して、コンテンツの完全な制御を維持することができます。

現在、AWSのお客様は、AWS Data Processing Addendum（DPA）に含まれる新しい標準契約条項（SCC）に依拠することで、欧州経済領域（EEA）外へのデータ転送も可能です。これは、EU法と矛盾する法執行要請に挑戦するなど、お客様データを保護するための契約上の約束事を強化したことによって補完されています。

また、グローバルサービスをご利用のお客様には、国境を越えたデータ転送のセキュリティを強化するためのさまざまなツールをご用意しています。例えば、AWS  Cloud HSMとAWS Key Management Service（AWS KMS）により、お客様は転送中および静止中のデータを暗号化し、暗号鍵を安全に生成して管理することができます。また、専用ハードウェアと関連ファームウェアにより、処理中のお客様のコードやデータを外部アクセスから保護するコンフィデンシャルコンピューティングを実現する「AWS Nitro System」により、処理中のデータをより安全に保護し、機密性・プライバシー性を向上させることが可能です。

AWSは、Cloud Infrastructure Services in Europe (CISPE) Data Protection Code of Conduct, Cloud Computing Compliance Controls Catalog (C5), ISO27018, the Esquema National de Securidad (ENS, Spain) など、プライバシーとセキュリティに関する厳格な国際標準への準拠を証明する国際的に認められた認証と証明を獲得しています。

これらの既存の対策から恩恵を受けるだけでなく、当社の豊富なオンラインリソースは、欧州データ保護委員会（EDPB）の勧告に従って、お客様がより簡単にデータ転送の評価を完了し、GDPRの遵守要件を満たすのに役立ちます。これには、各国政府からのデータアクセス要求と当社の対応を示す定期的な情報要求レポートが含まれます。

その他の情報
当社のテクニカルペーパー「Navigating Compliance with EU Data Transfer Requirements」と「AWSサービスのプライバシー機能」ページには、お客様が個々のニーズに合ったサービスを評価するのに役立つ情報が掲載されています。

ご質問や詳細な情報が必要な場合は、EUデータ保護ページをご覧ください。

原文はこちらです。

本Blogは、公共政策本部 矢野敏樹、吉田朗、セキュリティアシュアランス本部 松本照吾が翻訳しました。