Amazon Web Services ブログ
AWS 責任共有モデルと GDPR
EU の一般データ保護規則 (GDPR) には、データプロセッサー(取扱者)とデータコントローラー(管理者)の役割が記述されており、一部のお客様や APN(Amazon Partner Network)のパートナー各社から、こうしたGDPR上の役割が、AWS 責任共有モデルにどのような影響を与えるかといった質問をいただいています。今回は、GDPR の観点から、私たちとお客様にとっての責任共有について説明したいと思います。
AWS 責任共有モデルは GDPR によってどのように変わりますか? という質問への簡易な回答は「変わりません」ということになります。AWS は、お客様に提供するクラウド環境とサービスをサポートする基盤となるインフラストラクチャを保護する責任を負います。一方、データコントローラーまたはデータプロセッサーとして行動するお客様と APN パートナーは、クラウドに入れた個人データに責任を負います。責任共有モデルには、AWS とお客様、APN パートナーの様々な責任が示され、同じ分類の責任が GDPR の下で適用されます。
データプロセッサーとしての AWS の責任
GDPR によって、データコントローラーおよびデータプロセッサーに関する明確な規則と責任が導入されます。AWS のお客様が当社のサービスを使用して個人データを処理するとき、データコントローラーは通常 AWS のお客様 (および場合によっては AWS のお客様の顧客) です。また、あらゆるケースで、AWS は常にこのアクティビティに関してデータプロセッサーとなります。なぜなら、お客様は AWS のサービス管理との相互作用を通じてデータの処理を指示しており、AWS はお客様の指示を実行しているにすぎないからです。データプロセッサーとして、AWS は、当社のすべてのサービスを実行するグローバルなインフラストラクチャの保護に対して責任を負います。AWS を使用する管理者は、エンドユーザーのコンテンツと個人データを処理するためのセキュリティ構成の管理を含めて、インフラストラクチャの保護は当社の最優先事項であり、セキュリティ上の統制を検証するためにサードパーティーの監査に多額の出資をしています。そこで明らかになった問題があれば、AWS Artifact を通じてお客様にお知らせすることになります。当社の ISO 27018 レポートはよい例であり、特に個人データの保護に重点を置いてセキュリティ管理をテストしています。
マネージドサービスに対する AWS の責任は大きくなっています。マネージドサービスには、Amazon DynamoDB、Amazon RDS、Amazon Redshift、Amazon Elastic MapReduce、Amazon WorkSpaces 等があります。ゲストオペレーティングシステム (OS) やデータベースのパッチ適用、ファイアウォール構成、障害回復等の基本的なセキュリティタスクは AWS が処理するため、運用上のオーバーヘッドを少なくし、同時にクラウドベースのリソースの拡張性と柔軟性を提供します。ほとんどのマネージドサービスでは、お客様は論理アクセスコントロールの構成とアカウント認証情報の保護のみを行い、個人データの管理と責任を維持します。
データコントローラーとしてのお客様と APN パートナーの責任 – AWS サービスのサポート方法
お客様は AWS 環境でデータコントローラーまたはデータプロセッサーとして行動できます。データコントローラーとしては、使用するサービスによって、GDPR コンプライアンスの要求事項を満たすようにそのサービスを構成する方法が決まる場合があります。例えば、Amazon EC2、Amazon VPC、Amazon S3 など Infrastructure as a Service (IaaS) として分類されている AWS のサービスはお客様が管理でき、サーバーがどこにある場合でも必要になる日常的なセキュリティ構成と管理をすべてお客様が実行する必要があります。Amazon EC2 インスタンスの場合、お客様は、ゲスト OS (更新とセキュリティパッチを含む)、インスタンスにインストールされているアプリケーションソフトウェアまたはユーティリティ、AWS が提供したファイアウォール (セキュリティグループと呼ばれる) の構成を管理する責任があります。
当社のインフラストラクチャを使用して、GDPR に従ったデータプロテクションバイデザインの原則を実現できるように、AWS アカウント認証情報を保護し、Amazon Identity and Access Management (IAM) を使用して、各ユーザーが自分の職務の遂行に必要な権限のみを付与されるように個々のユーザーアカウントを設定することをお薦めします。AWS のサービスでのすべてのデフォルトのセキュリティ管理とともに、各アカウントで多要素認証 (MFA) を使用すること、AWS リソースとの通信に SSL/TLS の使用を要求すること、AWS CloudTrail を使用した API/ユーザーアクティビティログ記録を設定すること、AWS 暗号化ソリューションを使用することもお薦めします。Amazon Macie 等の高度なマネージドセキュリティサービスも使用できます。このサービスは、Amazon S3 に格納されている個人データの検出と保護に役立ちます。
詳細については、AWS セキュリティのベストプラクティスのホワイトペーパーをダウンロードするか、AWS セキュリティリソースまたは 一般データ保護規則 (GDPR) センターの Web ページを参照してください。当社のソリューションとサービスに加えて、AWS APN パートナーは数百のツールと機能を提供することができ、ネットワークセキュリティや構成管理からアクセスコントロールやデータ暗号化まで、多岐にわたるお客様のセキュリティの目標を満たすことを支援します。
-Chad Woolf
Vice President, AWS Security Assurance
(翻訳:AWS Growth Strategies, セキュリティ・コンプライアンス マーケティング担当 戸内加奈。原文は The AWS Shared Responsibility Model and GDPR)