カナダデータプライバシー

概要

AWS のお客様は、カナダの連邦、州、および準州のプライバシー法に基づく義務を果たす方法で AWS 環境を設計および実装し、AWS サービスを利用できます。

AWS に保存するコンテンツの管理や閲覧については、常にお客様が制御します。AWS は、顧客が自社のサービスにアップロードしている内容 (そのデータがカナダのプライバシー法の対象と見なされるかどうかなど) を把握しておらず、お客様は適用法を確実に遵守する責任を負うものとします。

AWS はまた、国際的に適用され、個人データのプライバシーとセキュリティに関する各当事者の役割と義務に適切に対処するための特定の契約上のコミットメントを含む、データ転送契約とも呼ばれる国際的なデータ処理に関する補遺 (DPA) を提供します。

カナダには、個人情報の保護に関連するいくつかの法律があります。これらの法律の施行は、連邦、州、および準州レベルのさまざまな政府機関および機関によって処理されます。

連邦レベルでは、民間部門における個人情報の収集、使用、開示には個人情報保護および電子文書法（PIPEDA）が適用され、公共部門にはプライバシー法が適用される場合があります。カナダプライバシー委員会事務局（OPC）は、両方の法律の適用を監督しています。

カナダの州や準州では、公的部門と民間部門の両方を対象に独自のプライバシー法を採用しているほか、個人の健康情報などの特定の種類の個人データに特有のプライバシー法も採用しています。OPCのウェブサイトには、これらの州および準州の法律と当局の概要が記載されています。

カナダでのデータ処理を希望するお客様には、モントリオール近郊の AWS カナダ (中部) リージョンとカルガリー近郊のカナダ (西部) リージョンをご利用いただけます。AWS リージョンとご利用いただけるサービスの一覧については、グローバルインフラストラクチャのページをご覧ください。

よくある質問

• どのカナダのプライバシー法が自分のユースケースに適用されるかを顧客はどのように判断できますか？

  AWS のお客様が PIPEDA、ケベック法、またはカナダの州で制定されたその他のプライバシー要件の対象となるかどうか、および対象となる範囲については、お客様のビジネスによって異なります。お客様は、各自の法律顧問に相談して、対象となるプライバシー法について理解することをお勧めします。

• 顧客はどのようにして AWS のカナダのプライバシー法を遵守できますか?

  NB PHIPAA の対象となるお客様は、個人健康情報の収集、閲覧、使用、開示、保護に関する要件を遵守する義務を負います。AWS では、コンテンツの保護方法やアクセス権の設定など、AWS のサービスの使用時におけるコンテンツの保存または処理方法についてはお客様の管理に委ねています。AWS では、お客様が AWS に保存する個人健康情報のセキュリティを支援するために設定および使用できるサービスを提供しており、該当するプライバシー要件を満たしたソリューションを設計する責任はお客様にあります。

  AWS コンプライアンスのリソースページではワークブック、ホワイトペーパー、ベストプラクティスガイドを提供しており、お客様はAWS Artifact でサードパーティーによる AWS の監査レポートにオンデマンドでアクセスできます。

• AWS のお客様がカナダ国外に個人データを転送または保存することを禁止しているカナダのプライバシー法はありますか?

  お客様は、所属する法律顧問に相談して、どのカナダのプライバシー法またはその他の義務がお客様の組織やユースケースに適用されるかを判断する必要があります。

• カナダのプライバシー法では、個人情報の暗号化が義務付けられていますか？

  カナダのプライバシー法の対象となる事業体は、個人情報を保護するための措置を講じる必要があり、セキュリティとコンプライアンス上の義務を果たすために暗号化が必要かどうかを判断するのは各顧客の責任です。

  AWS では、ベストプラクティスとして、保存中および転送中のデータを暗号化することをお客様に推奨しています。その他のガイダンスについては、「保存中のデータおよび転送中のデータの暗号化」 を参照してください。

• コンテンツの保護についてお客様にはどのような役割がありますか?

  クラウドソリューションのセキュリティを評価する場合、お客様が次の点を理解して区別することが重要です。

  • AWS 側で実装および運用するセキュリティ対策 –「クラウドのセキュリティ」
  • • AWS のサービスを使用するお客様のコンテンツとアプリケーションのセキュリティが関連し、お客様が実装および運用するセキュリティ対策 – "クラウドにおけるセキュリティ"

  

  AWS の責任共有モデルの下で、AWS のお客様は、自身のコンテンツ、プラットフォーム、アプリケーション、システム、ネットワークを保護するためにどのようなセキュリティを実装するかについて管理権限を保持しており、これはオンサイトのデータセンターのそれとなんら変わることはありません。お客様は、AWS のセキュリティサービスや AWS Identity and Access Management (IAM) などの機能に加えて、暗号化や多要素認証などの使い慣れたセキュリティ対策を使用してデータを保護し、コンプライアンス要件に対応することができます。

• お客様のコンテンツには誰がアクセスできますか?

  お客様のコンテンツの所有権と管理権はお客様自身にあります。お客様のコンテンツが AWS のどのサービスによって処理され、保存され、ホストされるかはお客様自身が選択します。AWS は、お客様が選択した AWS サービスの維持または提供に必要な場合、または AWS 顧客契約に定められている法律または政府機関の拘束力のある命令を遵守するために必要な場合を除き、お客様のコンテンツにアクセスしたり使用したりしません。

  AWS のサービスを使用するお客様は、AWS 環境内のコンテンツを自分で管理します。具体的には、お客様は以下のことを行います。

  • コンテンツをどこに置くかを決定する (例えば、ストレージ環境の種類とそのストレージの地理的位置など)。
  • コンテンツの形式を管理する (例えば、プレーンテキスト、マスキング、匿名化、また AWS が提供する暗号化を利用するかまたはサードパーティー製の暗号化メカニズムを利用するか)。
  • AWS ID およびアクセス管理 (IAM) などのアクセス制御を管理します。
  • 不正アクセスを防ぐために、暗号化、Amazon Virtual Private Cloud (VPC) 機能、その他のネットワークとデータのセキュリティ対策を使用するかどうかを制御します。

  これにより、AWS のお客様は AWS 上のコンテンツのライフサイクル全体を管理し、また、コンテンツの分類、アクセスコントロール、保持と廃棄などお客様独自のニーズに応じてコンテンツを管理できます。

• カスタマーコンテンツはどこに保存されますか?

  AWS グローバルインフラストラクチャでは、ワークロードを実行する方法と実行場所を柔軟に選択できます。カスタマーコンテンツを保存する AWS リージョンはお客様が選択します。これによりお客様は、任意の場所に、その地理的要件に従って AWS のサービスをデプロイできます。他の柔軟なストレージオプションを見つけたい場合は、AWS リージョンのウェブページを参照してください。

  お客様のコンテンツを複数の AWS リージョンにレプリケートし、バックアップすることができます。法令または政府機関の法的拘束力ある命令を遵守するために必要な場合を除き、お客様の同意なしに、選択された AWS リージョンの外にユーザーのコンテンツを移動したり、レプリケートしたりすることはありません。ただし、すべての AWS リージョンですべての AWS のサービスを利用できるわけではありません。各 AWS リージョンで使用できるサービスについては、 AWS リージョナルサービスのウェブページをご覧ください。

• AWS は、システムを保護するためにどのようなセキュリティ対策を実施していますか?

  AWS は、アプリケーションとワークロードを構築、移行、管理するための最も安全なグローバルクラウドインフラストラクチャとして設計されています。このインフラストラクチャーは、AWS のサービスを運用するためのハードウェア、ソフトウェア、ネットワーキング、施設で構成されています。これにより、お客様と APN パートナーは、個人データを処理する際に、セキュリティ構成の統制などの強力な統制を利用できるようになります。

  また、サードパーティーの監査人は、AWS が ISO 27001、ISO 27017、ISO 27018 など、セキュリティのさまざまな規格や法規に準拠していることをテストおよび検証しており、AWS はそれらの監査人が作成したさまざまなコンプライアンスレポートをお客様に提供しています。カナダでは、AWS のサービスはカナダサイバーセキュリティセンターによっても評価されています。

  これらの対策の有効性に関する透明性を提供するために、当社では AWS Artifact からサードパーティーの監査レポートを入手できるようにしています。これらのレポートは、お客様が個人データを保存および処理する基盤となるインフラストラクチャを当社が保護していることをお客様に示しています。詳細については、コンプライアンスのリソースを参照してください。

• AWS ではデータセンターをどのように保護していますか。

  AWS のデータセンターセキュリティ戦略には、お客様の情報を保護できるようにスケーラブルなセキュリティ対策と多層型の防御対策が含まれています。例えば、AWS では、洪水や地震活動によるリスクに慎重に対応しています。AWS では、物理的な防壁、警備員、脅威検出技術、詳細なスクリーニングプロセスを使用して、データセンターへのアクセスを制限しています。AWS では、システムをバックアップし、機器やプロセスを定期的にテストしています。また、想定外の出来事に備えて、AWS の従業員のトレーニングを継続的に行っています。

  データセンターのセキュリティを検証するために、外部の監査人が年間を通じて 2,600 個以上の規格と要件に基づく試験を実施しています。このような独立した試験を実施することで、セキュリティ基準を満たす、またはそれを超えるセキュリティを絶えず維持できます。その結果、AWS は、世界で最も厳しい規制要件を持つ組織から、データ保護に関する信頼を得ています。

  AWS データセンターはその設計段階からセキュリティが考慮されています。詳細については、バーチャルツアーでご確認ください »