データ保護は、欧州のお客様への継続的なコミットメントです

データを保護する

お客様の信頼を獲得することは AWS でのビジネスの基盤であり、お客様にとって最も重要で機密性の高い資産であるお客様のデータを保護する上で、当社に信頼をお寄せいただいていることを認識しています。当社は、お客様と緊密に連携してデータ保護のニーズを理解し、お客様がデータを保護するのをサポートするために最も包括的なサービス、ツール、およびリソースのセットを提供します。このために、当社では、お客様のデータを保護するために必要な技術的、運用的、および契約上の措置を提供しています。AWS を使用すると、お客様は、自らのデータのプライバシーコントロールを管理し、データの使用方法を制御し、データへのアクセス権を持つユーザーを決定し、データの暗号化方法を制御できます。当社は、今日利用可能な中でも、最も柔軟で安全なクラウドコンピューティング環境でこれらの機能を支えています。

欧州のお客様のデータの保護に対する当社のコミットメント

  • データのコントロールとレジデンシー
  • AWS では、強力な AWS のサービスとツールを使用してデータをコントロールし、データの保存場所、データの保護方法、データへのアクセス権を持つユーザーを決定できます。AWS Identity and Access Management (IAM) などのサービスを使用すると、AWS のサービスとリソースへのアクセスを安全に管理できます。AWS CloudTrailAmazon Macie は、コンプライアンス、検出、および監査を可能にし、AWS CloudHSMAWS Key Management Service (AWS KMS) は、暗号化キーを安全に生成、管理できるようにします。AWS Control Tower は、データレジデンシーのガバナンスとコントロールを提供します。

  • データプライバシー
  • 当社では、高度なアクセス制御、暗号化、およびログ記録の機能など、独自のプライバシー制御を実装するサービスや機能によって、プライバシー保護の水準を継続的に引き上げています。AWS マネージドキーまたはユーザーによるフルマネージドキーを使用して、転送中および保存中のデータを簡単に暗号化できます。AWS の外部で生成および管理された独自のキーを使用することができます。当社は、データの収集、使用、アクセス、保存、および削除の方法など、 プライバシーを管理するための一貫性のあるスケーラブルなプロセスを実装しています。 AWS Well-Architected Framework のセキュリティの柱など、データを保護するために活用できるさまざまなベストプラクティスドキュメント、トレーニング、およびガイダンスを提供しています。 当社では、 AWS カスタマーアグリーメントおよび AWS GDPR データ処理補遺条項 (AWS GDPR DPA) に記載されているとおり、お客様からの文書化された指示に基づいてのみお客様のデータ (お客様が AWS アカウントにアップロードした個人データ) を処理し、お客様の同意を得ることなくお客様のコンテンツにアクセスしたり、当該コンテンツを利用または共有したりすることはありません。GDPR の適用を受ける何千ものお客様が、これらのタイプのワークロードのために AWS のサービスを利用しています。当社は、クラウドセキュリティに関する ISO 27017 やプライバシー情報管理の ISO 27701、 クラウドプライバシーの ISO 27018 など、厳格な国際標準に準拠していることを実証する、国際的に認められた認証および認定を取得しています。当社は、マーケティングまたは広告の目的でお客様のデータを利用したり、そこから情報を引き出したりすることはありません。
     
    詳細については、 データプライバシーセンターをご覧ください。
  • データ主権
  • お客様は、欧州リージョン (フランス、ドイツ、アイルランド、イタリア、スペイン、およびスウェーデンの欧州リージョンを含む) の 1 つ以上のリージョンに顧客データを保存することを選択できます。また、顧客データをスイスや英国のリージョンに保存することも選択できます。スイスと英国の両方が、個人データの転送に関して GDPR に基づいて現在適切な決定を下しています。また、AWS のサービスは、お客様が選択する AWS リージョンに顧客データが維持されるという確信を持って使用していただけます。一部の AWS のサービスにはデータの転送が伴い、例えば、これらのサービスを開発し、改善するため (この場合は転送をオプトアウトできます)、またはコンテンツ配信サービスなど、転送がサービスの不可欠な部分であることから転送が行われます。AWS では、いかなる目的 (サービスメンテナンスを含む) においても、AWS の職員による顧客データへのリモートアクセスを禁止しており、AWS のシステムもそのようなアクセスを防止するように設計されています。ただし、お客様からこのようなアクセスを要請された場合、または不正行為や悪用を防止するため、もしくは法令を遵守するためにアクセスが必要となる場合を除きます。当社は、重要な EU のプライバシー、ポータビリティ、およびデジタル主権プログラムにコミットしています。これには、Cloud Infrastructure Services Providers in Europe (CISPE) Code of Conduct、欧州委員会の標準契約条項 (SCC) 、SWIPO Infrastructure as a Service (IaaS) Code of Conduct、および GAIA-X が含まれます。

  • セキュリティ
  • AWS では、セキュリティが最優先事項であり、クラウドのセキュリティは AWS とお客様の間における共有責任です。Amazon GuardDuty、または EC2 インスタンスの基盤となるプラットフォームである AWS Nitro System のいずれを使用する場合でも、当社の包括的なサービスを使用して、コアセキュリティ、機密性、およびコンプライアンスの要件を満たす能力を強化できます。Nitro システムは、ワークロードの機密性を保ち、オペレーターがアクセスできないように設計されています。Nitro System では、システムやユーザーが EC2 サーバーにログインしたり、EC2 インスタンスのメモリを読み取ったり、インスタンスストレージや暗号化された EBS ボリュームに保存されているデータにアクセスしたりするメカニズムはありません。さらに、AWS CloudHSMAWS Key Management Service などのサービスにより、暗号化キーを安全に生成および管理でき、AWS ConfigAWS CloudTrail は、コンプライアンスと監査のためのモニタリング機能とログ記録機能を提供します。

    当社は、Cloud Computing Compliance Controls Catalog (C5)Esquema Nacional de Seguridad (ENS) などの国際的に認められた標準に準拠しています。また、当社では、PCI-DSSHDS (フランス)および TISAX (EU オートモーティブ) などの認定を取得しており、EU 全域の規制当局のコンプライアンス要件を満たすようサポートしています。金融サービス事業者やヘルスケア事業者および政府機関を含むお客様が AWS を信頼し、機密性の非常に高い情報を預けてくださっています。

    AWS のセキュリティ、アイデンティティ、コンプライアンスサービスの詳細については、こちらをご覧ください。

欧州のお客様のデータの保護に対する当社のコミットメント

データのコントロールとレジデンシー

AWS では、強力な AWS のサービスとツールを使用してデータをコントロールし、データの保存場所、データの保護方法、データへのアクセス権を持つユーザーを決定できます。AWS Identity and Access Management (IAM) などのサービスを使用すると、AWS のサービスとリソースへのアクセスを安全に管理できます。AWS CloudTrailAmazon Macie は、コンプライアンス、検出、および監査を可能にし、AWS CloudHSMAWS Key Management Service (AWS KMS) は、暗号化キーを安全に生成および管理できるようにします。AWS Control Tower は、データレジデンシーのガバナンスとコントロールを提供します。

データプライバシー

当社では、高度なアクセス制御、暗号化、およびログ記録の機能など、独自のプライバシー制御を実装するサービスや機能によって、プライバシー保護の水準を継続的に引き上げています。AWS マネージドキーまたはユーザーによるフルマネージドキーを使用して、転送中および保存中のデータを簡単に暗号化できます。AWS の外部で生成および管理された独自のキーを使用することができます。当社は、データの収集、使用、アクセス、保存、および削除の方法など、 プライバシーを管理するための一貫性のあるスケーラブルなプロセスを実装しています。 AWS Well-Architected フレームワークのセキュリティの柱など、データを保護するために活用できるさまざまなベストプラクティスドキュメント、トレーニング、およびガイダンスを提供しています。 当社では、 AWS カスタマーアグリーメントおよび AWS GDPR データ処理補遺条項 (AWS GDPR DPA) に記載されているとおり、お客様からの文書化された指示に基づいてのみお客様のデータ (お客様が AWS アカウントにアップロードした個人データ) を処理し、お客様の同意を得ることなくお客様のコンテンツにアクセスしたり、当該コンテンツを利用または共有したりすることはありません。GDPR の適用を受ける何千ものお客様が、これらのタイプのワークロードのために AWS のサービスを利用しています。当社は、クラウドセキュリティに関する ISO 27017 やプライバシー情報管理の ISO 27701、 クラウドプライバシーの ISO 27018など、厳格な国際標準に準拠していることを実証する、国際的に認められた認証および認定を取得しています。当社は、マーケティングまたは広告の目的でお客様のデータを利用したり、そこから情報を引き出したりすることはありません。
 
詳細については、 データプライバシーセンターをご覧ください。

データ主権

お客様は、欧州リージョン (フランス、ドイツ、アイルランド、イタリア、スペイン、およびスウェーデンの欧州リージョンを含む) の 1 つ以上のリージョンに顧客データを保存することを選択できます。また、顧客データをスイスや英国のリージョンに保存することも選択できます。スイスと英国の両方が、個人データの転送に関して GDPR に基づいて現在適切な決定を下しています。また、AWS のサービスは、お客様が選択する AWS リージョンに顧客データが維持されるという確信を持って使用していただけます。一部の AWS のサービスにはデータの転送が伴い、例えば、これらのサービスを開発し、改善するため (この場合は転送をオプトアウトできます)、またはコンテンツ配信サービスなど、転送がサービスの不可欠な部分であることから転送が行われます。AWS では、いかなる目的 (サービスメンテナンスを含む) においても、AWS の職員による顧客データへのリモートアクセスを禁止しており、AWS のシステムもそのようなアクセスを防止するように設計されています。ただし、お客様からこのようなアクセスを要請された場合、または不正行為や悪用を防止するため、もしくは法令を遵守するためにアクセスが必要となる場合を除きます。当社は、重要な EU のプライバシー、ポータビリティ、およびデジタル主権プログラムにコミットしています。これには、Cloud Infrastructure Services Providers in Europe (CISPE) Code of Conduct、欧州委員会の標準契約条項 (SCC) 、SWIPO Infrastructure as a Service (IaaS) Code of Conduct、および GAIA-X が含まれます。

AWS の契約は、わかりやすく平易な文言で規定されており、顧客データの保護に関して、他のクラウドプロバイダーから提供されるものを上回るコミットメントを規定しています。お客様に対する当社の強化されたコミットメントは、法執行機関の要求に異議を申し立ててきた当社の長年の経験に基づいています。AWS GDPR DPA の補足のための補遺に記載されているとおり、欧州経済領域 (EEA) の内外を問わず、政府機関から顧客データに関する法執行機関の要求を受け取った場合、当社は、要求が広範過ぎる場合、または要求が EU の法令と矛盾しているなど、異議を申し立てるための適切な根拠がある場合、要求に異議を申し立てるようコミットしています。また、当社は、AWS が法執行機関から受け取る情報の要求の種類と数を説明する年 2 回の情報の要求に関するレポートも提供しています。

当社は、EU のお客様のデータを保護するという当社のコミットメントの透明性を維持しています。AWS の「GDPR Data Processing Addendum (AWS GPDR DPA)」(GDPR データ処理補遺条項) (標準契約条項を含む) は、一般データ保護規則 (GDPR) の対象となるお客様に自動的に適用されます。さらに、「AWS GDPR Data Processing Addendum」(AWS GDPR データ処理補遺条項) に対する「UK GDPR Addendum」(UK GDPR 補遺) は、「UK Customer Data」(英国の顧客データ) (AWS UK GDPR 補遺で定義) を処理するための AWS のサービスの利用に UK GDPR が適用される場合に適用されます。AWS は、継続的なコミットメントの一環として、AWS のサービスのプライバシー機能に関するリソースを提供しています。これは、お客様に対するサービスのメンテナンスとプロビジョニングに、お客様が顧客データを保存するために選択した AWS リージョン外への顧客データの転送が伴うかどうかを判断するために役立ちます。これらのリソースは、GDPR を含む規制への準拠 (およびコンプライアンスの実証) を容易にします。また、「Schrems II」に準拠した個人データの転送に関する欧州データ保護会議 (EDPB) の推奨事項に従ってデータ転送評価を完了するためにも役立ちます。お客様は、欧州以外では顧客データを保存および処理しない AWS のサービスの使用を選択することができます。AWS の GDPR センターにリンクされています。

セキュリティ

AWS では、セキュリティが最優先事項であり、クラウドのセキュリティは AWS とお客様の間における共有責任です。Amazon GuardDuty、または EC2 インスタンスの基盤となるプラットフォームである AWS Nitro System のいずれを使用する場合でも、当社の包括的なサービスを使用して、コアセキュリティ、機密性、およびコンプライアンスの要件を満たす能力を強化できます。Nitro システムは、ワークロードの機密性を保ち、オペレーターがアクセスできないように設計されています。Nitro System では、システムやユーザーが EC2 サーバーにログインしたり、EC2 インスタンスのメモリを読み取ったり、インスタンスストレージや暗号化された EBS ボリュームに保存されているデータにアクセスしたりするメカニズムはありません。さらに、AWS CloudHSMAWS Key Management Service などのサービスにより、暗号化キーを安全に生成および管理でき、AWS ConfigAWS CloudTrail は、コンプライアンスと監査のためのモニタリング機能とログ記録機能を提供します。

当社は、Cloud Computing Compliance Controls Catalog (C5)Esquema Nacional de Seguridad (ENS) などの国際的に認められた標準に準拠しています。また、当社では、PCI-DSSHDS (フランス)および TISAX (EU オートモーティブ) などの認定を取得しており、EU 全域の規制当局のコンプライアンス要件を満たすようサポートしています。金融サービス事業者やヘルスケア事業者および政府機関を含むお客様が AWS を信頼し、機密性の非常に高い情報を預けてくださっています。

AWS のセキュリティ、アイデンティティ、コンプライアンスサービスの詳細については、こちらをご覧ください。

妥協なきコントロール

AWS クラウドの機能、パフォーマンス、革新性、規模を犠牲にすることなく、デジタル主権の要件を満たすことができます。

欧州のお客様のイノベーションを促進する

欧州のデータ移転要件に関する注視

データ転送の評価を実施をするために AWS が提供するサービスとリソースについて学びます。 これらのリソースは、GDPR の対象となる個人データの転送に関する「SchremsII」の決定、その後の欧州データ保護委員会からの推奨事項、および AWS が講じた主要な補足措置を参照して作成されました。

欧州のデータ移転要件 - 補足措置の例

AWS Digital Sovereignty Pledge: 妥協のないコントロール

AWS Digital Sovereignty Pledge

IDC ホワイトペーパー - Trusted Cloud: Overcoming the Tension Between Data Sovereignty and Accelerated Digital Transformation (Trusted Cloud: データ主権と加速するデジタルトランスフォーメーションの関係)

IDC ホワイトペーパー - Trusted Cloud: Overcoming the Tension Between Data Sovereignty and Accelerated Digital Transformation (Trusted Cloud: データ主権と加速するデジタルトランスフォーメーションの関係)

欧州のデータ移転要件のコンプライアンスに対応
データプライバシーセンター

データプライバシーセンター

GDPR センター

GDPR センター