一般データ保護規則 (GDPR) センター


概要

欧州連合の一般データ保護規則 (GDPR) は、欧州連合のデータ主体のプライバシーに関する基本的な権利を保護し、個人データの保護を強化するものです。GDPR により、データの保護、セキュリティ、コンプライアンスに関する基準が引き上げられ、これらを統一する厳格な要求事項が導入されます。

すべての AWS のサービスが GDPR に対応 – 続きを読む

AWS では、AWS 自体のコンプライアンスに加え、お客様のアクティビティに適用される可能性がある GDPR の要求事項にお客様が準拠できるよう支援するために、サービスとリソースを提供します。また、新しい機能を定期的にリリースしており、セキュリティとコンプライアンスに焦点を当てた機能やサービスが 500 個以上あります。

お客様の AWS 環境が GDPR に準拠するための支援

AWS では、お客様が GDPR に準拠する際に活用できる機能やサービスを提供しています。

AWS でデータを暗号化します。

  • AES256 (EBS/S3/Glacier/RDS) による保管中のデータの暗号化
  • 一元化されたマネージド型キー管理 (AWS リージョン別)
  • VPN ゲートウェイによる AWS への IPsec トンネル
  • AWS CloudHSM によるクラウド内の専用 HSM モジュール

AWS リソースにおけるアクティビティの概要を取得します。

  • AWS Config によるアセットの構成と管理
  • AWS CloudTrail による監査とセキュリティ分析
  • Amazon VPC フローログによるネットワーク内のフローに関する詳細情報
  • AWS Config ルールによるルールベースの構成チェックおよびアクション
  • AWS CloudFront の AWS WAF 機能による、アプリケーションへの HTTP アクセスのフィルタリングとモニタリング

承認済みの管理者、ユーザー、アプリケーションのみを許可します。

  • 多要素認証 (MFA)
  • Amazon S3、Amazon SQS、Amazon SNS のオブジェクトへのきめ細かいアクセス権
  • API リクエストの認証
  • 地域制限
  • AWS Security Token Service による一時的なアクセストークン

お客様がカスタマーコンテンツを管理します。AWS を使うお客様は、次のことを行います。

  • カスタマーコンテンツの保存先 (ストレージのタイプや地理的リージョンなど) を決定する。
  • カスタマーコンテンツの安全な状態を確保する方法を選択する。AWS では、伝送中または保管中のカスタマーコンテンツ向けの強力な暗号化機能を提供しています。また、お客様が、暗号化キーを自分で管理することもできます。
  • お客様が管理するユーザー、グループ、権限、認証情報によって、カスタマーコンテンツ、ならびに AWS のサービスとリソースへのアクセス権を管理する。

SbD アプローチにより、次のことを実現できます。

  • 機能の変更を許可されていないユーザーが上書きすることのできない強制的機能を作成する。
  • 信頼性の高い統制運用方法を確立する。
  • 継続的でリアルタイムな監査を実施する。
  • お客様のガバナンスポリシーを技術的にスクリプト化する。

AWS のセキュリティは業界トップクラスであり、これにより国際的に認知されている認証や認定を多数受けています (これらの認証や認定は、技術的対策に関する ISO 27001、クラウドセキュリティに関するISO 27017、クラウドプライバシーに関する ISO 27018SOC 1、SOC 2、および SOC 3 PCI DSS レベル 1、および BSI のコモンクラウドコンピューティングコントロールカタログ (C5) や ENS 高レベルなどの EU 固有の認証といった厳しい国際基準への準拠を実証しています。また、AWS は最近、CISPE Code of Conduct への準拠も発表しました。

AWS のサービスを活用する

Amazon Macie

個人識別情報 (PII) を事前に保護し、データの移動を把握します。

Amazon Macie の詳細 »

AWS Identity and Access Management (IAM)

AWS のユーザーとグループを作成および管理し、権限を使用して AWS リソースへのアクセスを許可または拒否します。

AWS IAM の詳細 »

AWS Config

コンプライアンス監査、セキュリティ分析、変更管理、運用上のトラブルシューティングを簡略化します。

AWS Config の詳細 »

Amazon Inspector のご紹介 (日本語)

アプリケーションの標準とベストプラクティスを定義し、これらの標準への準拠を検証します。

Amazon Inspector の詳細 »

Amazon GuardDuty のご紹介 (日本語)

インテリジェントな脅威検出と継続的なモニタリングにより、AWS のアカウントとワークロードを保護します。

Amazon GuardDuty の詳細 »

AWS Key Management Service (KMS)

データの暗号化に使用するキーを簡単に作成および管理します。

AWS KMS の詳細 »

GDPR のよくある質問

  • GDPR とは何ですか?

    一般データ保護規則 (GDPR) は、2018 年 5 月 25 日に施行されるヨーロッパの新しいプライバシー法です。GDPR は、指令 95/46/EC としても知られる EU データ保護指令に取って代わるもので、拘束力を持つ 1 つのデータ保護法を各加盟国に適用することにより、欧州連合 (EU) 全体でデータ保護法を統一することを目的としています。

  • GDPR の適用対象は誰ですか??

    GDPR は、EU で設立されたすべての組織に適用されます。また、EU で設立されたかどうかに関わらず、EU 内のデータ主体への商品やサービスの提供、または EU 内で行われる行為の監視活動のいずれかに関連して、EU 内のデータ主体の個人データを処理する組織にも適用されます。個人データとは、特定された、または特定できる自然人に関係するすべての情報のことです。

  • GDPR が施行された後、現在の EU データ保護法はどうなりますか?

    GDPR が、既存のデータ保護指令 (欧州指令 95/46/EC) に取って代わります。2018 年 5 月 25 日から、既存のデータ保護指令およびそれに関する法律は無効となります。

  • AWS は GDPR に備えてどのような準備をしていますか?

    AWS コンプライアンス、データ保護およびセキュリティの専門家は、世界中のお客様の質問にお答えし、GDPR が施行された後、AWS クラウドでワークロードを実行するための準備をお手伝いさせていただきます。また、これらのチームは、GDPR の要求事項を満たすために AWS のサービスの対応をレビューし、AWS のすべてのサービスが GDPR に準拠していることを確認してきました。

    さらに、AWS は、GDPR の要求事項を満たす新しいデータ処理契約 (GDPR DPA) も用意しています。この GDPR DPA は、AWS サービス条件に組み込まれ、GDPR に準拠する必要のあるすべてのお客様に自動的に適用されます。

    最近、AWS は CISPE Code of Conduct (CISPE の行動規範) への準拠についても発表しました。CISPE Code of Conduct は、クラウドインフラストラクチャープロバイダーが GDPR に基づくデータ保護義務にどのように準拠しているかをクラウド顧客が評価するのに役立ちます。AWS では、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、 Amazon Relational Database Service (Amazon RDS)、AWS Identity and Access Management (IAM)、AWS CloudTrail、および Amazon Elastic Block Storage (Amazon EBS) が CISPE 規範に完全に準拠していると宣言しています。これは、AWS を使用する際に、安全性、セキュア、かつ規範への準拠性の高い環境でデータを完全に制御する能力に関して保証をお客様に提供するものです。CISPE Code of Conduct への AWS の準拠についての詳細は、ウェブサイト: https://cispe.cloud/ をご覧ください。

    AWS は、グローバルな業務全般にわたり、セキュリティとコンプライアンスに関して高い水準を継続的に維持しています。セキュリティは常に私たちの最優先事項であり、煩雑なものと考えておりません。業界をリードする私たちのセキュリティは、国際的に認知されている認証および認定の基盤を提供し、クラウドセキュリティに関する ISO 27017、クラウドプライバシーに関する ISO 27018、SOC 1、SOC 2 およびSOC 3、PCI DSS レベル 1 などの厳しい国際基準への準拠を実証しています。また、AWS は、ローカルなセキュリティ基準へのお客様の対応も支援します。例えば、ドイツ政府発行の認証である BSI のコモンクラウドコンピューティングコントロールカタログ (C5) などがあります。

  • AWS は GDPR の要求事項に沿って、Code of Conduct に準拠していますか?

    AWS は、CISPE Data Protection Code of Conduct への準拠について発表しました。CISPE は、ヨーロッパの顧客にクラウドサービスを提供する連立クラウドインフラストラクチャー (サービスとしてのインフラストラクチャーとしても知られている) プロバイダーです。CISPE Code of Conduct は、お客様のクラウドインフラストラクチャープロバイダーが適切なデータ保護基準を使用し、GDPR に準拠したデータの保護を保証するのに役立ちます。この規範には次の重要な利点があります。

    • データ保護に関する責任の所在が明確になります。Code of Conduct は、特にクラウドインフラストラクチャーサービスの文脈において、GDPR に基づくプロバイダーおよびお客様双方の役割を説明します。
    • Code of Conduct では、プロバイダーが準拠する必要のある原則が定められています。Code of Conduct では、プロバイダーが GDPR に準拠し、かつお客様がこれに準拠することを支援するために引き受けるべき行動と義務について概説されています。
    • Code of Conduct では、データ保護とデータセキュリティに関連して、コンプライアンスに関する決定を下すのに必要な情報がお客様に提供されます。Code of Conduct では、プロバイダーがセキュリティ義務を守るために取っている手順について透明性を保つことが要求されます。これらの手順には、データの侵害、データの削除およびサードパーティによるサブプロセス、法の執行および政府の要請について通知することが含まれます。お客様はこの情報を使用し、高レベルなセキュリティが提供されていることを完全に理解できます。

    AWS における法的処置の要求の取り扱いに関する考慮事項については、"AWS でのデータレジデンシーの対応"をご覧ください。

  • GDPR によって EU で運営する組織はどのように変化しますか?

    GDPR の重要な側面の 1 つは、個人データの安全な処理、使用、変換の方法について、EU 加盟国間で一貫性を持たせることです。各組織は、強固な技術的対策と組織的対策、ならびにコンプライアンスポリシーを実装し、これらを定期的にレビューすることにより、処理対象のデータのセキュリティと GDPR への継続的な準拠について実証する必要があります。

  • GDPR への準拠をサポートするために AWS がお客様に提供するサービスにはどのようなものがありますか?

    AWS は、お客様が GDPR の要求事項を満たすことができるようサポートするため、いくつかの機能とサービスを既に提供しています。それらには次のようなものがあります。

    アクセスコントロール: 承認済みの管理者、ユーザー、アプリケーションにのみ AWS リソースへのアクセスを許可する

    • 多要素認証 (MFA)
    • Amazon S3 バケット、Amazon SQS、Amazon SNS などのオブジェクトへのきめ細かいアクセス権
    • API リクエストの認証
    • 地域制限
    • AWS Security Token Service による一時的なアクセストークン

    モニタリングとログ記録: AWS リソースにおけるアクティビティの概要を取得する

    • AWS Config によるアセットの構成と管理
    • AWS CloudTrail によるコンプライアンス監査とセキュリティ分析
    • AWS Trusted Advisor による構成上の課題の特定
    • Amazon S3 オブジェクトへのアクセスのきめ細かなログ記録
    • Amazon VPC フローログによるネットワーク内のフローに関する詳細情報
    • AWS Config ルールによるルールベースの構成チェックおよびアクション
    • AWS CloudFront の AWS WAF 機能による、アプリケーションへの HTTP アクセスのフィルタリングとモニタリング

    暗号化: AWS でデータを暗号化する

    • AES256 (EBS/S3/Glacier/RDS) による保管中のデータの暗号化
    • 一元化されたマネージド型キー管理 (AWS リージョン別)
    • VPN ゲートウェイによる AWS への IPsec トンネル
    • AWS CloudHSM によるクラウド内の専用 HSM モジュール

    厳格なコンプライアンスフレームワークとセキュリティ規格:

    • ISO 27001/9001 認証
    • ISO 27017/27018 認証
    • クラウドコンピューティングコンプライアンスコントロールカタログ (C5 – ドイツ政府が支援する認証スキーム)
    • AWS と監査人である TÜV TRUST IT は、Customer Certification Workbook を公開して、クラウド内で German BSI IT Grundschutz コンプライアンスを達成するためのガイダンスを提供
  • GDPR に備えてどのような準備をすることができますか?

    GDPR への準拠について考慮する際に役立つ主な点は次のとおりです。

    • 適用範囲: 組織が GDPR のコンプライアンス義務を確実に果たすことができるようにするには、GDPR が組織の活動に適用されるかどうかを判断することが不可欠です。GDPR は、EU で設立された組織すべてに適用されますが、活動によっては、EU 外で設立された組織にも適用される場合があります。
       
    • データ主体の権利: GDPR では、いくつかの方法でデータ主体の権利が強化されます。例えば、データ主体には、データの処理について異議を唱える権利やデータポータビリティの権利があります。GDPR の対象である組織が個人データを処理する場合は、データ主体の権利を侵害しないことを確認する必要があります。
       
    • データ侵害の通知: データ侵害が発生した場合は、不当に遅滞することなく、可能な場合はデータ侵害を検知してから 72 時間以内に、その侵害についてデータ保護機関に報告する必要があります。AWS を使用すると、個人データの処理と保護の方法を管理できます。これにより、GDPR の要求どおり、使用中の環境におけるプライバシー侵害を監視し、規制機関と侵害された個人にその侵害について通知できるようになります。また、AWS がデータ処理者である場合は、(i) 自分のアカウントで AWS のサービスにアップロードした個人データの偶発的または違法な破壊、漏洩、変更、不正開示、またはアクセスにつながることに関連する、AWS のセキュリティ基準の違反、または (ii) 結果として自分のアカウントで AWS のサービスにアップロードした個人データの破壊、漏洩、不正開示、または変更が生じるかどうかを問わず、AWS の機器または施設への不正アクセスのいずれかを検知した場合は、不当に遅滞することなく、その違反についてお客様に通知します。
       
    • データ保護担当者 (DPO): 場合によっては、DPO を指名する必要があります。DPO は、個人データの処理に関連して、データセキュリティなど問題を管理する必要があります。
       
    • データ保護影響評価 (DPIA): 場合によっては、お客様の処理活動に関して DPIA を実施し、結果を監督機関に提出する必要があります。そのためには、データ処理の手順とプロセス、ならびに個人データの保護のために実装している統制を特定する必要があります。
       
    • データ処理契約 (DPA): 特に個人データが EEA 外に転送される場合、GDPR の要求事項を満たす DPA が必要な場合があります。AWS は、AWS サービス条件に組み込まれている GDPR DPA をお客様に提供します。これは、GDPR に準拠する必要のあるすべてのお客様に自動的に適用されます。AWS は、お客様が GDPR の要求事項を満たすために役立つ幅広いサービスや特定のサービス機能を提供しています。これには、アクセスコントロール、モニタリング、ログ記録、暗号化のためのサービスが含まれます。これらの詳細については、上記の「GDPR への準拠をサポートするために AWS がお客様に提供するサービスにはどのようなものがありますか?」セクションをご覧ください。

    また、AWS には、コンプライアンス、データ保護、セキュリティの専門家チーム、ならびに AWS パートナーのチームもあり、お客様の質問に回答し、GDPR が施行された後にお客様がクラウド内でワークロードを実行するための準備をサポートしています。詳細については、AWS アカウントマネージャーにお問い合わせください。

  • AWS はデータ処理補遺条項 (DPA) を提供していますか?

    はい。AWS は GDPR に準拠したデータ処理補遺条項 (GDPR DPA) を提供しています。お客様は、これを使用することで、GDPR の契約上の義務に準拠できるようになります。この GDPR DPA は、AWS サービス条件に組み込まれ、GDPR に準拠する必要のあるすべてのお客様に自動的に適用されます。

  • AWS のサービスは GDPR に準拠していますか?

    AWS のサービスは一般データ保護規則 (GDPR) に準拠しています。つまり、お客様は、サービスのセキュリティを維持するために AWS が既に実施している対策をすべて利用できることに加え、GDPR への準拠計画の主要な部分として AWS のサービスをデプロイできることになります。詳細については、AWS セキュリティブログ (https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/) で AWS のサービスの GDPR への準拠に関する発表をご覧ください。

  • GDPR における AWS の役割について教えてください。AWS はデータ処理者ですか、それともデータ管理者ですか?

    AWS は、GDPR に基づいて、データ処理者とデータ管理者の両方の活動を行います。

    • データ処理者としての AWS – お客様および AWS パートナーネットワーク (APN) のパートナーが AWS のサービスを使用してコンテンツ内の個人データを処理する場合、AWS はデータ処理者として行動します。お客様と APN パートナーは、個人データを処理するために、AWS のサービスで提供される統制 (セキュリティ構成の統制など) を使用できます。このような場合、お客様や APN パートナーはデータ管理者またはデータ処理者として行動し、AWS はデータ処理者または補助処理者として行動します。AWS は、GDPR に準拠したデータ処理補遺条項 (DPA) を提供しており、これにはデータ処理者としての AWS の義務が規定されています。
    • データ管理者としての AWS – AWS は個人データを収集し、その個人データを処理するための目的と方法を判断します。例えば、AWS が、お客様をサポートするために AWS アカウントのアカウント情報 (アカウントの登録、管理、サービスへのアクセス、連絡先などの情報) を保存する場合、AWS はデータ管理者として行動することになります。
  • GDPR は AWS の責任共有モデルにどのように影響しますか?

    AWS の責任共有モデルが GDPR によって変わることはなく、クラウドコンピューティングサービスの使用に重点を置くお客様と APN パートナーにとって引き続き重要になります。責任共有モデルは、GDPR に基づいた AWS のさまざまな責任 (データの処理者または補助処理者として)、ならびにお客様と APN パートナーの責任 (データ管理者またはデータ処理者として) を説明するために役立つアプローチです。

    責任共有モデルにおいて、AWS には、クラウドをサポートする基盤となるインフラストラクチャーを保護する責任があります。一方、お客様と APN パートナーは、データ管理者またはデータ処理者として行動し、クラウドに配置する個人データすべてに対して責任を負います。

    データ処理者としての AWS の責任

    AWS には、AWS クラウドで提供するサービスすべてを実行するグローバルインフラストラクチャーを保護する責任があります。このインフラストラクチャーは、AWS のサービスを運用するためのハードウェア、ソフトウェア、ネットワーク、施設で構成されています。これにより、お客様と APN パートナーは、カスタマーコンテンツを処理する際に、セキュリティ構成の統制などの強力な統制を利用できるようになります。このインフラストラクチャーを保護することは AWS の最優先事項です。サードパーティの監査人は、AWS がコンピュータセキュリティのさまざまな規格や法規に準拠していることを検証しており、AWS はそれらの監査人が作成したさまざまなコンプライアンスレポートをお客様に提供しています (詳細については、https://aws.amazon.com/compliance をご覧ください)。お客様と APN パートナーは、これらのレポートから、AWS で処理される個人データを AWS が保護していることを理解できます。例えば、AWS は、ISO 27001、27017、27018 といった規格に準拠しています。ISO 27018 規格では、個人データの保護に重点を置いたセキュリティ統制が規定されています。AWS による ISO 27108 規格への準拠に関する詳細については、https://aws.amazon.com/compliance/iso-27018-faqs/ をご覧ください。

    また、AWS は、マネージド型サービスと見なされる技術のセキュリティ構成についても責任を負います。これには、Amazon DynamoDB、Amazon RDS、Amazon Redshift、Amazon Elastic MapReduce といったいくつかのサービスが含まれます。これらのサービスでは、クラウドベースのリソースの拡張性と柔軟性に加えて、マネージド型であるというメリットを享受できます。このようなサービスの場合、オペレーティングシステム (OS) のセキュリティとデータベースへのパッチ適用、ファイアウォールの構成、災害対策といった基本的なセキュリティタスクは AWS が処理します。マネージド型サービスにおいて、リソースに対する論理アクセスコントロールの設定とアカウント認証情報の保護は、お客様や APN パートナーが行います。データベースのユーザーアカウントの設定といったタスクが別途必要になる場合もありますが、セキュリティ構成の作業は概ねサービスで自動的に実行されます。これらのすべてのサービスにおいても、クラウドに配置する個人データすべてに対して責任を負うのは、お客様や APN パートナーです。

    また、AWS は、GDPR に準拠したデータ処理補遺条項 (DPA) を提供しており、これは AWS のデータ処理者としての義務に含まれるものです。この DPA は、コンプライアンスのニーズをサポートするため、すべてのお客様と APN パートナーが利用できます。新しい GDPR DPA についての詳細とコピーの入手方法については、AWS アカウントマネージャーにお問い合わせください。

    お客様と APN パートナーのデータ管理者としての責任 – AWS のサービスが役立つ方法:

    お客様と APN パートナーは、AWS クラウドにより、仮想のサーバー、ストレージ、データベース、デスクトップを数分でプロビジョニングできます。これは、通常であれば数週間かかる作業です。また、クラウドベースの分析ツールやワークフローツールを使用し、必要に応じてデータを処理してから、自社のデータセンターまたはクラウドにそのデータを保存できます。AWS のサービスを使用するお客様と APN パートナーは、GDPR の責任の一環としてどの程度の構成作業を実行する必要があるかを判断します。Infrastructure as a Service (IaaS) のカテゴリに分類される AWS 製品 (Amazon EC2、Amazon VPC、Amazon S3 など) については、お客様または APN パートナーがすべて管理することになり、セキュリティに必要な構成タスクと管理タスクすべてを実行する必要があります。例えば、EC2 インスタンスでは、サーバーの設置場所にかかわらず、各インスタンスにおいて、ゲスト OS (アップデートやセキュリティパッチ適用を含む)、インスタンスにインストールしたアプリケーションソフトウェアまたはユーティリティ、AWS から提供されるファイアウォール (セキュリティグループと呼ばれる) の構成を管理し、必要なセキュリティタスクを実行する責任があります。

    お客様と APN パートナーには、設計とデフォルト原則によってデータの保護を実現するために、Amazon Identity and Access Management (IAM) を使って AWS アカウントの認証情報を保護し、個々のユーザーアカウントを設定することをお勧めします。これにより、各ユーザーが自分の認証情報を所有し、データに対する権限ベースのアクセスと職務の分離をユーザーロールごとに実装できるようになります。また、各アカウントに多要素認証 (MFA) を使用すること、AWS リソースとの通信に SSL/TLS の使用を必須とすること、AWS CloudTrail を使って API やユーザーのアクティビティログを記録するように設定すること、AWS のサービス内で AWS の暗号化ソリューションやその他のセキュリティ統制を使用することもお勧めします。さらに、お客様と APN パートナーは、GDPR への準拠を実現するために、アカウントとインフラストラクチャーのセキュリティを確保する Amazon GuardDuty、Amazon S3 に保存された個人データの検出と保護をサポートする Amazon Macie など、高度なセキュリティサービスを使用することもできます。

    お客様が実施できる追加対策と AWS が提供するソリューションに関する詳細については、AWS セキュリティのベストプラクティスのホワイトペーパーと、AWS セキュリティリソースのウェブページ (https://aws.amazon.com/security/) で推奨されるドキュメントをご覧ください。

  • GDPR と AWS に関する質問がある場合は、誰に問い合わせるとよいですか?

    データ保護ならびに AWS と GDPR の関係についてご質問があるお客様と APN パートナーは、AWS アカウントマネージャーにまずお問い合わせください。エンタープライズサポートにサインアップしているお客様は、テクニカルアカウントマネージャー (TAM) に問い合わせることもできます。TAM はソリューションアーキテクトと連携し、お客様がリスクとリスク低減の可能性を特定できるようにサポートします。また、TAM とアカウントチームは、環境とニーズに基づいて、お客様と APN パートナーに具体的なリソースを紹介することもできます。

    AWS には、エンタープライズサポート担当者やプロフェッショナルサービスコンサルタントといったスタッフによるチームもあり、GDPR に関する質問に回答しています。また、AWS では、お客様と APN パートナーにさらに理解を深めていただくために、AWS SummitAWS Pop-up Loft でいくつかの講演、オンラインセミナー、ワークショップを開催しており、GDPR の理解と AWS ツールを使用したソリューションの実装をサポートしています。

  • AWS では、お客様と APN パートナーに対して、GDPR に関するどのような技術的なガイダンスを提供していますか?

    AWS では、お客様と APN パートナーに対して、GDPR への準拠に向けたお客様の取り組みをサポートするリソースをいくつか提供しています。AWS には、エンタープライズサポート担当者やプロフェッショナルサービスコンサルタントといったスタッフによるチームもあり、お客様と APN パートナーからの GDPR に関する質問に回答しています。また、AWS では、AWS SummitAWS Pop-up Loft でいくつかの講演、オンラインセミナー、ワークショップを開催しており、お客様と APN パートナーが GDPR について理解し、AWS ツールを使用して設計によるデータ保護やデフォルトでのデータ保護を実装するようにサポートしています。

  • AWS では、GDPR への準拠に関してプロフェッショナルサービスによるサポートを提供しますか?

    AWS プロフェッショナルサービスチームは、GDPR への準拠に向けたお客様と APN パートナーの取り組みをサポートする活動をいくつか実施しています。プロフェッショナルサービスコンサルタントは、個別のコンサルティングセッションを実施すること、ならびに AWS SummitAWS Pop-up Loft で講演、オンラインセミナー、ワークショップを開催することにより、GDPR に関する質問に回答しています。また、AWS プロフェッショナルサービスチームは、お客様や APN パートナーと直接連携して、GDPR に関する技術的なガイダンスを提供し、AWS ツールを使用して、設計によるデータ保護やデフォルトでのデータ保護を実装するようにサポートしています。AWS プロフェッショナルサービスコンサルタントがお客様や APN パートナーをどのようにサポートしているかについては、https://aws.amazon.com/professional-services/ をご覧ください。

  • GDPR に準拠するための取り組みにおいて、AWS サポートはどのように役立ちますか?

    AWS プレミアムサポートでは、お客様や APN パートナーと連携し、GDPR への準拠に向けた取り組みをサポートする技術的なガイダンスを提供しています。AWS では、この活動の一環として、クラウドサポートエンジニアとテクニカルアカウントマネージャーのチームを結成し、コンプライアンスに関するリスクの特定と低減をサポートするためのトレーニングを実施しました。お客様と APN パートナーが GDPR への準拠に取り組む際に役立つプログラムが 2 つあります。

    • クラウド運用のレビュー – AWS エンタープライズサポートに登録しているお客様が利用できます。このプログラムは、クラウド内での運用アプローチにおいて足りない部分を特定できるように設計されています。このプログラムは、多数の代表的なお客様との経験から収集した運用上のベストプラクティスに基づき、クラウド運用をレビューして、関連する管理実施策を提案するもので、GDPR への準拠に向けた組織の取り組みに役立ちます。このプログラムでは、優れた運用のために、クラウドベースのシステムの準備、モニタリング、運用、最適化という 4 つの柱によるアプローチを使用しています。
    • 優れた設計のレビュー – 各組織は、このプログラムにより、AWS のベストプラクティスと比較して自社のアーキテクチャを評価し、安全性、信頼性、パフォーマンス、費用対効果に優れたアーキテクチャを構築できます。また、お客様と APN パートナーは、優れた設計のレビューを使用することで、アーキテクチャのどこにリスクがあるかを把握し、アプリケーションを本番稼働する前に問題を解決できます。

    お客様や APN パートナーが AWS プレミアムサポートについてお知りになりたい場合は、AWS コンソールから AWS サポートセンター (https://console.aws.amazon.com/support/) にアクセスして、詳細を確認できます。この場合、エンタープライズサポート契約を AWS と締結した際に登録した連絡先情報を使用するか、AWS プレミアムサポートに関するページ (https://aws.amazon.com/premiumsupport/) をご覧ください。エンタープライズサポートに登録しているお客様は、GDPR 関連の質問に関して TAM に問い合わせることができます。

  • AWS には補助処理者がいますか?

    AWS は、個人データが含まれている可能性のあるコンテンツなど、AWS にアップロードされたコンテンツへのアクセス権を持つ下請け業者について、お客様と APN パートナーに事前に通知します。この取り組みは AWS GDPR データ処理補遺条項 (GDPR DPA) に組み込まれています。AWS GDPR DPA は AWS サービス条件に組み込まれていて、GDPR に準拠する必要のあるすべてのお客様に自動的に適用されます。

  • 設計によるデータの保護やデフォルトでのデータ保護に必要な技術的および組織的な対策をユーザーが実装できるよう、AWS はどのようなツールを提供していますか?

    GDPR の多くの要求事項は、データの統制と保護に重点を置いています。AWS のサービスを使用すると、お客様と APN パートナーは、GDPR に準拠しつつ自社のセキュリティ対策を実装できます。これには、次のような特定の方策が含まれます。

    • 個人データの暗号化
    • システムとサービスの処理に関して、機密性、整合性、可用性、レジリエンスを継続的に確保する性能
    • 物理的または技術的なインシデントの発生時に可用性と個人データへのアクセスをタイムリーな方法で復元する性能
    • データ処理におけるセキュリティを確保するための技術的対策の効果を定期的にテストおよび評価するプロセス

    セキュリティとコンプライアンスに関する AWS の高度なサービスをデプロイすると、GDPR の要求事項に対応するうえで役立ちます。次のようなサービスがあります。

    • Amazon GuardDuty – インテリジェントな脅威検出、ならびに悪意のある動作や不正な動作の継続的なモニタリングを行うためのサービス
    • Amazon Macie – Amazon S3 に保存された個人データの検出と分類をサポートするための機械学習ツール
    • Amazon Inspector – アプリケーションでセキュリティのベストプラクティスへの準拠を維持するために使用できる、自動化されたセキュリティ評価サービス
    • AWS Config ルール – クラウドリソースがセキュリティルールに準拠しているかどうかを動的に確認できる機能

    また、AWS は、このトピックに特化した AWS で GDPR への準拠を達成するというホワイトペーパーを公開しました。このホワイトペーパーでは、モニタリング、データアクセス、キー管理といった概念にリソースを具体的に関連付ける方法について検討および説明しています。

  • AWS は、システムを保護するためにどのようなセキュリティ対策を実施していますか?

    AWS クラウドインフラストラクチャーは、現在利用可能なクラウドコンピューティング環境の中で最も柔軟性と安全性に優れたものとなるように設計されました。Amazon の企業規模では、セキュリティの監視と対策のために、ほとんどの大企業が自社のクラウドインフラストラクチャーで投資できる金額をはるかに超えた金額を投資できます。このインフラストラクチャーは、AWS のサービスを運用するためのハードウェア、ソフトウェア、ネットワーク、施設で構成されています。これにより、お客様と APN パートナーは、個人データを処理する際に、セキュリティ構成の統制などの強力な統制を利用できるようになります。AWS が高いレベルのセキュリティを維持するために導入している対策の詳細については、セキュリティプロセスの概要のホワイトペーパーをご覧ください。

    また、サードパーティの監査人は、AWS が ISO 27001、ISO 27017、ISO 27018 の各規格など、コンピュータセキュリティのさまざまな規格や法規に準拠していることをテストおよび検証しており、AWS はそれらの監査人が作成したさまざまなコンプライアンスレポートをお客様に提供しています。AWS は、これらの対策の効果に関する透明性を維持するため、お客様と APN パートナーが AWS マネジメントコンソールからサードパーティの監査レポートを入手できるようにしています。データ管理者またはデータ処理者として行動するお客様と APN パートナーは、これらのレポートから、個人データを保存および処理する際に使用される基盤となるインフラストラクチャーを AWS が保護していることを理解できます。詳細については、https://aws.amazon.com/compliance をご覧ください。

  • 個人データの侵害を通知することに関して、データ管理者が GDPR に基づく義務を果たすことができるよう、AWS はどのようなサポートを提供していますか?

    AWS は、セキュリティインシデントのモニタリングとデータ漏洩に関する通知プロセスを実施しており、AWS システムで確認された侵害すべてに関してお客様と APN パートナーをサポートし、通知を行います。また、AWS は、お客様や APN パートナーのリソースに対して誰がアクセスできるか、またそのユーザーがいつどこからアクセスしたかを把握するためのツールをいくつか提供しています。このようなツールの 1 つに AWS CloudTrail があります。AWS CloudTrail を使用すると、AWS アカウントのガバナンス、コンプライアンス、運用監査、リスク監査を実施できるようになります。また、AWS インフラストラクチャー全体のアクションに関連して、アカウントアクティビティに関する情報のログ記録、継続的なモニタリング、保持を行うことができます。これにより、各組織は、AWS インフラストラクチャーで何が発生しているかを把握でき、異常なアクティビティが発生した場合にはすぐに対策を講じることができます。AWS CloudTrail の詳細と、お客様が GDPR に基づいてデータ管理者としての義務を果たせるようサポートするために AWS がお客様に提供している他のセキュリティツールについては、https://aws.amazon.com/security/ をご覧ください。

  • ユーザーがサイバー攻撃からデータを保護できるよう、AWS はどのようなサポートを提供していますか?

    AWS は、お客様と APN パートナーがデータを保護し、サイバー攻撃から防御できるようサポートするため、いくつかのツールを提供しています。そのようなツールの 1 つに AWS Shield があります。これは、分散サービス妨害 (DDoS) に対するマネージド型の保護サービスで、AWS で運用しているウェブサイトとアプリケーションを保護するために使用できます。AWS Shield Standard は追加料金なしで利用でき、アプリケーションのダウンタイムとレイテンシーを最小限に抑える常時稼働の検出機能および自動インライン緩和策となります。AWS で運用され、ELB、Amazon CloudFront、Amazon Route 53 のリソースを使用するウェブアプリケーションを標的とした攻撃に対する保護を強化するため、お客様と APN パートナーは AWS Shield Advanced に登録できます。また、AWS は、AWS を使用して DDoS 攻撃からの回復力に優れたアプリケーションを構築するお客様をサポートするため、DDoS からの回復力を向上させるための AWS のベストプラクティスというドキュメントを公開し、定期的に更新しています。

    サイバー攻撃からのデータ保護をサポートするために AWS が提供するその他のツールには、次のようなものがあります。

    • AWS Identity and Access Management (IAM) では、AWS のサービスとリソースへのアクセスを安全に管理できます。IAM を使用すると、お客様と APN パートナーは、AWS のユーザーやグループを作成して管理することや、権限を設定して AWS リソースへのアクセスを許可または拒否することができます。IAM は、追加料金なしで利用できる AWS アカウントの機能です。
    • AWS Config を使用すると、お客様と APN パートナーは、AWS リソースが適切に構成され、規制への準拠状態が確保されるよう、事前にパッケージ化されたルールを有効にすることができます。
    • AWS CloudTrail を使用すると、AWS でのアクションに関連するアカウントアクティビティについての情報のログ記録、継続的なモニタリング、保持を行うことができるようになります。これにより、セキュリティ分析、リソース変更の追跡、トラブルシューティングを簡略化できます (デフォルトでは、AWS CloudTrail がすべての AWS アカウントで有効になっています)。
    • Amazon GuardDuty はマネージド型の脅威検出サービスです。悪意のある動作や不正な動作を継続的にモニタリングし、AWS のアカウントとワークロードを保護することができます。異常な API コールや不正なデプロイの可能性など、アカウント侵害の可能性を示すアクティビティがモニタリングされます。また、インスタンスの侵害の可能性や攻撃者による偵察も検出されます。
    • Amazon Macie は、機械学習を使用したセキュリティサービスで、お客様や APN パートナーが AWS 内の機密データを自動的に検出、分類、保護するうえで役立ちます。完全マネージド型のサービスで、データアクセスアクティビティの異常が継続的にモニタリングされ、不正アクセスのリスクや不注意によるデータ漏洩が検出された場合に詳細なアラートが生成されます。例えば、機密データへの外部アクセスをお客様が誤って許可したような場合です。
  • AWS にあるコンテンツ内の個人データを見つけるために利用できるツールにはどのようなものがありますか?

    Amazon Macie は、機械学習を使用したセキュリティサービスで、お客様や APN パートナーが AWS 内の機密データを自動的に検出、分類、保護するうえで役立ちます。完全マネージド型のサービスで、データアクセスアクティビティの異常が継続的にモニタリングされ、不正アクセスのリスクや不注意によるデータ漏洩が検出された場合に詳細なアラートが生成されます。例えば、機密データが誤って外部アクセス可能にされたような場合です。Macie は、クラウドセキュリティ向けの ISO 27017 規格やクラウドプライバシー向けの ISO 27018 規格など、国際的に認知された規格の認証を受けているため、お客様と APN パートナーは、Macie を使用してデータへのアクセスを継続的にモニタリングし、アクセスパターンに基づいて疑わしいアクティビティを検出できます。

  • AWS にあるコンテンツ内の個人データへのアクセスを管理するにはどうしたらよいですか?

    AWS は、お客様と APN パートナーによる GDPR への準拠をサポートするため、AWS のコンテンツに含まれる個人データへのアクセスを管理するツールをいくつか提供しています。次のようなツールがあります。

    デフォルトのセキュリティとは、AWS のサービスがデフォルトでセキュアになるよう設計されているという意味です。デフォルトの設定が使用された場合、リソースへのアクセスは、アカウント所有者とルート管理者のみに制限されます。

    • AWS Identity and Access Management (IAM) により、お客様と APN パートナーは、AWS のサービスとリソースへのアクセスを安全に管理できます。IAM を使用すると、AWS のユーザーやグループを作成して管理することや、権限を設定して AWS リソースへのアクセスを許可または拒否することができます。IAM は、追加料金なしで利用できる AWS アカウントの機能です。
    • AWS Multi-Factor Authentication を使用すると、AWS アカウントのユーザー名およびパスワードの保護を強化できます。AWS では、MFA デバイスとして仮想デバイスとハードウェアデバイスのいずれかを選択できます。
    • AWS Directory Service を使用すると、お客様と APN パートナーは、社内ディレクトリを統合し、管理オーバーヘッドを削減することやエンドユーザーの操作性を向上させることができます。
    • AWS Config により、お客様と APN パートナーは、AWS リソースが適切に構成されて準拠状態が確保されるよう、事前にパッケージ化されたルールを有効にすることができます。
    • AWS CloudTrail を使用すると、お客様と APN パートナーは、AWS インフラストラクチャー全体のアクションに関連して、アカウントアクティビティに関する情報のログ記録、継続的なモニタリング、保持を行うことができます。
    • Amazon Macie は、機械学習を使用し、AWS にある機密データを自動的に検出、分類、保護することにより、お客様がデータを失うことがないようサポートするサービスです。完全マネージド型のサービスで、データアクセスアクティビティの異常が継続的にモニタリングされ、不正アクセスのリスクや不注意によるデータ漏洩が検出された場合に詳細なアラートが生成されます。例えば、機密データへの外部アクセスをお客様が誤って許可したような場合です。
  • 不正なアクセスを防止するため、AWS に保存されている個人データを暗号化するにはどうしたらよいですか?

    AWS は、お客様と APN パートナーが GDPR におけるデータ管理者としてデータ処理のセキュリティに関する義務を果たせるよう、クラウド内で保管中のデータのセキュリティを強化する機能を提供しています。AWS では次のような暗号化ツールを利用できます。

    • Amazon Elastic Block StoreAmazon S3Amazon GlacierAmazon DynamoDBOracle RDSSQL Server RDSRedshift といった、ストレージやデータベースに関する AWS のサービスで利用可能なデータ暗号化機能
    • 柔軟性に優れたキー管理サービス。例えば、AWS Key Management Service では、AWS が暗号化キーを管理するか、お客様がキーを管理できるようにするかを選択可能
    • Amazon SQS のサーバー側暗号化 (SSE) を使用した、機密データ送信向けの暗号化メッセージキュー
    • AWS CloudHSM を使用したハードウェアベースの専用暗号化キーストレージ。お客様がコンプライアンスの要求事項を満たすために使用可能
     
    また、AWS は、お客様と APN パートナーが AWS 環境で開発またはデプロイした任意のサービスに、暗号化とデータ保護を統合するための API を提供しています。
  • AWS はユーザーからの削除依頼をどのように処理しますか?

    AWS のサービスでは、お客様が AWS マネジメントコンソール、API、その他の入力方法を使用し、コンテンツをオンデマンドで削除できます。特定のサービス機能の詳細については、https://aws.amazon.com/documentation をご覧ください。

  • AWS の使用方法が GDPR に準拠していることをデータ保護規制機関に証明するにはどうしたらよいですか?

    AWS は、AWS のインフラストラクチャーが高いレベルのコンプライアンスを維持していることを証明するため、お客様と APN パートナーに対して役立つ情報を提供しています。例えば、サードパーティの監査人は、AWS がコンピュータセキュリティのさまざまな規格や法規に準拠していることを検証しており、AWS はそれらの監査人が作成したさまざまなコンプライアンスレポートを提供しています。お客様と APN パートナーは、これらのレポートから、AWS で処理される個人データを AWS が保護していることを理解できます。例えば、AWS は、ISO 27001、27017、27018 といった規格に準拠しています。ISO 27018 規格では、個人データの保護に重点を置いたセキュリティ統制が規定されています。AWS による ISO 27108 規格への準拠に関する詳細については、https://aws.amazon.com/compliance/iso-27018-faqs/ をご覧ください。

    また、AWS は、データ保護向けの CISPE Code of Conduct にも準拠しています。CISPE は、ヨーロッパの顧客にクラウドサービスを提供するクラウドインフラストラクチャー (Infrastructure as a Service としても知られている) プロバイダーの連合体です。CISPE Code of Conduct により、クラウドを利用するお客様と APN パートナーは、クラウドインフラストラクチャープロバイダーが適切なデータ保護基準を使用し、GDPR に準拠して確実にデータを保護していることを確認できます。この規範には次のような重要なメリットがあります。

    • データ保護に関する責任の所在が明確になります。Code of Conduct は、特にクラウドインフラストラクチャーサービスのコンテキストにおいて、GDPR に基づくプロバイダーとお客様の両方の役割を説明しています。
    • Code of Conduct では、プロバイダーが準拠する必要のある原則が定められています。Code of Conduct では、プロバイダーが GDPR に準拠し、お客様がこれに準拠できるよう支援するために引き受けるべき行動と義務について概説されています。
    • >Code of Conduct により、データ保護とデータセキュリティに関連して、コンプライアンスに関する決定を下すのに必要な情報が、お客様と APN パートナーに提供されます。Code of Conduct では、プロバイダーがセキュリティの義務を果たすために実行する手順について、透明性を保つことが要求されます。これらの手順には、データの侵害、データの削除、サードパーティによるサブプロセス、ならびに法の執行や政府の要求に関連して通知を行うことが含まれます。お客様と APN パートナーはこの情報を使用することで、高いレベルのセキュリティが提供されていることを明確に理解できます。
  • AWS は EU-US Privacy Shield の認証を受けていますか?

    はい。Amazon.com, Inc. は EU-US Privacy Shield の認証を受けており、AWS もこの認証に含まれます。これにより、お客様は、個人データを米国に移動する際に、データ保護義務を果たすことができます。Amazon.com Inc. の認証は、EU-US Privacy Shield のウェブサイトhttps://www.privacyshield.gov/listで確認できます。

    AWS でのこのトピックの詳細については、AWS の EU-US Privacy Shield のページをご覧ください。

compliance-contactus-icon
ご質問がありますか? AWS のコンプライアンス担当者にご連絡ください
コンプライアンスの役割についてお知りになりたいですか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をご希望ですか?
Twitter でフォローしてください »