一般データ保護規則 (GDPR) センター


概要

欧州連合の一般データ保護規則 (GDPR) は、欧州連合のデータ主体のプライバシーに関する基本的な権利を保護し、個人データの保護を強化するものです。GDPR により、データの保護、セキュリティ、コンプライアンスに関する基準が引き上げられ、これらを統一する厳格な要求事項が導入されます。

すべての AWS のサービスが GDPR に対応 – 続きを読む

AWS では、AWS 自体のコンプライアンスに加え、お客様のアクティビティに適用される可能性がある GDPR の要求事項にお客様が準拠できるよう支援するために、サービスとリソースを提供します。また、新しい機能を定期的にリリースしており、セキュリティとコンプライアンスに焦点を当てた機能やサービスが 500 個以上あります。

お客様の AWS 環境への GDPR の有効化

AWS では、お客様が GDPR に準拠する際に利用できる特定の機能やサービスを提供します。

AWS でデータを暗号化する:

  • AES256 (EBS/S3/Glacier/RDS) による保存データの暗号化
  • マネージド型キー管理の一元化 (AWS リージョン別)
  • VPN-Gateways による AWS への IPsec トンネル
  • AWS CloudHSM によるクラウド上の専用の HSM モジュール

AWS リソースでのアクティビティの概要を知る

  • AWS Config によるアセット管理と設定
  • AWS CloudTrail による監査およびセキュリティ分析
  • Amazon VPC フローログによるネットワーク内のフローに関する詳細情報
  • AWS Config ルールによるルールベースの設定チェックおよびアクション
  • AWS CloudFront の AWS WAF 機能を使用したアプリケーションへの HTTP アクセスのフィルタリングとモニタリング

承認済みの管理者、ユーザー、およびアプリケーションのみを許可する

  • 多要素認証 (MFA)
  • Amazon S3、Amazon SQS、および Amazon SNS のオブジェクトへの詳細レベルのアクセス
  • API リクエスト認証
  • 地域制限
  • AWS Security Token Service による一時的アクセストークン

お客様によるカスタマーコンテンツの制御。AWS を使用するお客様は、次のことを行います。

  • カスタマーコンテンツの保存先として、ストレージのタイプやストレージの地理的リージョンなどを決定する。
  • カスタマーコンテンツの安全な状態を確保する。私たちはお客様のために、移動中または保管中のカスタマーコンテンツの強力な暗号化機能を提供しています。暗号化キーをお客様がご自身で管理するオプションも提供しています。
  • お客様が管理するユーザー、グループ、アクセス権限および認証情報によって、顧客コンテンツおよび AWS のサービスおよびリソースへのアクセスを管理する。

SbD アプローチにより、以下の点を達成できます。

  • 機能を修正する権限のないユーザーが上書きできないための強制的機能の作成。
  • 信頼性の高い制御操作の確立。
  • 常時およびリアルタイムの監査の実現。
  • お客様のガバナンスポリシーの技術的なスクリプト化。

AWS のセキュリティは業界トップクラスであり、これにより国際的に認知されている認証や認定を多数受けています (これらの認証や認定は、技術的対策に関する ISO 27001、クラウドセキュリティに関する ISO 27017、クラウドプライバシーに関する ISO 27018SOC 1、SOC 2、SOC 3PCI DSS レベル 1、BSI のコモンクラウドコンピューティングコントロールカタログ (C5) や ENS 高レベルなどの EU 固有の認証といった厳しい国際基準への準拠を実証しています。最近、AWS は CISPE Code of Conduct (CISPE の行動規範) への準拠についても発表しました。

AWS のサービスを活用する

Amazon Macie

個人識別情報 (PII) を事前に保護し、移動を把握します。

Amazon Macie の詳細 »

AWS Identity and Access Management (IAM)

AWS のユーザーとグループを作成および管理し、アクセス権を使用して、AWS リソースに対するユーザーとグループのアクセスを許可および拒否します。

AWS IAM の詳細 »

AWS Config

コンプライアンス監査、セキュリティ分析、変更管理、運用上のトラブルシューティングを簡略化します。 

AWS Config の詳細 »

Amazon Inspector のご紹介 (日本語)

アプリケーションの標準とベストプラクティスを定義し、これらの標準への準拠を検証します。

Amazon Inspector の詳細 »

Amazon GuardDuty のご紹介 (日本語)

インテリジェントな脅威検出と継続的な監視で AWS アカウントとワークロードを保護します。

Amazon GuardDuty の詳細 »

AWS Key Management Service (KMS)

データの暗号化に使用するキーを簡単に作成および管理します。

AWS KMS の詳細 »

GDPR のよくある質問

  • GDPR とは何ですか?

    一般データ保護規則 (GDPR) は、2018 年 5 月 25 日施行の新しいヨーロッパのプライバシー法です。GDPR は、指令 95/46/EC としても知られる EU データ保護指令に取って代わるもので、各加盟国に拘束力を持つ唯一のデータ保護法を適用することにより、欧州連合 (EU) 全体でデータ保護法に親和性をもたせることを目的とします。

  • GDPR は誰に適用されますか?

    GDPR は、EU 内で活動し、EU 市民の「個人データ」を処理するすべての組織に適用されます。個人データは、特定のまたは識別可能な自然人に関する情報を指します。

  • AWS は EU-US Privacy Shield の認定を受けているのですか?

    はい。Amazon.com, Inc. は EU-US Privacy Shield の認定を受けており、AWS もこの認定に含まれます。これにより、個人データを米国に移動することを選択したお客様がデータ保護義務を果たすことができます。Amazon.com Inc. の認定は、EU-US Privacy Shield のウェブサイト https://www.privacyshield.gov/list で確認できます。

    AWS におけるこのトピックの詳細は、EU-US Privacy Shield ページを参照してください。 

  • GDPR に備えて AWS はこれまでどのような準備をしてきましたか?

    AWS コンプライアンス、データ保護およびセキュリティの専門家は、世界中のお客様の質問にお答えし、GDPR が施行された後、AWS クラウドでワークロードを実行するための準備をお手伝いさせていただきます。このチームは、GDPR の要求事項を満たすために AWS のサービスの対応をレビューし、すべての AWS サービスが GDPR 準拠済みであるも確認してきました。

    さらに、AWS は、GDPR の要求事項を満たす新しいデータ処理契約 (GDPR DPA) も用意しています。この GDPR DPA は、AWS サービス条件に組み込まれ、GDPR に準拠する必要のあるすべてのお客様に自動的に適用されます。

    最近、AWS は CISPE Code of Conduct (CISPE の行動規範) への準拠についても発表しました。CISPE Code of Conduct は、クラウドインフラストラクチャプロバイダーが GDPR に基づくデータ保護義務にどのように準拠しているかをクラウド顧客が評価することを支援します。AWS では、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon Relational Database Service (Amazon RDS)、AWS Identity and Access Management (IAM)、AWS CloudTrailAmazon Elastic Block Storage (Amazon EBS) が CISPE 規範に完全に準拠していると宣言しています。これは、AWS を使用する際に、安全性、セキュア、かつ規範への準拠性の高い環境でデータを完全に制御する能力に関して保証をお客様に提供するものです。AWS の CISPE Code of Conduct 準拠についての詳細は、ウェブサイト https://cispe.cloud/ をご覧ください。

    AWS は、グローバルな業務全般にわたり、セキュリティとコンプライアンスに関して高い水準を継続的に維持しています。セキュリティは常に私たちの最優先事項であり、煩雑なものと考えておりません。 業界をリードする私たちのセキュリティは、国際的に認知されている認証および認定の基盤を提供し、クラウドセキュリティに関する ISO 27017、クラウドプライバシーに関する ISO 27018、SOC 1、SOC 2、SOC 3、PCI DSS レベル 1 などの厳しい国際基準への準拠を実証しています。また、AWS は、ローカルなセキュリティ基準へのお客様の対応も支援します。たとえば、ドイツ政府発行の認証である BSI のコモンクラウドコンピューティングコントロールカタログ (C5) などがあります。

  • AWS は GDPR 要件に沿って、Code of Conduct に準拠していますか?

    AWS は、CISPE Data Protection Code of Conduct への準拠について発表しました。CISPE は、ヨーロッパの顧客にクラウドサービスを提供する連立クラウドインフラストラクチャ (サービスとしてのインフラストラクチャとしても知られている) プロバイダーです。CISPE Code of Conduct は、お客様のクラウドインフラストラクチャプロバイダーが適切なデータ保護基準を使用して、GDPR に準拠したデータの保護を保証するのに役立ちます。この規範には次の重要な利点があります。

    • データ保護に関する責任の所在が明確になります。Code of Conduct は、特にクラウドインフラストラクチャサービスの文脈において、GDPR に基づくプロバイダーおよびお客様双方の役割を説明します。
    • Code of Conduct では、プロバイダーが準拠する必要のある原則が定められています。Code of Conduct では、プロバイダーが GDPR に準拠し、かつお客様がこれを準拠することを支援するために引き受けるべき行動と義務について概説されています。
    • Code of Conduct では、データ保護とデータセキュリティに関連して、コンプライアンスに関する決定を下すのに必要な情報がお客様に提供されます。Code of Conduct では、プロバイダーがセキュリティ義務を守るために取っている手順について透明性を保つことが要求されます。これらの手順には、データの侵害、データの削除およびサードパーティーによるサブプロセスならびに法の執行および政府の要請について通知することが含まれます。お客様はこの情報を使用して、高レベルのセキュリティが提供されていることを完全に理解できます。

    AWS における法的処置の要求の取り扱いに関する考慮事項については、「AWS でのデータレジデンシーの対応」をご覧ください。

  • GDPR によって EU で事業展開する法人はどのように変化しますか?

    GDPR の重要な側面の 1 つは、EU 加盟国間で、個人データの処理、使用、安全な変換の方法について一貫性を持たせることです。組織は、強固な技術的および組織的対策を実施し、これらを定期的にレビューすることにより、処理中のデータのセキュリティと継続的な GDPR への準拠についてコンプライアンスポリシーと同様に実証する必要があります。

  • GDPR への準拠を支援するために AWS がお客様に提供するサービスにはどのようなものがありますか?

    AWS では、お客様が GDPR の要件を満たすための具体的な機能とサービスが既に提供されています。

    アクセスコントロール: 承認された管理者、ユーザー、およびアプリケーションにのみ AWS リソースへのアクセスを許可する

    • 多要素認証 (MFA)
    • Amazon S3 バケット/Amazon SQS/Amazon SNS のオブジェクトおよびその他への詳細レベルのアクセス
    • API リクエスト認証
    • 地域制限
    • AWS Security Token Service による一時的アクセストークン

    モニタリングとロギング: AWS リソースのアクティビティの概要を把握する

    • AWS Config によるアセット管理と設定
    • AWS CloudTrail によるコンプライアンス監査およびセキュリティ分析
    • AWS Trusted Advisor による設定上の課題の識別
    • Amazon S3 オブジェクトへのアクセスの詳細なログ
    • Amazon VPC フローログによるネットワーク内のフローに関する詳細情報
    • AWS Config ルールによるルールベースの設定チェックおよびアクション
    • AWS CloudFront の AWS WAF 機能を使用したアプリケーションへの HTTP アクセスのフィルタリングとモニタリング

    暗号化: AWS のデータを暗号化する

    • AES256 (EBS/S3/Glacier/RDS) による保存データの暗号化
    • マネージド型キー管理の一元化 (AWS リージョン別)
    • VPN-Gateways による AWS への IPsec トンネル
    • AWS CloudHSM によるクラウド上の専用の HSM モジュール

    厳格なコンプライアンスフレームワークとセキュリティ基準:

    • ISO 27001/9001 認証
    • ISO 27017/27018 認証
    • クラウドコンピューティングコンプライアンスコントロールカタログ (C5 – ドイツ政府支援の認証スキーム)
    • AWS および監査人である TÜV TRUST IT は、Customer Certification Workbook を公開して、クラウド内で German BSI IT Grundschutz コンプライアンスを達成するためのガイダンスを提供している。
  • お客様が GDPR に備えてできることは何ですか?

    GDPR コンプライアンスについて考慮する際に役立つ主な点は次のとおりです。

    • 適用範囲: GDPR のコンプライアンスの義務を満たす組織の能力を確保するには、組織の活動に GDPR が適用されるかどうかを判断することが不可欠です。GDPR は、EU 域内に設立されたすべての組織に適用されます。しかし、お客様の活動によっては、EU 域外で設立されていても GDPR が適用される場合があります。
       
    • データ主体の権利: GDPR は、いくつかの方法でデータ主体の権利を強化します。たとえば、データ主体にはデータの処理について異議を唱える権利、また、自分の個人データにアクセスする権利があります。GDPR の対象組織は、個人データを処理する場合、データ主体の権利に対応できることを確認する必要があります。
       
    • データ侵害の通知: データ侵害が発生した場合は、不当に遅滞することなく、可能な場合はデータ侵害を検知してから 72 時間以内に、その侵害についてデータ保護機関に報告する必要があります。AWS を使用すると、個人データの処理と保護の方法を管理できます。これにより、侵害が発生していないか環境を監視し、GDPR で義務付けられている規制機関および侵害された個人への通知が可能になります。また、AWS がデータ処理者である場合は、自分のアカウントで AWS のサービスにアップロードした個人データの偶発的または違法な破壊、漏洩、変更、不正開示、またはアクセスにつながることに関連する、AWS のセキュリティ基準の違反、または (ii) 結果として自分のアカウントで AWS のサービスにアップロードした個人データの破壊、漏洩、不正開示、または変更が生じるかどうかを問わず、AWS の機器または施設への不正アクセスのいずれかを検知した場合は、不当に遅滞することなく、その違反についてお客様に通知します。
       
    • データ保護担当者 (DPO): 個人データの処理に関するデータセキュリティおよびその他の問題を管理する DPO を指名する必要がある場合があります。
       
    • データ保護影響評価 (DPIA): お客様の処理活動に関して DPIA を実施する必要がある可能性があります。場合によっては、DPIA を監督機関に提出する必要があります。そのためには、個人データ保護のための制御と同じく、お客様のデータ処理手順およびプロセスを特定する必要があります。
       
    • データ処理契約 (DPA): 特に EEA 外に個人データが転送される場合、GDPR の要件を満たす DPA が必要な場合があります。AWS は、AWS サービス条件に組み込まれている GDPR DPA をお客様に提供します。これは、GDPR に準拠する必要のあるすべてのお客様に自動的に適用されます。AWS では、GDPR の要件を満たすために役立つ幅広いサービスおよび具体的なサービス機能が提供されます。これには、アクセスコントロール、モニタリング、ロギング、暗号化などのサービスが含まれます。これらの詳細については、上記の「GDPR への準拠を支援するために AWS がお客様に提供するサービスにはどのようなものがありますか?」セクションを参照してください。

    コンプライアンス、データ保護、セキュリティについての専門家である AWS チームと AWS パートナーが、お客様の質問にお答えし、GDPR の施行後にクラウドでワークロードを実行するための準備をお手伝いさせていただいています。追加情報については、AWS アカウントマネージャーにお問い合わせください。

  • AWS はデータ処理補遺条項 (DPA) を提供していますか?

    はい。AWS は GDPR に準拠したデータ処理補遺条項 (GDPR DPA) を提供しています。お客様は、これを使用することで、GDPR の契約上の義務に準拠できます。AWS GDPR DPA は AWS サービス条件に組み込み済みであるため、GDPR への準拠が必要な世界中のすべてのお客様に自動的に適用されます。

  • AWS のサービスは GDPR に準拠していますか?

    AWS のサービスは一般データ保護規則 (GDPR) に準拠しています。つまり、お客様は、サービスのセキュリティを維持するために AWS が既に実施している対策をすべて利用できることに加え、GDPR コンプライアンス計画の主要な部分として AWS のサービスをデプロイできることになります。詳細については、AWS セキュリティブログ (https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/) で AWS のサービスの GDPR への準拠に関する発表をご覧ください。

  • GDPR における AWS の役割について教えてください。 AWS はデータ処理者ですか、それともデータ管理者ですか?

    AWS は、GDPR に基づいて、データ処理者とデータ管理者の両方の活動を行います。

    • データ処理者としての AWS – お客様および AWS パートナーネットワーク (APN) のパートナーが AWS のサービスを使用してコンテンツ内の個人データを処理する場合、AWS はデータ処理者として行動します。お客様と APN パートナーは、個人データを処理するために、AWS のサービスで提供される統制 (セキュリティ構成の統制など) を使用できます。このような場合、お客様や APN パートナーはデータ管理者またはデータ処理者として行動し、AWS はデータ処理者または補助処理者として行動します。AWS は、GDPR に準拠したデータ処理補遺条項 (DPA) を提供しており、これにはデータ処理者としての AWS の義務が規定されています。
    • データ管理者としての AWS – AWS は個人データを収集し、その個人データを処理するための目的と方法を判断します。たとえば、AWS が、お客様をサポートするために AWS アカウントのアカウント情報 (アカウントの登録、管理、サービスへのアクセス、連絡先などの情報) を保存する場合、AWS はデータ管理者として行動することになります。
  • GDPR は AWS の責任共有モデルにどのように影響しますか?

    AWS の責任共有モデルが GDPR によって変わることはなく、クラウドコンピューティングサービスの使用に重点を置くお客様と APN パートナーにとって引き続き重要になります。責任共有モデルは、GDPR に基づいた AWS のさまざまな責任 (データの処理者または補助処理者として)、ならびにお客様と APN パートナーの責任 (データ管理者またはデータ処理者として) を説明するために役立つアプローチです。

    責任共有モデルにおいて、AWS には、クラウドをサポートする基盤となるインフラストラクチャを保護する責任があります。一方、お客様と APN パートナーは、データ管理者またはデータ処理者として行動し、クラウドに配置する個人データすべてに対して責任を負います。

    データ処理者としての AWS の責任

    AWS には、AWS クラウドで提供されるすべてのサービスを実行するグローバルインフラストラクチャを保護する責任があります。このインフラストラクチャは、AWS のサービスを運用するためのハードウェア、ソフトウェア、ネットワーキング、施設で構成されています。これにより、お客様と APN パートナーは、カスタマーコンテンツを処理する際に、セキュリティ構成の統制などの強力な統制を利用できるようになります。このインフラストラクチャを保護することは AWS の最優先事項です。サードパーティーの監査人は、AWS がコンピュータセキュリティのさまざまな規格や法規に準拠していることを検証しており、AWS はそれらの監査人が作成したさまざまなコンプライアンスレポートをお客様に提供しています (詳細については、https://aws.amazon.com/compliance をご覧ください)。これらのレポートはお客様と APN パートナーに対して、AWS で処理される個人データを AWS が保護していることを示しています。たとえば、AWS は、ISO 27001、27017、27018 といった規格に準拠しています。ISO 27018 規格では、個人データの保護に重点を置いたセキュリティ統制が規定されています。AWS による ISO 27108 規格への準拠に関する詳細については、https://aws.amazon.com/compliance/iso-27018-faqs/ をご覧ください。

    また、AWS は、マネージド型サービスと見なされる技術のセキュリティ構成についても責任を負います。これには、Amazon DynamoDB、Amazon RDS、Amazon Redshift、Amazon Elastic MapReduce といったいくつかのサービスが含まれます。これらのサービスには、クラウドベースのリソースの特徴であるスケーラビリティと柔軟性に加え、マネージドサービスとしての利点も備わっています。このようなサービスの場合、オペレーティングシステム (OS) のセキュリティとデータベースへのパッチ適用、ファイアウォールの構成、災害対策といった基本的なセキュリティタスクは AWS が処理します。マネージド型サービスにおいて、リソースに対する論理アクセスコントロールの設定とアカウント認証情報の保護は、お客様や APN パートナーが行います。データベースのユーザーアカウントの設定といったタスクが別途必要になる場合もありますが、セキュリティ構成の作業は概ねサービスで自動的に実行されます。これらのすべてのサービスにおいても、クラウドに配置する個人データすべてに対して責任を負うのは、お客様や APN パートナーです。

    AWS は、GDPR に準拠したデータ処理補遺条項 (GDPR DPA) も提供しており、これにはデータ処理者としての AWS の義務が規定されています。AWS GDPR DPA は AWS サービス条件に組み込まれていて、GDPR に準拠する必要のあるすべてのお客様に自動的に適用されます。

    お客様と APN パートナーのデータ管理者としての責任 – AWS のサービスが役立つ方法:

    お客様と APN パートナーは、AWS クラウドにより、仮想のサーバー、ストレージ、データベース、デスクトップを数分でプロビジョニングできます。これは、通常であれば数週間かかる作業です。また、クラウドベースの分析ツールやワークフローツールを使用し、必要に応じてデータを処理してから、自社のデータセンターまたはクラウドにそのデータを保存できます。AWS のサービスを使用するお客様と APN パートナーは、GDPR の責任の一環としてどの程度の構成作業を実行する必要があるかを判断します。Infrastructure as a Service (IaaS) のカテゴリに分類される AWS 製品 (Amazon EC2、Amazon VPC、Amazon S3 など) については、お客様または APN パートナーがすべて管理することになり、セキュリティに必要な構成タスクと管理タスクすべてを実行する必要があります。たとえば、EC2 インスタンスでは、サーバーの設置場所にかかわらず、各インスタンスにおいて、ゲスト OS (アップデートやセキュリティパッチ適用を含む)、インスタンスにインストールしたアプリケーションソフトウェアまたはユーティリティ、AWS から提供されるファイアウォール (セキュリティグループと呼ばれる) の構成を管理し、必要なセキュリティタスクを実行する責任があります。

    お客様と APN パートナーには、設計とデフォルト原則によってデータの保護を実現するために、Amazon Identity and Access Management (IAM) を使って AWS アカウントの認証情報を保護し、個々のユーザーアカウントを設定することをお勧めします。これにより、各ユーザーが自分の認証情報を所有し、データに対する権限ベースのアクセスと職務の分離をユーザーロールごとに実装できるようになります。また、各アカウントに多要素認証 (MFA) を使用すること、AWS リソースとの通信に SSL/TLS の使用を必須とすること、AWS CloudTrail を使って API やユーザーのアクティビティログを記録するように設定すること、AWS のサービス内で AWS の暗号化ソリューションやその他のセキュリティ統制を使用することもお勧めします。さらに、お客様と APN パートナーは、GDPR コンプライアンスを実現するために、アカウントとインフラストラクチャのセキュリティを確保する Amazon GuardDuty、Amazon S3 に保存された個人データの検出と保護をサポートする Amazon Macie など、高度なセキュリティサービスを使用することもできます。

    お客様が実施できる追加対策と AWS が提供するソリューションに関する詳細については、AWS セキュリティのベストプラクティスのホワイトペーパーと、AWS セキュリティリソースのウェブページ (https://aws.amazon.com/security/) で推奨されるドキュメントをご覧ください。

  • GDPR と AWS に関する質問がある場合は、誰に問い合わせるとよいですか?

    データ保護ならびに AWS と GDPR の関係についてご質問があるお客様と APN パートナーは、AWS アカウントマネージャーにまずお問い合わせください。エンタープライズサポートにサインアップしているお客様は、テクニカルアカウントマネージャー (TAM) に問い合わせることもできます。TAM はソリューションアーキテクトと連携し、お客様がリスクとリスク低減の可能性を特定できるようにサポートします。また、TAM とアカウントチームは、環境とニーズに基づいて、お客様と APN パートナーに具体的なリソースを紹介することもできます。

    AWS には、エンタープライズサポート担当者やプロフェッショナルサービスコンサルタントといったスタッフによるチームもあり、GDPR に関する質問に回答しています。また、AWS では、お客様と APN パートナーにさらに理解を深めていただくために、AWS SummitsAWS Pop-up Lofts でいくつかの講演、オンラインセミナー、ワークショップを開催しており、GDPR の理解と AWS ツールを使用したソリューションの実装をサポートしています。

  • AWS では、お客様と APN パートナーに対して、GDPR に関するどのような技術的なガイダンスを提供していますか?

    AWS では、お客様と APN パートナーに対して多数のリソースを提供して、GDPR コンプライアンスに向けたお客様の取り組みをサポートしています。AWS には、エンタープライズサポート担当者やプロフェッショナルサービスコンサルタントといったスタッフによるチームもあり、お客様と APN パートナーからの GDPR に関する質問に回答しています。 また、AWS Partner Solutions Finder の追加機能を使えば、お客様は「GDPR」で検索して、GDPR コンプライアンスを支援してくれる製品サービスを展開している ISV、MSP、SI パートナーを見つけられます。お客様は AWS Marketplace で「GDPR ソリューション」を探すこともできます。

  • AWS では、GDPR への準拠に関してプロフェッショナルサービスによるサポートを提供しますか?

    AWS プロフェッショナルサービスチームは、GDPR コンプライアンスに向けたお客様と APN パートナーの取り組みをサポートする活動をいくつか実施しています。プロフェッショナルサービスコンサルタントは、個別のコンサルティングセッションを実施すること、ならびに AWS SummitsAWS Pop-up Lofts で講演、オンラインセミナー、ワークショップを開催することにより、GDPR に関する質問に回答しています。 また、AWS プロフェッショナルサービスチームは、お客様や APN パートナーと直接連携して、GDPR に関する技術的なガイダンスを提供し、AWS ツールを使用して、設計によるデータ保護やデフォルトでのデータ保護を実装するようにサポートしています。AWS プロフェッショナルサービスコンサルタントがお客様や APN パートナーをどのようにサポートしているかについては、https://aws.amazon.com/professional-services/ をご覧ください。

  • GDPR コンプライアンスの取り組みにおいて、AWS サポートはどのように役立ちますか?

    AWS プレミアムサポートでは、お客様や APN パートナーと連携し、GDPR コンプライアンスに向けた取り組みをサポートする技術的なガイダンスを提供しています。AWS では、この活動の一環として、クラウドサポートエンジニアとテクニカルアカウントマネージャーのチームを結成し、コンプライアンスに関するリスクの特定と低減をサポートするためのトレーニングを実施しました。お客様と APN パートナーが GDPR コンプライアンスに取り組む際に役立つプログラムが 2 つあります。

    • クラウド運用のレビュー – AWS エンタープライズサポートに登録しているお客様が利用できます。このプログラムは、クラウド内での運用アプローチにおいて足りない部分を特定できるように設計されています。このプログラムは、多数の代表的なお客様との経験から収集した運用上のベストプラクティスに基づき、クラウド運用をレビューして、関連する管理実施策を提案するもので、GDPR コンプライアンスに向けた組織の取り組みに役立ちます。このプログラムでは、優れた運用のために、クラウドベースのシステムの準備、モニタリング、運用、最適化という 4 つの柱によるアプローチを使用しています。
    • 優れた設計のレビュー – 各組織は、このプログラムにより、AWS のベストプラクティスと比較して自社のアーキテクチャを評価し、安全性、信頼性、パフォーマンス、費用対効果に優れたアーキテクチャを構築できます。また、お客様と APN パートナーは、優れた設計のレビューを使用することで、アーキテクチャのどこにリスクがあるかを把握し、アプリケーションを本番稼働する前に問題を解決できます。

    お客様や APN パートナーが AWS プレミアムサポートについてお知りになりたい場合は、AWS コンソールから AWS サポートセンター (https://console.aws.amazon.com/support/) にアクセスして、詳細を確認できます。この場合、エンタープライズサポート契約を AWS と締結した際に登録した連絡先情報を使用するか、AWS プレミアムサポートに関するページ (https://aws.amazon.com/premiumsupport/) をご覧ください。エンタープライズサポートに登録しているお客様は、GDPR 関連の質問は TAM に問い合わせることができます。

  • AWS には補助処理者がいますか?

    AWS は、個人データが含まれている可能性のあるコンテンツなど、AWS にアップロードされたコンテンツへのアクセス権を持つ下請け業者について、お客様と APN パートナーに事前に通知します。この取り組みは AWS GDPR データ処理補遺条項 (GDPR DPA) に組み込まれています。AWS GDPR DPA は AWS サービス条件に組み込まれていて、GDPR に準拠する必要のあるすべてのお客様に自動的に適用されます。

  • 設計によるデータの保護やデフォルトでのデータ保護に必要な技術的および組織的な対策をユーザーが実装できるよう、AWS はどのようなツールを提供していますか?

    GDPR の多くの要求事項は、データの統制と保護に重点を置いています。AWS のサービスを使用すると、お客様と APN パートナーは、GDPR に準拠しつつ自社のセキュリティ対策を実装できます。これには、次のような特定の方策が含まれます。

    • 個人データの暗号化
    • システムとサービスの処理に関して、機密性、整合性、可用性、レジリエンスを継続的に確保する性能
    • 物理的または技術的なインシデントの発生時に可用性と個人データへのアクセスをタイムリーな方法で復元する性能
    • データ処理におけるセキュリティを確保するための技術的対策の有効性を定期的にテストおよび評価するプロセス

    セキュリティとコンプライアンスに関する AWS の高度なサービスをデプロイすると、GDPR の要求事項に対応するうえで役立ちます。次のようなサービスがあります。

    • Amazon GuardDuty – インテリジェントな脅威検出、ならびに悪意のある動作や不正な動作の継続的なモニタリングを行うためのサービス
    • Amazon Macie – Amazon S3 に保存された個人データの検出と分類をサポートするための機械学習ツール
    • Amazon Inspector – アプリケーションでセキュリティのベストプラクティスへの準拠を維持するために使用できる、自動化されたセキュリティ評価サービス
    • AWS Config ルール – クラウドリソースがセキュリティルールに準拠しているかどうかを動的に確認できる機能

    また、AWS は、このトピックに特化した「AWS で GDPR への準拠を達成する」というホワイトペーパーを公開しました。このホワイトペーパーでは、モニタリング、データアクセス、キー管理といった概念にリソースを具体的に関連付ける方法について検討および説明しています。 

  • AWS は、システムを保護するためにどのようなセキュリティ対策を実施していますか?

    AWS クラウドインフラストラクチャは、柔軟性とセキュリティにおいて現時点で最高レベルのクラウドコンピューティング環境となるように設計されています。Amazon の企業規模では、セキュリティの監視と対策のために、ほとんどの大企業が自社のクラウドインフラストラクチャで投資できる金額をはるかに超えた金額を投資できます。このインフラストラクチャは、AWS のサービスを運用するためのハードウェア、ソフトウェア、ネットワーキング、施設で構成されています。これにより、お客様と APN パートナーは、個人データを処理する際に、セキュリティ構成の統制などの強力な統制を利用できるようになります。AWS が高いレベルのセキュリティを維持するために導入している対策の詳細については、「セキュリティプロセスの概要のホワイトペーパー」をご覧ください。

    また、サードパーティーの監査人は、AWS が ISO 27001、ISO 27017、ISO 27018 など、コンピュータセキュリティのさまざまな規格や法規に準拠していることをテストおよび検証しており、AWS はそれらの監査人が作成したさまざまなコンプライアンスレポートをお客様に提供しています。AWS は、これらの対策の有効性に関する透明性を維持するため、お客様と APN パートナーが AWS マネジメントコンソールからサードパーティーの監査レポートを入手できるようにしています。これらのレポートは、データ管理者またはデータ処理者として行動するお客様および APN パートナーに対して、個人データを保存および処理する際に使用される基盤となるインフラストラクチャを AWS が保護していること示しています。詳細については、https://aws.amazon.com/compliance をご覧ください。 

  • 個人データの侵害を通知することに関して、データ管理者が GDPR に基づく義務を果たすことができるよう、AWS はどのようなサポートを提供していますか?

    AWS は、セキュリティインシデントのモニタリングとデータ漏洩に関する通知プロセスを実施しており、AWS システムで確認された侵害すべてに関してお客様と APN パートナーをサポートし、通知を行います。また、AWS は、お客様や APN パートナーのリソースに対して誰がアクセスできるか、またそのユーザーがいつどこからアクセスしたかを把握するためのツールをいくつか提供しています。このようなツールの 1 つに AWS CloudTrail があります。AWS CloudTrail を使用すると、AWS アカウントのガバナンス、コンプライアンス、運用監査、リスク監査を実施できるようになります。AWS CloudTrail を使用すると、お客様は AWS インフラストラクチャ全体でアクションに関するアカウントアクティビティをログに記録し、継続的に監視し、情報を保持できます。これにより、各組織は、AWS インフラストラクチャで何が発生しているかを把握でき、異常なアクティビティが発生した場合にはすぐに対策を講じることができます。AWS CloudTrail の詳細と、お客様が GDPR に基づいてデータ管理者としての義務を果たせるようサポートするために AWS がお客様に提供している他のセキュリティツールについては、https://aws.amazon.com/security/ をご覧ください。 

  • ユーザーがサイバー攻撃からデータを保護できるよう、AWS はどのようなサポートを提供していますか?

    AWS は、お客様と APN パートナーがデータを保護し、サイバー攻撃から防御できるようサポートするため、いくつかのツールを提供しています。そのようなツールの 1 つに AWS Shield があります。これは、分散サービス妨害 (DDoS) に対するマネージド型の保護サービスで、AWS で運用しているウェブサイトとアプリケーションを保護するために使用できます。AWS Shield Standard は追加料金なしで利用でき、アプリケーションのダウンタイムとレイテンシーを最小限に抑える常時稼働の検出機能および自動インライン緩和策となります。AWS で運用され、ELB、Amazon CloudFront、Amazon Route 53 のリソースを使用するウェブアプリケーションを標的とした攻撃に対する保護を強化するため、お客様と APN パートナーは AWS Shield Advanced に登録できます。また、AWS は、AWS を使用して DDoS 攻撃からの回復力に優れたアプリケーションを構築するお客様をサポートするため、「DDoS からの回復力を向上させるための AWS のベストプラクティス」というドキュメントを公開し、定期的に更新しています。

    サイバー攻撃からのデータ保護をサポートするために AWS が提供するその他のツールには、次のようなものがあります。

    • AWS Identity and Access Management (IAM) を使用すると、組織は AWS の製品とリソースへのアクセスを安全に管理できます。IAM を使用すると、お客様と APN パートナーは、AWS のユーザーやグループを作成して管理することや、権限を設定して AWS リソースへのアクセスを許可または拒否することができます。IAM は、各 AWS アカウントで追加料金なしで利用できる機能です。
    • AWS Config を使用すると、お客様と APN パートナーは、AWS リソースが適切に構成され、規制への準拠状態が確保されるよう、事前にパッケージ化されたルールを有効にすることができます。
    • AWS CloudTrail を使用すると、AWS でのアクションに関連するアカウントアクティビティについての情報のログ記録、継続的なモニタリング、保持を行うことができるようになります。これにより、セキュリティ分析、リソース変更の追跡、トラブルシューティングを簡略化できます (デフォルトでは、AWS CloudTrail がすべての AWS アカウントで有効になっています)。
    • Amazon GuardDuty はマネージド型の脅威検出サービスです。悪意のある操作や不正な動作を継続的に監視し、AWS アカウントとワークロードを保護します。異常な API コールや不正なデプロイの可能性など、アカウント侵害の可能性を示すアクティビティがモニタリングされます。インスタンスへの侵入の可能性や攻撃者による偵察も検出します。
    • Amazon Macie は、機械学習を使用したセキュリティサービスで、お客様や APN パートナーの AWS における機密データの自動的な検出、分類、保護を支援します。完全マネージド型のサービスで、データアクセスアクティビティの異常が継続的にモニタリングされ、不正アクセスのリスクや不注意によるデータ漏洩が検出された場合に詳細なアラートが生成されます。たとえば、機密データへの外部アクセスをお客様が誤って許可したような場合です。 
  • AWS にあるコンテンツ内の個人データを見つけるために利用できるツールにはどのようなものがありますか?

    Amazon Macie は、機械学習によってお客様や APN パートナーが AWS 内の機密データを自動的に検出、分類、保護できるようにするセキュリティサービスです。この完全マネージド型サービスでは、データアクセスアクティビティの異常が継続的にモニタリングされ、不正アクセスのリスクや不注意によるデータ漏洩が検出された場合に詳細なアラートが生成されます。たとえば、機密データが誤って外部アクセス可能にされたような場合です。Macie は、クラウドセキュリティ向けの ISO 27017 やクラウドプライバシー向けの ISO 27018 など、国際的に認知された規格の認証を受けているため、お客様と APN パートナーは、Macie を使用してデータへのアクセスを継続的にモニタリングし、アクセスパターンに基づいて疑わしいアクティビティを検出できます。

  • AWS にあるコンテンツ内の個人データへのアクセスを管理するにはどうしたらよいですか?

    AWS は、お客様と APN パートナーによる GDPR コンプライアンスをサポートするため、AWS のコンテンツに含まれる個人データへのアクセスを管理するツールをいくつか提供しています。次のようなツールがあります。

    デフォルトのセキュリティとは、AWS のサービスがデフォルトでセキュアになるよう設計されているという意味です。デフォルトの設定が使用された場合、リソースへのアクセスは、アカウント所有者とルート管理者のみに制限されます。

    • AWS Identity and Access Management (IAM) を使用すると、お客様や APN パートナーは AWS の製品とリソースへのアクセスを安全に管理できます。IAM を使用して、組織は AWS のユーザーとグループを作成および管理し、アクセス権を使用して、AWS リソースへのユーザーとグループのアクセスを許可および拒否できます。IAM は、各 AWS アカウントで追加料金なしで利用できる機能です。
    • AWS Multi-Factor Authentication を使用すると、AWS アカウントのユーザー名およびパスワードの保護を強化できます。AWS では、MFA デバイスとして仮想デバイスとハードウェアデバイスのいずれかを選択できます。
    • AWS Directory Service を使用すると、お客様と APN パートナーは、社内ディレクトリを統合、連携して管理コストを削減し、エンドユーザーエクスペリエンスを向上させることができます。
    • AWS Config を使用すると、お客様と APN パートナーは、AWS リソースが適切に構成され、規制への準拠状態が確保されるよう、事前にパッケージ化されたルールを有効にすることができます。
    • AWS CloudTrail を使用すると、お客様と APN パートナーは、AWS インフラストラクチャ全体でアクションに関するアカウントアクティビティをログに記録し、継続的に監視し、情報を保持できるので、セキュリティ分析、リソース変更の追跡、トラブルシューティングが簡単になります。
    • Amazon Macie は機械学習を使用して、AWS 内の機密データを自動的に検出、分類、保護することで、お客様のデータ消失の予防を支援するサービスです。完全マネージド型のサービスで、データアクセスアクティビティの異常が継続的にモニタリングされ、不正アクセスのリスクや不注意によるデータ漏洩が検出された場合に詳細なアラートが生成されます。たとえば、機密データへの外部アクセスをお客様が誤って許可したような場合です。
  • 不正なアクセスを防止するため、AWS に保存されている個人データを暗号化するにはどうしたらよいですか?

    AWS は、お客様と APN パートナーが GDPR におけるデータ管理者としてデータ処理のセキュリティに関する義務を果たせるよう、クラウド内で保管中のデータのセキュリティを強化する機能を提供しています。AWS では次のような暗号化ツールを利用できます。

    • Amazon Elastic Block StoreAmazon S3Amazon GlacierAmazon DynamoDBOracle RDSSQL Server RDSRedshift といった、ストレージやデータベースに関する AWS のサービスで利用可能なデータ暗号化機能
    • 暗号化キーを AWS 側で管理するか、お客様が完全に自分で管理するかを選択できる、AWS Key Management Service などの柔軟なキー管理オプション
    • Amazon SQS のサーバー側暗号化 (SSE) を使用した、機密データ送信向けの暗号化メッセージキュー
    • お客様がコンプライアンスの要件を満たせるようにする、AWS CloudHSM を使用した専用の、ハードウェアベースの暗号化キーストレージ
     
    さらに、AWS には、AWS 環境内でお客様や APN パートナーが開発またはデプロイしたどのサービスにも暗号化とデータ保護を統合できる API が用意されています。
  • AWS はユーザーからの削除依頼をどのように処理しますか?

    AWS のサービスでは、お客様が AWS マネジメントコンソール、API、その他の入力方法を使用し、コンテンツをオンデマンドで削除できます。特定のサービス機能の詳細については、https://aws.amazon.com/documentation をご覧ください。 

  • AWS の使用方法が GDPR に準拠していることをデータ保護規制機関に証明するにはどうしたらよいですか?

    AWS は、AWS のインフラストラクチャが高いレベルのコンプライアンスを維持していることを証明するため、お客様と APN パートナーに対して役立つ情報を提供しています。たとえば、サードパーティーの監査人は、AWS がコンピュータセキュリティのさまざまな規格や法規に準拠していることを検証しており、AWS はそれらの監査人が作成したさまざまなコンプライアンスレポートを提供しています。これらのレポートは、お客様と APN パートナーに対して、AWS で処理される個人データを AWS が保護していることを示しています。たとえば、AWS は、ISO 27001、27017、27018 といった規格に準拠しています。ISO 27018 規格では、個人データの保護に重点を置いたセキュリティ統制が規定されています。AWS による ISO 27108 規格への準拠に関する詳細については、https://aws.amazon.com/compliance/iso-27018-faqs/ をご覧ください。

    また、AWS は、データ保護向けの CISPE Code of Conduct にも準拠しています。CISPE は、ヨーロッパのお客様にクラウドサービスを提供する連立クラウドインフラストラクチャ (IaaS としても知られている) プロバイダーです。CISPE Code of Conduct は、お客様や APN パートナーのクラウドインフラストラクチャプロバイダーが適切なデータ保護基準を使用して、GDPR に準拠したデータの保護を保証することを支援します。この規範には次の重要な利点があります。

    • データ保護に関する責任の所在が明確になります。Code of Conduct は、特にクラウドインフラストラクチャサービスのコンテキストにおいて、GDPR に基づくプロバイダーおよびお客様双方の役割を説明します。
    • Code of Conduct では、プロバイダーが準拠する必要のある原則が定められています。Code of Conduct では、プロバイダーが GDPR に準拠し、かつお客様や APN パートナーがこれを準拠することを支援するために引き受けるべき行動と義務について概説されています。
    • Code of Conduct では、データ保護とデータセキュリティに関連して、コンプライアンスに関する決定を下すのに必要な情報がお客様および APN パートナーに提供されます。Code of Conduct では、プロバイダーがセキュリティ義務を守るために取っている手順について透明性を保つことが要求されます。これらの手順には、データの侵害、データの削除およびサードパーティーによるサブプロセスならびに法の執行および政府の要請について通知することが含まれます。お客様や APN パートナーはこの情報を使用して、高レベルのセキュリティが提供されていることを完全に理解できます。
compliance-contactus-icon
ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報を入手しますか?
Twitter でフォローしてください »