欧州連合の一般データ保護規則 (GDPR) は、データ主体のプライバシーに関する基本的な権利を保護し、個人データの保護を強化するものです。GDPRにより、データの保護、セキュリティ、コンプライアンスに関する基準を引き上げ、かつこれらを統合する厳格な要件が導入されます。

AWS のサービスは、GDPR が 2018 年 5 月 25 日に施行された時点で、GDPR に準拠します

また、AWS自身が準拠することに加えて、お客様のアクティビティに関わる可能性がある GDPR 要件にお客様が準拠することを支援するために、サービスとリソースを提供します。AWSでは新機能が定期的にリリースされており、セキュリティとコンプライアンスに焦点を当てた 500 以上の機能とサービスがあります。

AWS では、お客様が GDPR に準拠する際に利用できる特定の機能やサービスを提供します。

HA_DynamoDB-DAX_HERO-ART

アクセスコントロール:承認済みの管理者、ユーザー、およびアプリケーションのみを許可する

  • 多要素認証 (MFA)
  • Amazon S3、Amazon SQS、および Amazon SNS のオブジェクトへの詳細レベルのアクセス
  • API リクエスト認証
  • 地域制限
  • AWS Security Token Service による一時的アクセストークン
詳細 »
HA_EFS-Data-Encryption_hero-art

モニタリングとロギング:AWS リソースのアクティビティの概要を把握する

  • AWS Config によるアセット管理と設定
  • AWS CloudTrail による監査およびセキュリティ分析
  • Amazon VPC フローログによるネットワーク内のフローに関する詳細情報
  • AWS Config ルールによるルールベースの設定チェックおよびアクション
  • AWS CloudFront の AWS WAF 機能を使用したアプリケーションへの HTTP アクセスのフィルタリングとモニタリング
GC_Storage_HERO-ART

暗号化:AWS のデータを暗号化する

  • AES256 (EBS/S3/Glacier/RDS) による保存データの暗号化
  • マネージド型キー管理の一元化 (AWS リージョン別)
  • VPN-Gateways による AWS への IPsec トンネル
  • AWS CloudHSM によるクラウド上の専用 HSM モジュール
詳細 »

データプライバシー

お客様によるカスタマーコンテンツの制御。AWS を使用するお客様は、次のことを行います。

  • カスタマーコンテンツの保存先として、ストレージのタイプやストレージの地理的リージョンなどを決定する。
  • カスタマーコンテンツの安全な状態を確保する。私たちはお客様のために、移動中または保管中のカスタマーコンテンツの強力な暗号化機能を提供しています。暗号化キーをお客様がご自身で管理するオプションも提供しています。
  • お客様が管理するユーザー、グループ、アクセス権限および認証情報によって、顧客コンテンツおよび AWS のサービスおよびリソースへのアクセスを管理する。
詳細 »

セキュリティの設計

SbD アプローチにより、以下の点を達成できます。

  • 機能を修正する権限のないユーザーが上書きできないための強制的機能の作成。
  • 確実な制御の実行。
  • 継続的でリアルタイムな監査の実現。
  • お客様のガバナンスポリシーの技術的なスクリプト化。
詳細 »

EU データ保護

GDPR は、1995 年に EU データ保護指令が導入されて以来の、ヨーロッパにおけるデータ保護法の最大の改正です。GDPR の目的は、EU 内の個人データのセキュリティおよび保護を強化し、EU のデータ保護法に親和性を持たせることです。GDPR は、EU データ保護指令およびそれに関連するすべての現地の法律に取って代わるものです。

詳細 »

AWS 認定、プログラム、レポート、および証明書

AWS の ISO 27018 への適合は、独立したサードパーティーの評価者によって検証済みです。ISO 27018 は、クラウド内の個人情報保護に焦点を当てた初めての国際的な規範です。ISO 27018 は、情報セキュリティ基準である ISO 27002 に基づいており、公開クラウドサービスプロバイダーによって処理される個人識別情報 (PII) に適用される ISO 27002 のコントロールの実装ガイダンスを提供します。これは、AWS によるカスタマーコンテンツのプライバシーおよび保護に対する取り組みを示す制御システムが AWS に整備されていることをお客様に示すものです。

詳細 »

一般データ保護規則 (GDPR) は、2018 年 5 月 25 日に施行される新しいヨーロッパのプライバシー法です。GDPR は、指令 95/46/EC としても知られる EU データ保護指令に取って代わるもので、各加盟国に拘束力を持つ単一のデータ保護法を適用することにより、欧州連合 (EU) 全体でデータ保護法に親和性をもたせることを目的としています。

GDPR は、EU 内で活動し、EU 市民の「個人データ」を処理するすべての組織に適用されます。個人データは、特定のまたは識別可能な自然人に関する情報を指します。

GDPR は、既存のデータ保護指令 (欧州指令 95/46/EC) に取って代わるものです。2018 年 5 月 25 日から、既存のデータ保護指令およびそれに関する法律は無効となります。

AWS コンプライアンス、データ保護およびセキュリティの専門家は、世界中のお客様の質問にお答えし、GDPR が施行された後、AWS クラウドでワークロードを実行するための準備をお手伝いさせていただきます。これらのチームは、AWS が新しい GDPR の要件を確実に満たすために AWS が既に行っていることに関してすべてのレビューも行っています。2018 年 5 月に施行される時点で、すべての AWS のサービスが GDPR に準拠することを確認いたします。

さらに、GDPR の要件を満たす新しいデータ処理契約 (GDPR DPA) も用意されています。この GDPR DPA は現在、2018 年 5 月の法改正に向けて準備を行っている AWS のすべてのお客様にご利用いただけます。GDPR DPA に関する追加情報、または GDPR DPAのコピーを入手するには、AWS アカウントマネージャーにお問い合わせください。

最近、AWS は CISPE Code of Conduct (CISPE の行動規範) への準拠についても発表しました。CISPE Code of Conduct は、クラウドインフラストラクチャプロバイダーが GDPR に基づくデータ保護義務にどのように準拠しているかをクラウド顧客が評価するのに役立ちます。AWS は Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon Relational Database Service (Amazon RDS)、AWS Identity and Access Management (IAM)、AWS CloudTrail、およびAmazon Elastic Block Storage (Amazon EBS) が CISPE 規範に完全に準拠していると宣言しています。これは、AWS を使用する際に、安全性、セキュア、かつ規範への準拠性の高い環境でデータを完全に制御する能力に関して保証をお客様に提供するものです。AWS が CISPE Code of Conduct に準拠することに関する詳細は、以下のサイトをご覧ください。https://cispe.cloud/

AWS は、グローバルな業務全般にわたり、セキュリティとコンプライアンスに関して高い水準を継続的に維持しています。セキュリティは常に私たちの最優先事項であり、煩雑なものと考えておりません。業界をリードする私たちのセキュリティは、国際的に認知されている認証および認定の基盤を提供し、クラウドセキュリティに関する ISO 27017、クラウドプライバシーに関する ISO 27018、SOC 1、SOC 2 およびSOC 3、PCI DSS レベル 1 などの厳しい国際基準への準拠を実証しています。また、AWS は、お客様が BSI のコモンクラウドコンピューティングコントロールカタログ (C5) などドイツで重要なローカルセキュリティ基準を満たすことも支援します。

AWS は、CISPE Data Protection Code of Conduct への準拠について発表しました。CISPE は、ヨーロッパの顧客にクラウドサービスを提供する連立クラウドインフラストラクチャ (サービスとしてのインフラストラクチャとしても知られている) プロバイダーです。CISPE Code of Conduct は、お客様のクラウドインフラストラクチャプロバイダーが適切なデータ保護基準を使用して、GDPR に準拠したデータの保護を保証するのに役立ちます。この規範には次の重要な利点があります。

  • データ保護に関する責任の所在が明確になります。Code of Conduct は、特にクラウドインフラストラクチャサービスの文脈において、GDPR に基づくプロバイダーおよびお客様双方の役割を説明します。
  • Code of Conduct では、プロバイダーが準拠する必要のある原則が定められています。Code of Conduct では、プロバイダーが GDPR に準拠し、かつお客様がこれを準拠することを支援するために引き受けるべき行動と義務について概説されています。
  • Code of Conduct では、データ保護とデータセキュリティに関連して、コンプライアンスに関する決定を下すのに必要な情報がお客様に提供されます。Code of Conduct では、プロバイダーがセキュリティ義務を守るために取っている手順について透明性を保つことが要求されます。これらの手順には、データの侵害、データの削除およびサードパーティーによるサブプロセスならびに法の執行および政府の要請について通知することが含まれます。お客様はこの情報を使用して、高レベルなセキュリティが提供されていることを完全に理解できます。

GDPR の重要な側面の 1 つは、EU 加盟国間で、個人データの処理、使用、安全な変換の方法について一貫性を持たせることです。組織は、強固な技術的および組織的対策を実施し、これらを定期的にレビューすることにより、処理中のデータのセキュリティと継続的な GDPR への準拠についてコンプライアンスポリシーと同様に実証する必要があります。

AWS では、お客様が GDPR の要件を満たすための特定の機能とサービスが既に提供されています。
 

アクセスコントロール:承認された管理者、ユーザーおよびアプリケーションにのみ AWS リソースへのアクセスを許可する

  • 多要素認証 (MFA)
  • Amazon S3 バケット/Amazon SQS/Amazon SNS のオブジェクトおよびその他への詳細レベルのアクセス
  • API リクエスト認証
  • 地域制限
  • AWS Security Token Service による一時的アクセストークン

 

モニタリングとロギング:AWS リソースのアクティビティの概要を把握する

  • AWS Config によるアセット管理と設定
  • AWS CloudTrail によるコンプライアンス監査およびセキュリティ分析
  • AWS Trusted Advisor による設定上の課題の識別
  • Amazon S3 オブジェクトへのアクセスの詳細なログ
  • Amazon VPC フローログによるネットワーク内のフローに関する詳細情報
  • AWS Config ルールによるルールベースの設定チェックおよびアクション
  • AWS CloudFront の AWS WAF 機能を使用したアプリケーションへの HTTP アクセスのフィルタリングとモニタリング

 

暗号化:AWS のデータを暗号化する

  • AES256 (EBS/S3/Glacier/RDS) による保存データの暗号化
  • マネージド型キー管理の一元化 (AWS リージョン別)
  • VPN-Gateways による AWS への IPsec トンネル
  • AWS CloudHSM によるクラウド上の専用の HSM モジュール

 

厳格なコンプライアンスフレームワークとセキュリティ基準

  • ISO 27001/9001 認証
  • ISO 27017/27018 認証
  • クラウドコンピューティングコンプライアンスコントロールカタログ (C5 – ドイツ政府支援の認証スキーム)
  • AWS と監査人である TÜV TRUST IT は、Customer Certification Workbook を公開して、クラウド内で German BSI IT Grundschutz コンプライアンスを達成するためのガイダンスを提供している。

2018 年 5 月までは施行されませんが、お客様とパートナーには今から GDPR のための準備を始めることを奨励しています。既に、コンプライアンス、セキュリティ、データプライバシーについて高い水準を満たしている企業にとっては、GDPR への移行は容易であるはずです。GDPR への準拠をまだ開始していない企業は、セキュリティ、コンプライアンスおよびデータ保護プロセスの見直しを今から開始して、2018 年 5 月にスムーズな移行を実現することをお勧めします。GDPR への準拠にあたって考慮すべき重要な点の幾つかを以下に示します。

適用範囲: GDPR のコンプライアンスの義務を満たす組織の能力を確保するには、組織の活動に GDPR が適用されるかどうかを判断することが不可欠です。GDPR は、EU 内に設立されたすべての組織に適用されます。しかし、お客様の活動によっては、EU 外で設立されていても GDPR が適用される場合があります。

データ主体の権利: GDPR は、さまざまな方法でデータ主体の権利を強化します。例えば、データ主体にはデータの処理について異議を唱える権利、また、データを携行する権利があります。個人データを処理する場合は、データ主体の権利を尊重していることを確認する必要があります。

データ侵害の通知: お客様がデータ管理者である場合、データ侵害に関してデータ保護機関に不当に遅滞することなく報告する必要があります。AWS を使用すると、個人データの処理と保護の方法を制御できます。これにより、GDPR の下で要求される、プライバシー侵害に関する環境のモニタリング、規制機関および侵害された個人への通知が可能になります。また、AWS ネットワークに関連する当社のセキュリティ基準の違反を検知した場合も、AWS は不当に遅滞することなくお客様に通知します。

データ保護担当者 (DPO): 個人データの処理に関するデータセキュリティおよびその他の問題を管理する必要のある DPO を指名する必要があるかもしれません。

データ保護影響評価 (DPIA): お客様の処理活動に関して DPIA を実施する必要があるかもしれません。場合によっては、DPIA を監督機関に提出する必要があります。そのためには、個人データ保護のための制御と同じく、お客様のデータ処理手順およびプロセスを識別する必要があります。

データ処理契約 (DPA): 特に EEA 外に個人データが転送される場合、GDPR の要件を満たす DPA が必要な場合があります。AWS では、来年 5 月に向けてのお客様の準備に役立てていただける、リクエストに応じて利用可能な GDPR DPA が提供されます。

AWS では、GDPR の要件を満たすために役立つ幅広いサービスおよび特定のサービス機能が提供されます。これには、アクセスコントロール、モニタリング、ロギング、暗号化などのサービスが含まれます。これらの詳細については、上記のセクション「GDPR への準拠を支援するために AWS がお客様に提供するサービスにはどのようなものがありますか?」を参照してください。

コンプライアンス、データ保護、セキュリティ専門家のチームは、AWS パートナーネットワークのパートナーと同様、ヨーロッパ各地で働くお客様の質問にお答えし、GDPR が施行された後にクラウドでワークロードを実行するための準備をお手伝いさせていただいています。追加情報については、AWS アカウントマネージャーにお問い合わせください。

IAM を使用すると、AWS のユーザーとグループを作成および管理し、アクセス権を使用して AWS リソースへのアクセスを許可および拒否できます。


How to Become an IAM Policy Ninja in 60 Minutes or Less

AWS Summit Tel Aviv 2017 Becoming an AWS Policy Ninja using AWS IAM and AWS Organizations


IAM Best Practices to Live By

iam

データの暗号化に使用するキーを簡単に作成および管理.

データの所有権限

キーは作成されたリージョンでのみ保存および使用されます。他のリージョンに移動することはできません。たとえば、欧州中央(フランクフルト)リージョンで作成されたキーは欧州中央(フランクフルト)でのみ保存および使用できます。

組み込み型の監査

AWS Key Management Service は AWS CloudTrail と連動して、KMS への API の呼び出しまたはKMS からの API の呼び出しのログを作成します。これらのログにより、いつ、誰がキーにアクセスしたか、詳細を確認できるようになり、コンプライアンスおよび規制の要件を満たすために役立ちます。

KMS の開始方法

AWS_KMS_video_intro

KMS を最大限に利用する

reinvent-img

アプリケーションの標準とベストプラクティスを定義し、これらの標準への準拠を検証します。

inspector thumbnail

すぐに利用できるように Amazon Inspector には、共通のセキュリティベストプラクティスや脆弱性の定義に対応した、何百ものルールが収められたナレッジベースが備えられています。組み込まれたルールの一例として、リモートルートログインが有効になっているかどうかまたは脆弱なソフトウェアがインストールされていないかどうかをチェックするものがあります。これらのルールは AWS のセキュリティ研究者によって定期的に更新されます。

Amazon Inspector の詳細 »