一般データ保護規則 (GDPR) センター

AWS のサービスを使用する場合の GDPR コンプライアンス

欧州連合の一般データ保護規則 (GDPR) は、データ主体のプライバシーに関する基本的な権利を保護し、個人データの保護を強化するものです。GDPR には、データの保護、セキュリティ、コンプライアンスに関する基準を引き上げ、かつこれらを統合する厳格な要件が含まれています。詳細については、以下のGDPR に関するよくある質問をご覧ください。

AWS のお客様は、すべての AWS のサービスを使用して、GDPR に準拠した AWS アカウント (顧客データ) で AWS のサービスにアップロードされた個人データ (GDPR で定義) を処理できます。また、AWS 自身が準拠することに加えて、お客様のアクティビティに関わる可能性がある GDPR 要件にお客様が準拠することを支援するために、サービスとリソースを提供します。AWS では、新機能が定期的にリリースされており、セキュリティとコンプライアンスに重点を置いた500 種類を超える機能やサービスが提供されています。 AWS が行っている支援の詳細については、ブログ「EU のお客様がデータを保護するための新しい標準への移行に向けて、AWS がどのように支援しているか」をご覧ください。

お客様による管理

顧客データは、お客様が管理します。AWS を使用する場合、お客様は以下のことができます。

  • 顧客データの保存先として、ストレージのタイプやストレージの地理的リージョンなどを決定する。
  • 顧客データの安全な状態を確保する。私たちはお客様のために、移動中または保管中の顧客データの強力な暗号化機能を提供しています。暗号化キーをお客様がご自身で管理するオプションも提供しています。
  • お客様が管理するユーザー、グループ、アクセス許可および認証情報によって、顧客データおよび AWS のサービスおよびリソースへのアクセスを管理する。
詳細はこちら »

欧州経済地域 (EEA) 外への転送

AWS のお客様は、引き続き AWS のサービスを使用して、EEA から、GDPR に準拠して欧州委員会 (米国を含む) から適切な決定を受けていない 非 EEA 諸国に顧客データを転送することができます。AWS では、顧客データを守ることが最優先事項であり、お客様がどの AWS リージョンを選択しているかにかかわらず、厳密な技術的および組織的対策を講じてかかるデータの機密性、完全性、および可用性を保護しています。 私たちは、透明性がお客様にとって重要であることを理解しています。私たちは、顧客データのデータ移動を含む AWS のサービスをプライバシー機能のウェブページ上でリストにしています。

規制および法的な状況が進展するにつれて、AWS は常に、お客様がどこで運用していても AWS のサービスのメリットを享受し続けることができるように努めます。詳細については、EU-US プライバシーシールドに関するお客様の最新情報および AWS GDPR データ処理補遺の補足補遺に関するブログ投稿をご覧ください。

GDPR のリソース

compliance-resources-banner@2x
AWS での GDPR のコンプライアンス
ホワイトペーパーをダウンロード »
compliance-banner-argentina
ブレグジット (Brexit) と AWS について知っておくべきこと
詳細はこちら »
compliance-latestnews-banners
GDPR に関する AWS セキュリティブログの投稿
詳細はこちら »
compliance-programs-banner@2x
AWS のサービスのプライバシー機能
詳細はこちら »

GDPR のよくある質問

概要と GDPR の基本


  • GDPR とは何ですか?

    一般データ保護規則 (GDPR) は、2018 年 5 月 25 日に施行されたヨーロッパのプライバシー法です。GDPR は、指令 95/46/EC としても知られる EU データ保護指令に取って代わるもので、各加盟国に拘束力を持つ唯一のデータ保護法を適用することにより、欧州連合 (EU) 全体でデータ保護法に親和性をもたせることを目的とします。

  • GDPR は誰に適用されますか?

    GDPR は、商品またはサービスの EU 内データ主体への提供、または EU 内で行われる活動のモニタリングのいずれかに関連して、EU 内に設立された全組織、および EU 内に設立されたか否かを問わず EU 内の個人に関する個人データを処理する組織に適用されます。個人データとは、氏名、E メールアドレス、電話番号を含め、特定のまたは識別可能な自然人に関する情報を指します。

  • AWS は GDPR に基づくデータ処理者ですか、それともデータ管理者ですか?

    AWS は、GDPR に基づいて、データ処理者とデータ管理者の両方の活動を行います。

    • データ処理者としての AWS – お客様が AWS のサービスを使用して、AWS のサービスにアップロードしたコンテンツ内の個人データを処理する場合、AWS はデータ処理者として行動します。お客様は、個人データを処理するために、AWS のサービスで提供される統制 (セキュリティ構成の統制など) を使用できます。このような場合、お客様はデータ管理者またはデータ処理者として行動し、AWS はデータ処理者または補助処理者として行動します。また、AWS は、GDPR に準拠した AWS GDPR データ処理補遺条項 (GDPR DPA) も提供しており、これにはデータ処理者としての AWS の義務が規定されています。標準契約条項を含む AWS GDPR DPA は、AWS サービス条件の一部であり、GDPR に準拠するためにこれを必要とするすべてのお客様が自動的にご利用いただけます
    • データ管理者としての AWS – AWS は個人データを収集し、その個人データを処理するための目的と方法を判断します。例えば、AWS が、アカウントの登録、管理、サービスアクセス、またはカスタマーサポートアクティビティを通じて支援を提供するための AWS アカウントの連絡先情報のために、アカウント情報 (アカウント登録中に提供された E メールアドレスなど) を保存する場合、AWS はデータ管理者として行動することになります。AWS が管理者として個人データを処理する方法の詳細については、AWS プライバシー通知を参照してください。
  • 標準契約条項 (SCC) とは何ですか?

    SCC は、GDPR に基づいて事前に承認されたデータ移転メカニズムであり、すべての EU 加盟国で適用可能です。これにより、欧州経済領域外の、欧州委員会から十分性認定を受けていない国 (第三国) への個人データの合法的な移転が可能になります。

  • AWS は SCC をお客様との AWS GDPR DPA にどのように組み込んでいますか?

    AWS のサービス条件には、2021 年 6 月に欧州委員会 (EC) によって採択された SCC が含まれており、AWS GDPR DPA は、AWS のお客様が AWS のサービスを利用して顧客データを、欧州経済領域外の、欧州委員会から十分性認定を受けていない国 (第三国) に移転する場合は常に SCC が自動的に適用されることを確認しています。AWS のサービス条件の一部として、新しい SCC は、お客様が AWS のサービスを利用して顧客データを第三国に移転する場合は常に自動的に適用されます。少数のお客様は既に AWS GDPR DPA に署名しておりますが、AWS のサービス条件の新しい SCC は以前のバージョンの SCC に置き換わるため、これらのお客様は引き続きその AWS GDPR DPA に依拠できます。したがって、お客様が AWS のサービスを利用して第三国に移転する顧客データは、EEA で顧客データが受けるのと同じ程度に高度なレベルの保護を受けることになるため、ご安心いただけます。詳細については、ブログ投稿 New Standard Contractual Clauses now part of the AWS GDPR Data Processing Addendum for customers を参照してください。

Schrems II の判決と EDPB の推奨事項に従った AWS と GDPR のコンプライアンス


  • Schrems II の判決と EDPB の推奨事項とは何ですか?

    2020 年 7 月 16 日、欧州連合司法裁判所 (CJEU) は、EU 個人に関する個人データの EEA 外への転送に関する判決を下しました (Schrems II)。この Schrems II で、CJEU は、EU-US プライバシーシールドが EEA から米国に個人データを転送するための有効な仕組みではなくなったとの判決を下しました。ただし、同じ判決で、CJEU は、企業が EEA 外に個人データを転送するための有効な仕組みとして標準契約条項を引き続き使用できることを確認しました (必要に応じて補足措置を実施することを条件とします)。各国のデータ保護当局の代表者で構成される欧州機関である欧州データ保護委員会 (EDPB) は、その後、「勧告 01/2020 で、EU レベルでの個人データ保護に関して、転送ツールを補足してコンプライアンスを確保するための補足措置の網羅的でないリストを提供しています 」(EDPB 勧告)。

    この EDPB 勧告は、データ輸出者が実施できる補足措置の例を提示しています。AWS のデータ転送リソースの詳細については、下記のよくある質問「 Schrems II の判決後も AWS のサービスを引き続き使用できますか?」を参照してください。 

  • Schrems II の判決後も AWS のサービスを引き続き使用できますか?

    はい。AWS のお客様は、引き続き AWS のサービスを使用して、欧州委員会から適切性の判断を受けていない EEA 外の国に顧客データを転送することができます。Schrems II の判決は、EEA 外への顧客データの転送の仕組みとして標準契約条項 (SCC) の使用を検証しました。AWS のお客様は、GDPR に準拠して EEA 外へ顧客データを転送する際に引き続き SCC を利用することができます。

    • 処理場所。お客様は、顧客データが保存される AWS リージョンを選択できます。利用可能な AWS リージョンの概要は、リージョンとアベイラビリティーゾーンにあります。AWS は、お客様が開始した AWS のサービスを提供する目的で必要な場合、または法律や政府機関の拘束力のある命令に従う必要がある場合を除き、お客様が選択した AWS リージョン外で顧客データを処理しません。AWS のサービスの一部としてのデータ転送の詳細については、プライバシー機能のウェブページを参照してください。
    • 補助処理者。 AWS は、補助処理者を使用する場合があります。つまり、AWS のアフィリエイトまたはサードパーティーが、顧客データの処理を支援するため、DPA の下でお客様への義務を履行するため、または当社に代わってサービスを提供するために使用することがあります。詳細については、下記のよくある質問「AWS は補助処理者を使用して顧客データを処理しますか?」を参照してください。
    • 転送ツール。 Schrems II 判決が、欧州委員会から適切な決定を受けていない EEA 外の国にデータを転送するためのメカニズムとして SCC の使用を検証したため、GDPR に準拠して EEA 外にデータを転送することを選択した場合、お客様は引き続き AWS GDPR DPA に含まれる SCC に依拠することができます。
    • 補足措置。
      • お客様による管理。 お客様は、顧客データの保存場所を決定し、転送中および保存中の顧客データを保護し、AWS リソースへのユーザーアクセスを管理し、顧客データを変更、削除、取得できる、シンプルでありながら強力なツールを通じて、常に顧客データの所有権と管理を有しています。
      • 技術的および組織的対策。AWS は、顧客データへの不正なアクセスまたは開示を防ぐように設計された、責任ある高度な技術的および物理的制御とプロセスを実装しています (詳細は、AWS コンプライアンスのウェブページを参照してください)。また、お客様が転送中および保存中の両方で顧客データを保護するために使用できる高度な暗号化およびキー管理サービス (お客様が自分のキーを管理できるサービスを含む) を多数提供しています。暗号化された顧客データは、適切な復号化キーなしではアクセスできなくなります。顧客データが暗号化されているかどうかに関係なく、常に不正アクセスから顧客データを保護するために細心の注意を払っています。
      • 法執行機関による要請。 AWS には、法執行機関から受け取ったリクエストを処理するための内部プロセスがあります。顧客データに対して法執行機関から要請を受けた場合は、要請の内容が正確かどうか慎重に調べ、適用法に適合しているかどうか検証します。法的に禁止されていない限り、AWS は顧客データを開示する前にお客様に通知し、お客様が開示からの保護を求めるためのさらなる措置を講じることができるようにします。AWS GDPR DPA に関する補足補遺 (補足補遺) で、 AWS は、顧客データに対する政府からの要求への対応に関して、以下のような強化された契約上のコミットメントを行っています。(i) あらゆる合理的な努力を払って、顧客データを要求する政府機関を該当するお客様にリダイレクトする、(ii) 法的に許可されている場合は、直ちにお客様に要求を通知する (必要に応じて、禁止の撤回を得るためにすべての合理的かつ合法的な努力を行うことを含む) (iii) 求が EU 法と矛盾する場合を含め、広すぎるまたは不適切な要求に異議を申し立てる、および (iv) 上記の手順を実行した後も、AWS が政府の要求に応じて顧客データを開示せざるを得ない場合は、要求を満たすために必要最小限の顧客データのみを開示する。
      • 契約上の措置。AWS は、AWS GDPR DPA および補足補遺に反映されている、上記の対策に対していくつかの契約上の措置を施しています。AWS GDPR DPA および補足補遺には、AWS による、以下のような契約上のコミットメントが含まれています。(1) 顧客データが保存および処理される AWS リージョンのお客様による選択、(2) AWS のインフラストラクチャを保護するために AWS が実装した技術および組織の両方に関する対策と、お客様が顧客データを保護するために適用することを選択できる技術的対策および組織的対策の両方、(3) 政府機関からデータ開示要求があった場合に顧客データを保護し、お客様に通知するための AWS の対策、および (4) 顧客データが処理される第三国で適用される法律に準拠して、AWS GDPR DPA に規定されている義務を果たす AWS の能力。補足補遺は、(5) GDPR によって付与された権利に違反した場合に補償を請求する個人の法定権利にも対応しています。
  • AWS は補助処理者を使用して顧客データを処理しますか?

    はい、AWS は次の 3 種類の補助処理者を使用する場合があります。(1) AWS のサービスが実行されるインフラストラクチャを提供する AWS 事業体、(2) 顧客データの処理が必要となる可能性のある特定の AWS のサービスをサポートする AWS 事業体、および (3) AWS が特定の AWS のサービスの処理アクティビティを提供するために契約したサードパーティー。AWS 補助処理者のウェブページは、AWS が AWS GDPR DPA に従って関与する補助処理者に関する詳細情報を提供し、お客様のために顧客データを処理するアクティビティを説明します。個々のお客様に関連する補助処理者は、お客様が選択した AWS リージョンや、お客様が使用する特定の AWS のサービスによって異なります。

  • お客様がデータ転送の評価を行う際、AWS ではどのようにお客様を支援しますか?

    AWS のホワイトペーパー、Navigating Compliance with EU Data Transfer Requirements では、お客様が Schrems II 規則、さらには、European Data Protection Board のレコメンデーションを踏まえたうえで、データ転送評価を実施する際にお客様を支援する目的で、AWS が提供するサービスとリソースに関する情報を紹介しています。このホワイトペーパーではまた、顧客データを保護するために、AWS が実施し、提供している主要な補足的手段についても説明しています。

  • AWS のサービスの使用方法が GDPR に準拠していることをデータ保護規制機関に証明するにはどうしたらよいですか?

    AWS は、AWS のインフラストラクチャが高いレベルのコンプライアンスを維持していることを証明するため、お客様に対して役立つ情報を提供しています。例えば、サードパーティーの監査人は、AWS がセキュリティのさまざまな規格や法規に準拠していることを検証しており、AWS はそれらの監査人が作成したさまざまなコンプライアンスレポートを提供しています。これらのレポートは、お客様が AWS で処理することとした顧客データを当社が保護していることをお客様に示すものです。この例には、AWS による ISO 27001、27017、および 27018 の遵守が含まれます。ISO 27018 には、顧客データの保護に重点を置いたセキュリティ統制が含まれています。

    また、AWS は、データ保護向けの CISPE Code of Conduct にも準拠しています。ACISPE Code of Conduct に関する詳細情報は、下記のよくある質問「AWS は、クラウドインフラストラクチャサービスに固有の GDPR の承認された行動規範に準拠していますか?」でご確認ください。

  • AWS は、クラウドインフラストラクチャサービスに固有の GDPR の承認された行動規範に準拠していますか?

    2017 年 2 月に、 AWS は CISPE Data Protection Code of Conduct への準拠について発表しました。 CISPE (Cloud Infrastructure Services Providers in Europe) は、ヨーロッパの数百万の顧客にサービスを提供するクラウドコンピューティングのリーダーの連合体です。CISPE は、French Data Protection Authority (CNIL) と共同で策定されました。 CISPE Data Protection Code of Conduct (CISPE Code) は、クラウドインフラストラクチャサービスに重点を置いた最初の汎欧州のデータ保護に関する行動規範です。CISPE Code は、 欧州データ保護委員会によって支持され、 CNIL によって承認されています。
     
    CISPE Code は、クラウドインフラストラクチャサービスプロバイダーが GDPR への準拠を実証し、顧客データを保護するための適切な運用を保証することをお客様が確信するのに役立ちます。CISPE Code には以下のような重要な利点があります。
    • 顧客データ、つまりクラウドインフラストラクチャサービスを使用してお客様に代わって処理される個人データの処理に関して、GDPR に基づくクラウドインフラストラクチャサービスプロバイダーの役割を明確にします。
    • すべての顧客データを欧州経済領域内に保存し、欧州経済領域内で処理するサービスをお客様が選択できるようにすることをクラウドインフラストラクチャサービスプロバイダーに要求します。
    • CISPE Code は、データ処理者としてのクラウドインフラストラクチャサービスプロバイダーが遵守する必要のある要件を定めており、特にセキュリティ対策に重点を置いています。すなわち、クラウドインフラストラクチャサービスプロバイダーが GDPR を遵守するために実行する必要のあるアクションとコミットメントの概要を示しています (また、お客様が GDPR を確実に遵守するのに役立ちます)。
    • CISPE Code は、GDPR コンプライアンスのニーズについて決定を下すために必要なデータ保護およびデータセキュリティ情報をお客様に提供します。クラウドインフラストラクチャサービスプロバイダーは、セキュリティに関するコミットメントを達成するために実行している手順について透明性を保つことが要求されています。これらの手順には、個人データの侵害およびサードパーティーの補助処理に関連する通知が含まれます。この情報をご利用いただくことで、お客様に高水準のセキュリティが提供されていることを十分にご理解いただけます。

技術的および組織的対策


  • GDPR は AWS の責任共有モデルにどのように影響しますか?

    AWS の責任共有モデルが GDPR によって変わることはなく、お客様にとって引き続き重要です。責任共有モデルは、GDPR に基づいた AWS のさまざまな責任 (データの処理者または補助処理者として)、ならびにお客様の責任 (データ管理者またはデータ処理者として) を説明するために役立つアプローチです。

    責任共有モデルにおいて、AWS には、AWS のサービス (「クラウド「の」セキュリティ」) をサポートする基盤となるインフラストラクチャを保護する責任があります。一方、お客様は、データ管理者またはデータ処理者として行動し、AWS のサービス (「クラウド「内の」セキュリティ」) にアップロードする個人データすべてに対して責任を負います。

    AWS の「クラウドのセキュリティ」責任 – AWS は、AWS のサービスで実行されるすべてのインフラストラクチャの保護について責任を負います。このインフラストラクチャは、AWS のサービスを運用するためのハードウェア、ソフトウェア、ネットワーキング、施設で構成されています。これにより、お客様は、カスタマーコンテンツを処理する際に、セキュリティ構成の統制などの強力な統制を利用できるようになります。サードパーティーの監査人は、AWS がコンピュータセキュリティのさまざまな規格や法規に準拠していることを検証しており、AWS はそれらの監査人が作成したさまざまなコンプライアンスレポートをお客様に提供しています (詳細については、AWS コンプライアンのウェブページをご覧ください)。お客様は、これらのレポートから、その顧客データがどのように保護されているかを理解できます。例えば、AWS は、ISO 27001、27017、27018 に準拠しています。ISO 27018 には、顧客データの保護に重点を置いたセキュリティ統制が含まれています。

    「クラウド内のセキュリティ」に関するお客様の責任 - AWS のお客様には、AWS のサービスにデプロイすることを選択したアプリケーションとソリューションを設計および保護する責任があります。また、AWS のお客様は、その顧客データの機密性、整合性、およびセキュリティのニーズを保護できる方法で AWS のサービスを設定する責任も負います。お客様が自身のデータを保護するために必要な具体的な責任は、お客様が使用することを選択した AWS のサービスと、それらのサービスをお客様の IT 環境に統合する方法によって異なります。AWS のお客様は自身のデータに対する可視性とコントロールを持ち、データの機密性の種類に基づいて柔軟なセキュリティコントロールを実装できます。お客様は、独自のセキュリティ対策とツールを利用するか、AWS または他のサプライヤが提供するセキュリティ対策とツールを使用することで、これを行うことができます。このようにして、お客様はより機密性の高いデータのために追加のセキュリティ層を導入することができます。

    AWS は、お客様がアプリケーションやソリューションを設計および保護するために使用でき、GDPR の要件の処理に役立つようにデプロイできる製品、ツール、サービスを提供いたします。

    • AWS Identity and Access Management (IAM) を使用すると、組織は AWS の製品とリソースへのアクセスを安全に管理できます。IAM を使用するお客様は、AWS のユーザーやグループを作成して管理することや、権限を設定して AWS リソースへのアクセスを許可または拒否することができます。IAM は、各 AWS アカウントで追加料金なしで利用できる機能です。
    • AWS CloudTrail を使用すると、AWS でのアクションに関連するアカウントアクティビティについての情報のログ記録、継続的なモニタリング、保持を行うことができるようになります。これにより、セキュリティ分析、リソース変更の追跡、トラブルシューティングを簡略化できます (デフォルトでは、AWS CloudTrail がすべての AWS アカウントで有効になっています)。
    • Amazon GuardDuty はマネージド型の脅威検出サービスです。悪意のある操作や不正な動作を継続的に監視し、AWS アカウントとワークロードを保護します。異常な API コールや不正なデプロイの可能性など、アカウント侵害の可能性を示すアクティビティがモニタリングされます。GuardDuty はインスタンスへの侵入の可能性や攻撃者による偵察も検出します。
    • Amazon Macieは、Amazon S3 に保存された個人データの検出と分類をサポートするための機械学習ツールです。

    GDPR に準拠して AWS リソースを使用する方法の詳細については、AWS での GDPR のコンプライアンスのホワイトペーパーをお読みください。

  • AWS パートナーは、GDPR コンプライアンスに役立つ製品やサービスを提供していますか?

    はい。AWS パートナーソリューションファインダーで「GDPR」で検索すると、GDPR の遵守に役立つ製品やサービスを提供している ISV、MSP、SI パートナーを見つけることができます。また、AWS Marketplace で「GDPR」のソリューションを探すこともできます。

  • AWS は、GDPR への準拠に関してプロフェッショナルサービスによるサポートを提供していますか?

    はい。AWS Security Assurance Services チームは、GDPR の遵守に向けたお客様との取り組みをサポートするさまざまな活動を実施しています。業界認定のコンプライアンス専門家で構成されるこのチームは、適用可能なコンプライアンス標準を AWS のサービス固有の機能に結び付けることにより、お客様がクラウドでコンプライアンスを達成、維持、自動化するのを支援いたします。AWS Professional Services のコンサルタントがお客様をどのようにサポートできるかについての詳細は、こちらをご覧ください。

  • GDPR を遵守するための取り組みにおいて、AWS Support はどのようにサポートしてくれますか?

    お客様は、AWS Support を活用して、GDPR コンプライアンスへの道のりを支援する技術的助言を受けることができます。AWS では、この活動の一環として、クラウドサポートエンジニアとテクニカルアカウントマネージャー (TAM) のチームを結成し、コンプライアンスに関するリスクの特定と低減をサポートするトレーニングを実施しました。AWS が提供するサポートのレベルは、お客様が選択した AWS Support プランによって異なります。お客様が AWS Premium Support についてお知りになりたい場合は、AWS マネジメントコンソールで利用できる AWS Support Center にアクセスして、詳細を確認できます。この場合、エンタープライズサポート契約で指定した連絡先情報を使用するか、AWS Support のウェブページにアクセスしてください。エンタープライズサポートに登録しているお客様は、GDPR 関連の質問に関して TAM に問い合わせることができます。

    お客様が GDPR への準拠に取り組む際に役立つプログラムが 2 つあります。

    • クラウド運用のレビュー – AWS Enterprise Support に登録しているお客様が利用できます。このプログラムは、クラウド内での運用アプローチにおいて足りない部分を特定できるように設計されています。このプログラムは、AWS が多数の代表的なお客様との経験から収集した運用上のベストプラクティスに基づき、クラウド運用をレビューして、関連する管理実施策を提案するもので、GDPR への準拠に向けた組織の取り組みに役立ちます。このプログラムでは、優れた運用のために、クラウドベースのシステムの準備、モニタリング、運用、最適化という 4 つの柱によるアプローチを使用しています。
    • Well-Architected レビュー – 各組織は、このプログラムにより、AWS のベストプラクティスと比較して自社のアーキテクチャを評価し、安全性、信頼性、パフォーマンス、費用対効果に優れたアーキテクチャを構築できます。また、お客様は、Well-Architected レビューを使用することで、アーキテクチャのどこにリスクがあるかを把握し、アプリケーションを本番稼働する前に問題を解決できます。

  • 個人データの侵害を通知することに関して、お客様が GDPR に基づく義務を果たすことができるよう、AWS はどのようなサポートを提供していますか?

    AWS には、セキュリティインシデントのモニタリングとデータ侵害の通知プロセスがあり、AWS GDPR DPA に従って、過度の遅延なしに AWS のセキュリティ違反をお客様に通知します。また、AWS は、お客様のリソースに対して誰がアクセスできるか、またそのユーザーがいつどこからアクセスしたかを把握するためのツールをいくつか提供しています。このようなツールの 1 つに AWS CloudTrailがあります。これを使用すると、AWS アカウントのガバナンス、コンプライアンス、運用監査、リスク監査を実施できるようになります。AWS CloudTrail を使用すると、お客様は AWS インフラストラクチャ全体でアクションに関するアカウントアクティビティをログに記録し、継続的に監視し、情報を保持できます。これにより、各組織は、AWS インフラストラクチャで何が発生しているかを把握でき、異常なアクティビティが発生した場合にはすぐに対策を講じることができます。お客様が GDPR に基づいてデータ管理者としての義務を果たせるようサポートするために AWS がお客様に提供している他のセキュリティツールの詳細については、AWS クラウドのセキュリティに関するウェブページをご覧ください。  

  • お客様がサイバー攻撃からデータを保護できるよう、AWS はどのようなサポートを提供していますか?

    AWS は、お客様と AWS パートナーがその顧客データを保護し、サイバー攻撃から防御できるようサポートするため、いくつかのツールを提供しています。そのようなツールの 1 つに AWS Shield があります。これは、分散サービス妨害 (DDoS) に対するマネージド型の保護サービスで、AWS で運用しているウェブサイトとアプリケーションを保護するために使用できます。AWS Shield Standard は追加料金なしで利用でき、アプリケーションのダウンタイムとレイテンシーを最小限に抑える常時稼働の検出機能および自動インライン緩和策となります。AWS で運用され、ELB、Amazon CloudFront、Amazon Route 53 のリソースを使用するウェブアプリケーションを標的とした攻撃に対する保護を強化するため、お客様と AWS パートナーは AWS Shield Advanced に登録できます。また、AWS は、AWS を使用して DDoS 攻撃からの回復力に優れたアプリケーションを構築するお客様をサポートするため、AWS Best Practices for DDoS Resiliency を公開し、定期的に更新しています。

    サイバー攻撃から顧客データを保護するために AWS が提供するその他のツールには、以下があります。

    • AWS Identity and Access Management (IAM) を使用すると、組織は AWS の製品とリソースへのアクセスを安全に管理できます。IAM を使用すると、お客様と APN パートナーは、AWS のユーザーやグループを作成して管理することや、権限を設定して AWS リソースへのアクセスを許可または拒否することができます。IAM は、各 AWS アカウントで追加料金なしで利用できる機能です。
    • AWS Config を使用すると、お客様と APN パートナーは、AWS リソースが適切に構成され、規制への準拠状態が確保されるよう、事前にパッケージ化されたルールを有効にすることができます。
    • AWS CloudTrail を使用すると、AWS でのアクションに関連するアカウントアクティビティについての情報のログ記録、継続的なモニタリング、保持を行うことができるようになります。これにより、セキュリティ分析、リソース変更の追跡、トラブルシューティングを簡略化できます (デフォルトでは、AWS CloudTrail がすべての AWS アカウントで有効になっています)。
    • Amazon GuardDuty はマネージド型の脅威検出サービスです。悪意のある操作や不正な動作を継続的に監視し、AWS アカウントとワークロードを保護します。異常な API コールや不正なデプロイの可能性など、アカウント侵害の可能性を示すアクティビティがモニタリングされます。GuardDuty はインスタンスへの侵入の可能性や攻撃者による偵察も検出します。
  • AWS にあるコンテンツ内の個人データの特定を支援するために利用できるツールにはどのようなものがありますか?

    Amazon Macie は、機械学習とパターンマッチングを使用して AWS の個人データを検出して保護する、フルマネージドのデータセキュリティとデータプライバシーのサービスです。組織で管理するデータが増大するにつれて、大規模な個人データを特定し保護することは、コストや時間のかかる、ますます複雑な作業となります。Amazon Macie では、大規模な個人データの検出を自動化し、データ保護のコストを削減します。Macie では、暗号化されていないバケット、パブリックアクセス可能なバケット、AWS Organizations で定義したもの以外の AWS アカウントと共有されているバケットのリストを含む、Amazon S3 バケットのインベントリが自動的に提供されます。次に、Macie は、選択したバケットに機械学習とパターンマッチングの手法を適用して、個人データを識別してアラートを発信します。

    Amazon Macie は、クラウドセキュリティ向けの ISO 27017 規格やクラウドプライバシー向けの ISO 27018 規格など、国際的に認知された規格の認証を受けているため、お客様と APN パートナーは、Macie を使用してデータへのアクセスを継続的にモニタリングし、アクセスパターンに基づいて疑わしいアクティビティを検出できます。

  • AWS にあるコンテンツ内の個人データへのアクセスを管理するにはどうしたらよいですか?

    AWS は、お客様による GDPR への準拠をサポートするため、AWS のコンテンツに含まれる個人データへのアクセスを管理するツールをいくつか提供しています。次のようなツールがあります。

    • デフォルトのセキュリティとは、AWS のサービスがデフォルトでセキュアになるよう設計されているという意味です。デフォルトの設定が使用された場合、リソースへのアクセスは、アカウント所有者とルート管理者のみに制限されます。
    • AWS Identity and Access Management (IAM)では、AWS のサービスやリソースへのアクセスをお客様が安全に管理できます。IAM を使用して、組織は AWS のユーザーとグループを作成および管理し、アクセス権を使用して、AWS リソースへのユーザーとグループのアクセスを許可および拒否できます。IAM は、各 AWS アカウントで追加料金なしで利用できる機能です。
    • AWS Multi-Factor Authentication を使用すると、AWS アカウントのユーザー名およびパスワードの保護を強化できます。AWS では、MFA デバイスとして仮想デバイスとハードウェアデバイスのいずれかを選択できます。
    • AWS Directory Service を使用すると、社内ディレクトリとの統合および連携によって管理オーバーヘッドを削減し、エンドユーザーエクスペリエンスを向上できます。
    • AWS Config を使用すると、お客様は、AWS リソースが適切に構成され、規制への準拠状態が確保されるよう、事前にパッケージ化されたルールを有効にすることができます。
    • AWS CloudTrail では、AWS でのアクションに関連するアカウントアクティビティについての情報のログ記録、継続的なモニタリング、保持を行うことができるようになります。これにより、セキュリティ分析、リソース変更の追跡、トラブルシューティングを簡略化できます (デフォルトでは、AWS CloudTrail がすべての AWS アカウントで有効になっています)。
    • Amazon Macie は、機械学習を使用し、AWS にある機密データを自動的に検出、分類、保護することにより、お客様がデータを失うことがないようサポートするサービスです。完全マネージド型のサービスで、データアクセスアクティビティの異常が継続的にモニタリングされ、不正アクセスのリスクや不注意によるデータ漏洩が検出された場合に詳細なアラートが生成されます。例えば、機密データへの外部アクセスをお客様が誤って許可したような場合です。
       
  • 不正なアクセスを防止するため、AWS で顧客データを暗号化するにはどうしたらよいですか?

    AWS は、お客様と AWS パートナーが GDPR におけるデータ管理者としてデータ処理のセキュリティに関する義務を果たせるよう、クラウド内で保管中の顧客データのセキュリティを強化する機能を提供しています。AWS では次のような暗号化ツールを利用できます。

    • Amazon Elastic Block StoreAmazon S3Amazon GlacierAmazon DynamoDBOracle RDSSQL Server RDSRedshift といった、ストレージやデータベースに関する AWS のサービスで利用可能なデータ暗号化機能
    • 暗号化キーを AWS 側で管理するか、お客様が完全に自分で管理するかを選択できる、AWS Key Management Service などの柔軟なキー管理オプション
    • Amazon SQS のサーバー側暗号化 (SSE) を使用した、機密データ送信向けの暗号化メッセージキュー
    • お客様がコンプライアンスの要件を満たせるようにする、AWS CloudHSM を使用した専用の、ハードウェアベースの暗号化キーストレージ
     
    さらに、AWS には、AWS 環境内でお客様や APN パートナーが開発またはデプロイしたどのサービスにも暗号化とデータ保護を統合できる API が用意されています。
  • GDPR への準拠を支援するために AWS がお客様に提供するサービスにはどのようなものがありますか?

    AWS では、お客様が GDPR の要件を満たすための特定の機能とサービスを提供しています。

    アクセスコントロール: 承認された管理者、ユーザー、およびアプリケーションにのみ AWS リソースへのアクセスを許可する

    • 多要素認証 (MFA)
    • Amazon S3 バケット/Amazon SQS/Amazon SNS のオブジェクトおよびその他への詳細レベルのアクセス
    • API リクエスト認証
    • 地域制限
    • AWS Security Token Service による一時的アクセストークン

    モニタリングとロギング: AWS リソースのアクティビティの概要を確認

    暗号化: AWS のデータを暗号化する

    • AES256 (EBS/S3/Glacier/RDS) による保存データの暗号化
    • マネージド型一元キー管理 (AWS リージョン使用)
    • VPN-Gateways による AWS への IPsec トンネル
    • AWS CloudHSM によるクラウド上の専用の HSM モジュール

    格なコンプライアンスフレームワークとセキュリティ基準: 以下のような厳格な国際基準への準拠を示します。

AWS と UK GDPR


お問い合わせ


  • GDPR と AWS に関する質問がある場合の問い合わせ先を教えてください。

    GDPR についてご質問があるお客様は、まず AWS アカウントマネージャーにお問い合わせください。エンタープライズサポートにサインアップしているお客様は、テクニカルアカウントマネージャー (TAM) に問い合わせることもできます。TAM はソリューションアーキテクトと連携し、お客様がリスクとリスク低減の可能性を特定できるようにサポートします。また、TAM とアカウントチームは、環境とニーズに基づいて、お客様と APN パートナーに具体的なリソースを紹介することもできます。
     

    AWS には、エンタープライズサポート担当者やプロフェッショナルサービスコンサルタントといったスタッフによるチームもあり、GDPR に関する質問に回答しています。ご不明な点がございましたら、こちらからお問い合わせください。

compliance-contactus-icon
ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をお探しですか?
Twitter でフォローしてください »