一般データ保護規則 (GDPR) センター


概要

欧州連合の一般データ保護規則 (GDPR) は、データ主体のプライバシーに関する基本的な権利を保護し、個人データの保護を強化するものです。GDPRにより、データの保護、セキュリティ、コンプライアンスに関する基準を引き上げ、かつこれらを統合する厳格な要件が導入されます。

AWS のサービスは、GDPR が 2018 年 5 月 25 日に施行された時点で、GDPR に準拠します。

また、AWS 自身が準拠することに加えて、お客様のアクティビティに関わる可能性がある GDPR 要件にお客様が準拠することを支援するために、サービスとリソースを提供します。AWS では新機能が定期的にリリースされており、セキュリティとコンプライアンスに焦点を当てた機能とサービスが 500 個以上あります。

お客様の AWS 環境への GDPR の有効化

AWS では、お客様が GDPR に準拠する際に利用できる特定の機能やサービスを提供します。

AWS でデータを暗号化する

  • AES256 (EBS/S3/Glacier/RDS) による保存データの暗号化
  • マネージド型キー管理の一元化 (AWS リージョン別)
  • VPN-Gateways による AWS への IPsec トンネル
  • AWS CloudHSM によるクラウド上の専用の HSM モジュール

AWS リソースでのアクティビティの概要を知る

  • AWS Config によるアセット管理と設定
  • AWS CloudTrail による監査およびセキュリティ分析
  • Amazon VPC フローログによるネットワーク内のフローに関する詳細情報
  • AWS Config ルールによるルールベースの設定チェックおよびアクション
  • AWS CloudFront の AWS WAF 機能を使用したアプリケーションへの HTTP アクセスのフィルタリングとモニタリング

承認済みの管理者、ユーザー、およびアプリケーションのみを許可する

  • 多要素認証 (MFA)
  • Amazon S3、Amazon SQS、および Amazon SNS のオブジェクトへの詳細レベルのアクセス
  • API リクエスト認証
  • 地域制限
  • AWS Security Token Service による一時的アクセストークン

お客様によるカスタマーコンテンツの制御。AWS を使用するお客様は、次のことを行います。

  • カスタマーコンテンツの保存先として、ストレージのタイプやストレージの地理的リージョンなどを決定する。
  • カスタマーコンテンツの安全な状態を確保する。私たちはお客様のために、移動中または保管中のカスタマーコンテンツの強力な暗号化機能を提供しています。暗号化キーをお客様がご自身で管理するオプションも提供しています。
  • お客様が管理するユーザー、グループ、アクセス権限および認証情報によって、顧客コンテンツおよび AWS のサービスおよびリソースへのアクセスを管理する。

SbD アプローチにより、以下の点を達成できます。

  • 機能を修正する権限のないユーザーが上書きできないための強制的機能の作成。
  • 確実な制御の実行。
  • 継続的でリアルタイムな監査の実現。
  • お客様のガバナンスポリシーの技術的なスクリプト化。

AWS の ISO 27018 への適合は、独立したサードパーティの評価者によって検証済みです。ISO 27018 は、クラウド内の個人データ保護に焦点を合わせた最初の世界的な実務規範です。情報セキュリティスタンダードである ISO 27002 に基づいたこのスタンダードには、公開クラウドサービスプロバイダーによって処理される個人識別情報 (PII) に適用される ISO 27002 のコントロールの実装ガイダンスが用意されています。これは、AWS によるカスタマーコンテンツのプライバシーおよび保護に対する取り組みを示す統制システムが AWS に整備されていることをお客様に示すものです。

AWS のサービスを活用する

Amazon Macie

個人識別情報 (PII) を事前に保護し、移動を把握します。

Amazon Macie の詳細 »

AWS Identity and Access Management (IAM)

IAM を使用すると、AWS のユーザーとグループを作成および管理し、アクセス権を使用して AWS リソースへのアクセスを許可および拒否できます。

AWS IAM の詳細 »

Amazon Inspector

アプリケーションの標準とベストプラクティスを定義し、これらの標準への準拠を検証します。

Amazon Inspector の詳細 »

AWS Key Management Service (KMS)

データの暗号化に使用するキーを簡単に作成および管理します。

AWS KMS の詳細 »

GDPR のよくある質問

  • GDPR とは何ですか?

    一般データ保護規則 (GDPR) は、2018 年 5 月 25 日に施行される新しいヨーロッパのプライバシー法です。GDPR は、指令 95/46/EC としても知られる EU データ保護指令に取って代わるもので、各加盟国に拘束力を持つ単一のデータ保護法を適用することにより、欧州連合 (EU) 全体でデータ保護法に親和性をもたせることを目的としています。

  • GDPR は誰に適用されますか?

    GDPR は、EU 内で活動し、EU 市民の「個人データ」を処理するすべての組織に適用されます。個人データは、特定のまたは識別可能な自然人に関する情報を指します。

  • 現在の EU データ保護法は GDPR が施行された後どうなりますか?

    GDPR は、既存のデータ保護指令 (欧州指令 95/46/EC) に取って代わるものです。2018 年 5 月 25 日から、既存のデータ保護指令およびそれに関する法律は無効となります。

  • GDPR に備えて AWS はどのような準備をしていますか?

    AWS コンプライアンス、データ保護およびセキュリティの専門家は、世界中のお客様の質問にお答えし、GDPR が施行された後、AWS クラウドでワークロードを実行するための準備をお手伝いさせていただきます。これらのチームは、AWS が新しい GDPR の要件を確実に満たすために AWS が既に行っていることに関してすべてのレビューも行っています。2018 年 5 月に施行される時点で、すべての AWS のサービスが GDPR に準拠することを確認いたします。

    さらに、GDPR の要件を満たす新しいデータ処理契約 (GDPR DPA) も用意されています。この GDPR DPA は現在、2018 年 5 月の法改正に向けて準備を行っている AWS のすべてのお客様にご利用いただけます。GDPR DPA に関する追加情報、または GDPR DPAのコピーを入手するには、AWS アカウントマネージャーにお問い合わせください。

    最近、AWS は CISPE Code of Conduct (CISPE の行動規範) への準拠についても発表しました。CISPE Code of Conduct は、クラウドインフラストラクチャプロバイダーが GDPR に基づくデータ保護義務にどのように準拠しているかをクラウド顧客が評価するのに役立ちます。AWS では、Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon Relational Database Service (Amazon RDS)、AWS Identity and Access Management (IAM)、AWS CloudTrail、および Amazon Elastic Block Storage (Amazon EBS) が CISPE 規範に完全に準拠していると宣言しています。これは、AWS を使用する際に、安全性、セキュア、かつ規範への準拠性の高い環境でデータを完全に制御する能力に関して保証をお客様に提供するものです。AWS が CISPE Code of Conduct に準拠することに関する詳細は、以下のサイトをご覧ください。https://cispe.cloud/

    AWS は、グローバルな業務全般にわたり、セキュリティとコンプライアンスに関して高い水準を継続的に維持しています。セキュリティは常に私たちの最優先事項であり、煩雑なものと考えておりません。業界をリードする私たちのセキュリティは、国際的に認知されている認証および認定の基盤を提供し、クラウドセキュリティに関する ISO 27017、クラウドプライバシーに関する ISO 27018、SOC 1、SOC 2 およびSOC 3、PCI DSS レベル 1 などの厳しい国際基準への準拠を実証しています。また、AWS は、お客様が BSI のコモンクラウドコンピューティングコントロールカタログ (C5) などドイツで重要なローカルセキュリティ基準を満たすことも支援します。

  • AWS は GDPR 要件に沿って、Code of Conduct に準拠していますか?

    AWS は、CISPE Data Protection Code of Conduct への準拠について発表しました。CISPE は、ヨーロッパの顧客にクラウドサービスを提供する連立クラウドインフラストラクチャ (サービスとしてのインフラストラクチャとしても知られている) プロバイダーです。CISPE Code of Conduct は、お客様のクラウドインフラストラクチャプロバイダーが適切なデータ保護基準を使用して、GDPR に準拠したデータの保護を保証するのに役立ちます。この規範には次の重要な利点があります。

    • データ保護に関する責任の所在が明確になります。Code of Conduct は、特にクラウドインフラストラクチャサービスの文脈において、GDPR に基づくプロバイダーおよびお客様双方の役割を説明します。
    • Code of Conduct では、プロバイダーが準拠する必要のある原則が定められています。Code of Conduct では、プロバイダーが GDPR に準拠し、かつお客様がこれを準拠することを支援するために引き受けるべき行動と義務について概説されています。
    • Code of Conduct では、データ保護とデータセキュリティに関連して、コンプライアンスに関する決定を下すのに必要な情報がお客様に提供されます。Code of Conduct では、プロバイダーがセキュリティ義務を守るために取っている手順について透明性を保つことが要求されます。これらの手順には、データの侵害、データの削除およびサードパーティーによるサブプロセスならびに法の執行および政府の要請について通知することが含まれます。お客様はこの情報を使用して、高レベルなセキュリティが提供されていることを完全に理解できます。

    AWS における法的処置の要求の取り扱いに関する考慮事項については、「AWS でのデータレジデンシーの対応」をご覧ください。

  • GDPR によって EU で活動する組織はどのように変化しますか?

    GDPR の重要な側面の 1 つは、EU 加盟国間で、個人データの処理、使用、安全な変換の方法について一貫性を持たせることです。組織は、強固な技術的および組織的対策を実施し、これらを定期的にレビューすることにより、処理中のデータのセキュリティと継続的な GDPR への準拠についてコンプライアンスポリシーと同様に実証する必要があります。

  • GDPR への準拠を支援するために AWS がお客様に提供するサービスにはどのようなものがありますか?

    AWS では、お客様が GDPR の要件を満たすための特定の機能とサービスが既に提供されています。


    アクセスコントロール: 承認された管理者、ユーザー、およびアプリケーションにのみ AWS リソースへのアクセスを許可する

    • 多要素認証 (MFA)
    • Amazon S3 バケット/Amazon SQS/Amazon SNS のオブジェクトおよびその他への詳細レベルのアクセス
    • API リクエスト認証
    • 地域制限
    • AWS Security Token Service による一時的アクセストークン


    モニタリングとロギング: AWS リソースのアクティビティの概要を把握する

    • AWS Config によるアセット管理と設定
    • AWS CloudTrail によるコンプライアンス監査およびセキュリティ分析
    • AWS Trusted Advisor による設定上の課題の識別
    • Amazon S3 オブジェクトへのアクセスの詳細なログ
    • Amazon VPC フローログによるネットワーク内のフローに関する詳細情報
    • AWS Config ルールによるルールベースの設定チェックおよびアクション
    • AWS CloudFront の AWS WAF 機能を使用したアプリケーションへの HTTP アクセスのフィルタリングとモニタリング
     

    暗号化: AWS のデータを暗号化する
     
    • AES256 (EBS/S3/Glacier/RDS) による保存データの暗号化
    • マネージド型キー管理の一元化 (AWS リージョン別)
    • VPN-Gateways による AWS への IPsec トンネル
    • AWS CloudHSM によるクラウド上の専用の HSM モジュール


    厳格なコンプライアンスフレームワークとセキュリティ基準

    • ISO 27001/9001 認証
    • ISO 27017/27018 認証
    • クラウドコンピューティングコンプライアンスコントロールカタログ (C5 – ドイツ政府支援の認証スキーム)
    • AWS と監査人である TÜV TRUST IT は、Customer Certification Workbook を公開して、クラウド内で German BSI IT Grundschutz コンプライアンスを達成するためのガイダンスを提供している。
  • GDPR に備えて、何をすることができますか?

    2018 年 5 月までは施行されませんが、お客様とパートナーには今から GDPR のための準備を始めることを奨励しています。既に、コンプライアンス、セキュリティ、データプライバシーについて高い水準を満たしている企業にとっては、GDPR への移行は容易であるはずです。GDPR への準拠をまだ開始していない企業は、セキュリティ、コンプライアンスおよびデータ保護プロセスの見直しを今から開始して、2018 年 5 月にスムーズな移行を実現することをお勧めします。GDPR への準拠にあたって考慮すべき重要な点の幾つかを以下に示します。

    • 適用範囲: GDPR のコンプライアンスの義務を満たす組織の能力を確保するには、組織の活動に GDPR が適用されるかどうかを判断することが不可欠です。GDPR は、EU 内に設立されたすべての組織に適用されます。しかし、お客様の活動によっては、EU 外で設立されていても GDPR が適用される場合があります。
    • データ主体の権利: GDPR は、いくつかの方法でデータ主体の権利を強化します。例えば、データ主体にはデータの処理について異議を唱える権利、また、データを携行する権利があります。個人データを処理する場合は、データ主体の権利を尊重していることを確認する必要があります。
    • データ侵害の通知: お客様がデータ管理者である場合、データ侵害に関してデータ保護機関に不当に遅滞することなく報告する必要があります。AWS を使用すると、個人データの処理と保護の方法を制御できます。これにより、GDPR の下で要求される、プライバシー侵害に関する環境のモニタリング、規制機関および侵害された個人への通知が可能になります。また、AWS ネットワークに関連する当社のセキュリティ基準の違反を検知した場合も、AWS は不当に遅滞することなくお客様に通知します。
    • データ保護担当者 (DPO): 個人データの処理に関するデータセキュリティおよびその他の問題を管理する DPO を指名する必要がある場合があります。
    • データ保護影響評価 (DPIA): お客様の処理活動に関して DPIA を実施する必要がある可能性があります。場合によっては、DPIA を監督機関に提出する必要があります。そのためには、個人データ保護のための制御と同じく、お客様のデータ処理手順およびプロセスを特定する必要があります。
    • データ処理契約 (DPA): 特に EEA 外に個人データが転送される場合、GDPR の要件を満たす DPA が必要な場合があります。AWS では、来年 5 月に向けてのお客様の準備に役立てていただける、リクエストに応じて利用可能な GDPR DPA が提供されます。

    AWS では、GDPR の要件を満たすために役立つ幅広いサービスおよび特定のサービス機能が提供されます。これには、アクセスコントロール、モニタリング、ロギング、暗号化などのサービスが含まれます。これらの詳細については、上記のセクション「GDPR への準拠を支援するために AWS がお客様に提供するサービスにはどのようなものがありますか?」を参照してください。

    コンプライアンス、データ保護、セキュリティ専門家のチームは、AWS パートナーネットワークのパートナーと同様、ヨーロッパ各地で働くお客様の質問にお答えし、GDPR が施行された後にクラウドでワークロードを実行するための準備をお手伝いさせていただいています。追加情報については、AWS アカウントマネージャーにお問い合わせください。

  • AWS はデータ処理補遺条項 (DPA) を提供していますか?

    はい。お客様が AWS データ処理補遺条項を締結する方法の詳細については、こちらをご覧ください (サインインが必要です)。

  • AWS データ処理補遺にはモデル条項が含まれていますか?

    第 29 条作業部会により、モデル条項を含む AWS データ処理補遺が承認されています。第 29 条作業部会では、AWS データ処理補遺がモデル条項に関して指令の要件を満たしていることが確認されています。つまり、AWS データ処理補遺が "暫定" と見なされることはありません。第 29 条作業部会による AWS データ処理補遺の承認に関する詳細については、https://cnpd.public.lu/en/actualites/international/2015/03/AWS.html をご覧ください。

    ルクセンブルグのデータ保護当局 (CNPD) が、第 29 条作業部会の手順に沿って第 29 条作業部会の首席当局として活動しました。

    お客様が AWS データ処理補遺条項を締結する方法の詳細については、こちらをご覧ください (サインインが必要です)。

  • 「モデル条項」とは何ですか?

    標準契約条項 (「モデル条項」とも呼ばれる) は、欧州委員会により定義および承認された一連の標準条項で、データ制御者が個人データを指令に準拠した方法で欧州経済領域外にあるデータプロセッサに転送できるようにするために使用できます。

compliance-contactus-icon
ご質問がありますか? AWS のコンプライアンス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報を入手しますか?
Twitter でフォローしてください »