メインコンテンツに移動

AWS クラウドセキュリティ

一般データ保護規則 (GDPR) センター

Missing alt text value

AWS のサービスを使用する場合の GDPR コンプライアンス

欧州連合の一般データ保護規則 (GDPR) は、データ主体のプライバシーに関する基本的な権利を保護し、個人データの保護を強化するものです。GDPR には、データの保護、セキュリティ、コンプライアンスに関する基準を引き上げ、かつこれらを調和させる厳格な要件が含まれています。詳細については、以下の「GDPR に関するよくある質問」をご覧ください。

AWS のお客様はすべての AWS サービスを使用して、GDPR に準拠しながらお客様の AWS アカウントで AWS サービスにアップロードされた (GDPR で定義される) 個人データ (顧客データ) を処理できます。また、AWS 自身が準拠することに加えて、お客様のアクティビティに関わる可能性がある GDPR 要件にお客様が準拠することを支援するために、サービスとリソースを提供します。AWS では、新機能を定期的にリリースしており、セキュリティとコンプライアンスに重点を置いた 500 種類を超える機能とサービスを提供しています。AWS によるサポートの詳細については、ブログの「欧州のお客様がデータ保護のニューノーマルに対応するのを AWS がサポートする方法」をご覧ください。

焦点

お客様による管理

お客様のデータはお客様が管理します。AWS を使用する場合、お客様は以下のことができます:

  • 顧客データの保存先として、ストレージのタイプやストレージの地理的リージョンなどを決定する。
  • 顧客データの安全な状態を確保する。私たちはお客様のために、移動中または保管中の顧客データの強力な暗号化機能を提供しています。暗号化キーをお客様がご自身で管理するオプションも提供しています。
  • お客様が管理するユーザー、グループ、許可および認証情報によって、顧客データおよび AWS のサービスおよびリソースへのアクセスを管理できます。
詳細

欧州経済地域 (EEA) 外への転送

AWS のお客様は引き続き AWS のサービスを使用して、お客様のデータを EEA から、GDPR に基づく欧州委員会から十分性認定を受けていない EEA 域外の国 (米国を含む) に転送できます。AWS では、お客様のデータを守ることが最優先事項であり、お客様が選択している AWS リージョンにかかわらず、厳格な技術的および組織的対策を講じ、かかるデータの機密性、完全性、可用性を保護しています。私たちは、透明性がお客様にとって重要であることを理解しています。AWS では、お客様のデータのデータ転送を伴う AWS のサービスについて、プライバシー機能のウェブページにまとめています。

AWS は規制の状況と法的な状況の変化に沿って、お客様がどこで事業を展開している場合でも、AWS のサービスのメリットを受けられるように常に取り組んでいきます。追加情報については、「Customer update on the EU-US Privacy Shield」(EU-US Privacy Shield に関する最新情報) と、AWS データ処理補遺条項に対する補足補遺および CISPE Data Protection Code of Conduct に関するブログ投稿をご覧ください。

概要と GDPR の基本

すべて開く

    一般データ保護規則 (GDPR) は、2018 年 5 月 25 日に施行された欧州のプライバシー関連法令です。GDPR は、指令 95/46/EC としても知られる EU データ保護指令に取って代わるもので、各加盟国に拘束力を持つ単一のデータ保護関連法令を適用することにより、EU 全体でデータ保護関連法令を調和させることを目的としています。

    GDPR は、商品またはサービスの EU 内データ主体への提供、または EU 内で行われる活動のモニタリングのいずれかに関連して、EU 内に設立された全組織、および EU 内に設立されたか否かを問わず EU 内の個人に関する個人データを処理する組織に適用されます。個人データとは、氏名、E メールアドレス、電話番号を含め、特定のまたは識別可能な自然人に関する情報を指します。

    AWS は、GDPR に基づいて、データ処理者とデータ管理者の両方の役割を担います。

    SCC は、GDPR に基づいて事前に承認されたデータ移転メカニズムであり、すべての EU 加盟国で適用可能です。これにより、欧州経済領域外の、欧州委員会から十分性認定を受けていない国 (第三国) への個人データの合法的な移転が可能になります。

    AWS サービス規約には、2021 年 6 月に European Commission (EC) によって採択された SCC が含まれています。AWS DPA は、AWS のお客様が AWS サービスを利用して、欧州経済領域外の、EC から十分性認定を受けていない国 (第三国) に顧客データを移転する場合は常に SCC が自動的に適用されることを確認しています。AWS サービス規約の一部として、新しい SCC は、お客様が AWS のサービスを利用して顧客データを第三国に移転する場合は常に自動的に適用されます。AWS のサービス条件の新しい SCC は以前のバージョンの SCC に置き換わるため、既に AWS DPA に署名している少数のお客様は、引き続きその AWS DPA に依拠できます。したがって、お客様が AWS のサービスを利用して第三国に移転する顧客データは、EEA で顧客データが受けるのと同じ程度に高度なレベルの保護を受けることになるため、ご安心いただけます。詳細については、新しい標準契約条項の運用に関するブログ記事をご覧ください。

Schrems II の判決と EDPB の推奨事項に従った AWS と GDPR のコンプライアンス

すべて開く

    2020 年 7 月 16 日、欧州連合司法裁判所 (CJEU) は、EU 個人に関する個人データの EEA 外への転送に関する判決を下しました (Schrems II)。この Schrems II で、CJEU は、EU-US プライバシーシールドが EEA から米国に個人データを転送するための有効な仕組みではなくなったとの判決を下しました。ただし、同じ判決で、CJEU は、企業が EEA 外に個人データを転送するための有効な仕組みとして標準契約条項を引き続き使用できることを確認しました (必要に応じて補足措置を実施することを条件とします)。各国のデータ保護当局の代表者で構成される欧州機関である European Data Protection Board (EDPB) はその後、「Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data」(EDPB Recommendations) において、補足措置の網羅的でないリストを提供しています。

    はい。AWS のお客様は、引き続き AWS のサービスを使用して、欧州委員会から適切性の判断を受けていない EEA 外の国に顧客データを転送することができます。Schrems II の判決は、EEA 外への顧客データの転送の仕組みとして標準契約条項 (SCC) の使用の有効性を確認しました。AWS のお客様は、GDPR に準拠して EEA 外へ顧客データを転送する際に引き続き SCC を利用することができます。

    はい。AWS は次の 3 種類の補助処理者を使用する場合があります。(1) AWS のサービスが実行されるインフラストラクチャを提供する AWS 事業体、(2) 顧客データの処理が必要となる可能性のある特定の AWS のサービスをサポートする AWS 事業体、および (3) AWS が特定の AWS のサービスの処理アクティビティを提供するために契約した第三者。AWS 補助処理者のウェブページは、お客様のために顧客データに対する処理アクティビティを提供してもらうことを目的として、AWS が AWS DPA に従って関与させる補助処理者に関する詳細情報を提供します。個々のお客様に関連する補助処理者は、お客様が選択した AWS リージョンや、お客様が使用する特定の AWS のサービスによって異なります。

    AWS のホワイトペーパー、Navigating Compliance with EU Data Transfer Requirements では、お客様が Schrems II の判決、さらには、European Data Protection Board のレコメンデーションを踏まえたうえで、データ転送評価を実施する際にお客様を支援する目的で、AWS が提供するサービスとリソースに関する情報を紹介しています。このホワイトペーパーではまた、顧客データを保護するために、AWS が実施し、提供している主要な補足的手段についても説明しています。

    AWS は、お客様に役立つ情報を提供しています。これには、さまざまなセキュリティ基準や規制への準拠を検証した第三者監査機関による複数のコンプライアンスレポートが含まれており、AWS がインフラストラクチャにおいて高いレベルのコンプライアンスを維持していることを証明しています。これらのレポートは、お客様が AWS で処理することとした顧客データを当社が保護していることをお客様に示すものです。この例には、AWS による ISO 27001、27017、および 27018 への準拠が含まれます。ISO 27018 には、顧客データの保護に重点を置いたセキュリティ統制が含まれています。

    はい。欧州クラウドインフラストラクチャサービスプロバイダー協会 (CISPE) の Data Protection Code of Conduct Public Register には、準拠している AWS サービスのリストが含まれています。 CISPE は、欧州の数百万の顧客にサービスを提供するクラウドコンピューティングのリーダーの連合体です。CISPE Data Protection Code of Conduct (CISPE Code) は、クラウドインフラストラクチャサービスプロバイダーに焦点を当てた初の汎欧州のデータ保護行動規範です。CISPE Code は、欧州全土の 27 のデータ保護機関に代わって行動する European Data Protection Board によって承認され、主な監督機関としての役割を担う French Data Protection Authority (CNIL) によって正式に採用されました。2017 年、AWS は旧版の CISPE Code への準拠を発表しました。

技術的および組織的対策

すべて開く

    AWS 責任共有モデルが GDPR によって変わることはなく、お客様にとって引き続き重要です。責任共有モデルは、GDPR に基づいた AWS のさまざまな責任 (データの処理者または補助処理者として)、ならびにお客様の責任 (データ管理者またはデータ処理者として) を説明するために役立つアプローチです。

    はい。AWS Security Assurance Services チームは、GDPR の遵守に向けたお客様との取り組みをサポートするさまざまな活動を実施しています。業界認定のコンプライアンス専門家で構成されるこのチームは、適用可能なコンプライアンス標準を AWS のサービス固有の機能に結び付けることにより、お客様がクラウドでコンプライアンスを達成、維持、自動化するのを支援いたします。AWS プロフェッショナルサービスのコンサルタントがお客様をどのようにサポートできるかについての詳細は、こちらをご覧ください。

    お客様は、AWS サポートを活用して、GDPR コンプライアンスへの道のりを支援する技術的助言を受けることができます。AWS では、この活動の一環として、Cloud Support Engineer と Technical Account Manager (TAM) のチームが存在しており、コンプライアンスに関するリスクの特定と低減をサポートするトレーニングを受けています。AWS が提供するサポートのレベルは、お客様が選択した AWS サポートプランによって異なります。お客様が AWS プレミアムサポートについてお知りになりたい場合は、AWS マネジメントコンソールで利用できる AWS Support Center にアクセスして、詳細を確認できます。この場合、エンタープライズサポート契約で指定した連絡先情報を使用するか、AWS サポートのウェブページにアクセスしてください。エンタープライズサポートに登録しているお客様は、GDPR 関連の質問に関して TAM に問い合わせるべきです。

    AWS には、セキュリティインシデントのモニタリングとデータ侵害の通知プロセスがあり、AWS DPA に従って、不当な遅延なしに AWS のセキュリティ違反をお客様に通知します。また、AWS は、お客様のリソースに対して誰がアクセスできるか、またそのユーザーがいつどこからアクセスしたかを把握するためのツールをいくつか提供しています。このようなツールの 1 つに AWS CloudTrail があります。AWS CloudTrail を使用すると、AWS アカウントのガバナンス、コンプライアンス、運用監査、リスク監査を実施できるようになります。AWS CloudTrail を使用すると、お客様は AWS インフラストラクチャ全体でアクションに関するアカウントアクティビティをログに記録し、継続的にモニタリングし、情報を保持できます。これにより、各組織は、AWS インフラストラクチャで何が発生しているかを把握でき、異常なアクティビティが発生した場合にはすぐに対策を講じることができます。お客様が GDPR に基づいてデータ管理者としての義務を果たせるようサポートするために AWS がお客様に提供している他のセキュリティツールの詳細については、AWS クラウドのセキュリティに関するウェブページをご覧ください。

    AWS は、お客様と APN パートナーがお客様の顧客データを保護し、サイバー攻撃から防御できるようサポートするための多数のツールを提供しています。そのようなツールの 1 つに AWS Shield があります。これは、分散型サービス拒否 (DDoS) に対するマネージド保護サービスで、AWS で運用しているウェブサイトとアプリケーションを保護するために使用できます。AWS Shield Standard は追加料金なしで利用でき、アプリケーションのダウンタイムとレイテンシーを最小限に抑える常時稼働の検出機能および自動インライン緩和策となります。AWS で運用され、ELB、Amazon CloudFront、Amazon Route 53 のリソースを使用するウェブアプリケーションを標的とした攻撃に対する保護を強化するため、お客様と APN パートナーは AWS Shield Advanced に登録できます。また、AWS は、AWS を使用して DDoS 攻撃からの回復力に優れたアプリケーションを構築するお客様をサポートするため、AWS Best Practices for DDoS Resiliency を公開し、定期的に更新しています。

    Amazon Macie は、機械学習とパターンマッチングを使用して AWS 上の個人データを検出して保護する、フルマネージドのデータセキュリティとデータプライバシーのサービスです。組織で管理するデータが増大するにつれて、大規模な個人データを特定し保護することは、コストや時間のかかる、ますます複雑な作業となります。Amazon Macie では、大規模な個人データの検出を自動化し、データ保護のコストを削減します。Macie では、暗号化されていないバケット、パブリックアクセス可能なバケット、AWS Organizations で定義したもの以外の AWS アカウントと共有されているバケットのリストを含む、Amazon S3 バケットのインベントリが自動的に提供されます。次に、Macie は、選択したバケットに機械学習とパターンマッチングの手法を適用して、個人データを検出した場合に通知します。

    AWS は、お客様による GDPR への準拠をサポートするため、AWS 上のお客様のコンテンツに含まれる個人データへのアクセスを管理する多数のツールを提供しています。次のようなツールがあります:

    • デフォルトのセキュリティとは、AWS のサービスがデフォルトでセキュアになるよう設計されているという意味です。デフォルトの設定が使用された場合、リソースへのアクセスは、アカウント所有者とルート管理者のみに制限されます。
    • AWS Identity and Access Management (IAM)では、AWS のサービスやリソースへのアクセスをお客様が安全に管理できます。IAM を使用することで、組織は AWS ユーザーとグループを作成および管理できるだけでなく、許可を使用して AWS リソースへのアクセスを許可または拒否することもできます。IAM は、各 AWS アカウントで追加料金なしで利用できる機能です。
    • AWS Multi-Factor Authentication を使用すると、AWS アカウントのユーザー名およびパスワードの保護を強化できます。AWS では、MFA デバイスとして仮想デバイスとハードウェアデバイスのいずれかを選択できます。
    • AWS Directory Service を使用すると、社内ディレクトリとの統合および連携によって管理オーバーヘッドを削減し、エンドユーザーエクスペリエンスを向上できます。
    • AWS Config を使用すると、お客様は、AWS リソースが適切に構成され、規制への準拠状態が確保されるよう、事前にパッケージ化されたルールを有効にすることができます。
    • AWS CloudTrail では、AWS インフラストラクチャでのアクションに関連するアカウントアクティビティについての情報のログ記録、継続的なモニタリング、保持を行うことができるようになります。これにより、セキュリティ分析、リソース変更の追跡、トラブルシューティングを簡略化できます (デフォルトでは、AWS CloudTrail がすべての AWS アカウントで有効になっています)。
    • Amazon Macie は、機械学習を使用し、AWS にある機密データを自動的に検出、分類、保護することにより、お客様がデータを失うことがないようサポートするサービスです。このフルマネージドサービスは、データアクセスアクティビティの異常を継続的にモニタリングし、不正アクセスのリスクや不注意によるデータ漏えいのリスクを検出した場合に、詳細なアラートを生成します。例えば、機密データへの外部アクセスをお客様が誤って許可したような場合です。

    AWS は、お客様と APN パートナーに対し、クラウド内で保管中のお客様データに追加のセキュリティ層を適用できるようにし、GDPR におけるデータ管理者としてのデータ処理のセキュリティを確保する義務を果たせるようサポートします。AWS では次のような暗号化ツールを利用できます:

    • Amazon Elastic Block StoreAmazon S3Amazon GlacierAmazon DynamoDBOracle RDSSQL Server RDSRedshift といった、ストレージやデータベースに関する AWS のサービスで利用可能なデータ暗号化機能
    • 暗号化キーを AWS が管理するか、またはお客様がキーを完全に管理できるようにするかを選択することを可能にする、AWS Key Management Service などの柔軟なキー管理オプション
    • Amazon SQS のサーバー側の暗号化 (SSE) を使用した、機密データ送信向けの暗号化メッセージキュー
    • お客様がコンプライアンスの要件を満たせるようにする、AWS CloudHSM を使用した専用の、ハードウェアベースの暗号化キーストレージ

    さらに、AWS は、お客様や APN パートナーが AWS 環境で開発またはデプロイするあらゆるサービスに、暗号化とデータ保護を統合するための API を提供しています。

    AWS では、お客様が GDPR の要件を満たすための特定の機能とサービスを提供しています:

    アクセスコントロール: 承認された管理者、ユーザー、およびアプリケーションにのみ AWS リソースへのアクセスを許可する

    • 多要素認証 (MFA)
    • Amazon S3 バケット/Amazon SQS/Amazon SNS のオブジェクトおよびその他への詳細レベルのアクセス
    • API リクエスト認証
    • 地域制限
    • AWS Security Token Service による一時的アクセストークン

    モニタリングとログ記録: AWS リソースのアクティビティの概要を確認する

    暗号化: AWS 上のデータを暗号化する

    • AES256 (EBS/S3/Glacier/RDS) による保存データの暗号化
    • マネージド型一元キー管理 (AWS リージョン使用)
    • VPN-Gateways による AWS への IPsec トンネル
    • AWS CloudHSM によるクラウド上の専用の HSM モジュール

    厳格なコンプライアンスフレームワークとセキュリティ基準: 以下のような厳格な国際基準への準拠を示します:

AWS と UK GDPR

すべて開く

    GDPR は EU 規制であり、英国は EU 離脱後に適用対象外となりました。 英国政府は、「UK GDPR」として GDPR の要件を英国法に組み込みました。

    AWS は、UK GDPR に基づくデータ処理者としての AWS のコミットメントを組み込んだ、AWS DPA に対する UK GDPR 準拠の UK GDPR 補遺条項を提供しています。UK GDPR 補遺条項AWS サービス規約の一部であり、UK GDPR への準拠のためのデータ処理契約を必要とするすべてのお客様に自動的に適用されます。

    AWS サービス規約の一部である UK GDPR 補遺条項には、EC によって採用された SCC と、英国のデータ保護規制機関 (Information Commissioners Office) によって発行された国際的なデータ移転に関する補遺 (IDTA) が含まれています。 IDTA は SCC を修正して、SCC が、個人データのために適切な水準の保護を提供しているとは認識されていない英国以外の国 (英国の第三国) への国際的なデータ移転について、UK GDPR の下で適切な保護手段となるようにします。UK GDPR 補遺条項は、お客様が AWS のサービスを使用して UK GDPR の対象となる顧客データ (英国の顧客のデータ) を英国の第三国に移転する場合には、常に SCC (IDTA によって修正されたもの) が自動的に適用されることを確認しています。 AWS サービス規約内の UK GDPR 補遺条項の一部として、お客様が英国の顧客データを英国の第三国に転送するために AWS のサービスを使用するときは、常に SCC (IDTA によって修正されたもの) が自動的に適用されます。

AWS と Swiss Federal Data Protection Act

すべて開く

    AWS は、AWS データ処理補遺条項スイスに関する補遺 (「スイスに関する補遺」) を提供します。これには、Swiss Federal Data Protection Act (「FDPA」) に基づくデータ処理者としての AWS の取り組みが組み込まれています。スイスに関する補遺は AWS サービス規約 (第 1.14.4 条を参照) の一部であり、お客様のデータを処理するための、お客様による AWS サービスの利用に FDPA が適用される場合に自動的に適用されます。

    AWS サービス規約の一部である AWS データ処理補遺条項に対するスイスに関する補遺には (第 1.14.4 条を参照)、欧州委員会によって採択され、スイス連邦データ保護情報コミッショナーの要求に応じて修正された標準契約条項 (「SCC」) が含まれています。スイスに関する補遺は、お客様が AWS のサービスを利用して FDPA の適用対象となるお客様のデータを第三国に移転する場合には、常に SCC (スイスに関する補遺によって修正されたもの) が自動的に適用されることを確認しています。

お問い合わせ

すべて開く

    GDPR についてご質問があるお客様は、まず AWS アカウントマネージャーにお問い合わせください。エンタープライズサポートにサインアップしているお客様は、テクニカルアカウントマネージャー (TAM) に問い合わせることもできます。TAM はソリューションアーキテクトと連携し、お客様がリスクとリスク低減の可能性を特定できるようにサポートします。また、TAM とアカウントチームは、環境とニーズに基づいて、お客様と APN パートナーに具体的なリソースを紹介することもできます。