ニュージーランドのデータプライバシー

概要

ニュージーランドのお客様は、アプリケーションやワークロードをアジアパシフィック (シドニー) リージョンで実行することで、オーストラリアやニュージーランドを拠点とするお客様のエンドユーザーに対するレイテンシーを低減できるとともに、初期費用、長期契約、およびインフラストラクチャの保守と運用に関連したスケーリングの課題を回避できます。

個人情報の取扱いに関する主な要件は、プライバシー法の一部である Information Privacy Principles (「IPP」) で定められています。IPP では、ニュージーランド内の個人から収集された個人情報の収集、管理、使用、公開、および取扱いに関する要件が定められています。

プライバシー法では、プリンシパルとエージェントとの区別が認識されます。ある団体 (エージェント) が、別の団体 (プリンシパル) に代わって個人情報を保管または処理する目的でのみ保持し、個人情報を独自の目的で使用または公開しない場合は、情報はプリンシパルによって保持されているものとみなされます。このような状況では、IPP に準拠する主な責任はプリンシパルにあります。 IPP の要件に関する全一覧表については、ここをクリックしてください。

  • AWS の責任共有モデルの下で、AWS のお客様は、自身のコンテンツ、プラットフォーム、アプリケーション、システム、ネットワークを保護するためにどのようなセキュリティを実装するかについて管理権限を保持しており、これはオンサイトのデータセンターのそれとなんら変わることはありません。お客様は、AWS によって提供される技術的で体系的なセキュリティ対策およびセキュリティ統制に基づいて構築を行い、お客様自身のコンプライアンス要件を管理できます。お客様は、AWS Identity and Access Management といった AWS のセキュリティ機能に加えて、暗号化や多要素認証といった使い慣れた対策を使用してデータを保護できます。

    クラウドソリューションのセキュリティを評価する場合、お客様が以下の点を理解して区別することが重要です。

    • AWS 側で実装および運用するセキュリティ対策 –「クラウドセキュリティ」
    • AWS のサービスを使用するお客様のコンテンツとアプリケーションのセキュリティに関連してお客様側で実装および運用するセキュリティ対策 –「クラウドにおけるセキュリティ」

  • お客様のコンテンツの所有権と管理権はお客様自身にあります。お客様のコンテンツが AWS のどのサービスによって処理され、保存され、ホストされるかはお客様自身が選択します。AWS では、お客様のコンテンツを確認することはできず、お客様のコンテンツにアクセスしたり、使用したりすることもできません。ただし、お客様が選択した AWS のサービスを提供するために必要な場合や、法律または拘束力のある法的な命令に従う必要がある場合を除きます。

    AWS のサービスを使用するお客様は、AWS 環境内のコンテンツを自分で管理します。具体的には、お客様は以下のことを行います。

    • コンテンツをどこに置くかを決定する (例えば、ストレージ環境の種類とそのストレージの地理的位置など)。
    • コンテンツの形式を管理する (例えば、プレーンテキスト、マスキング、匿名化、また AWS が提供する暗号化を利用するかまたはサードパーティー製の暗号化メカニズムを利用するか)。
    • 他のアクセスコントロールを管理する (例えば、アイデンティティアクセス管理、セキュリティ認証情報)。
    • 不正アクセスを防止するために SSL、仮想プライベートクラウド、その他のネットワークセキュリティ対策を使用するかどうかを管理する。

    これにより、AWS のお客様は AWS 上のコンテンツのライフサイクル全体を管理し、また、コンテンツの分類、アクセスコントロール、保持と廃棄などお客様独自のニーズに応じてコンテンツを管理できます。

  • AWS データセンターは世界中のさまざまな場所にあるクラスター内に構築されています。その地域での各データセンタークラスターは "リージョン" と呼ばれます。

    AWS のお客様は、コンテンツを保存する AWS リージョンを選択します。これにより、特定の地理的要件をお持ちのお客様は、それを満たすことができる場所で環境を構築できます。

    例えば、現在ニュージーランドには AWS のリージョンがないため、AWS のニュージーランドのお客様は、AWS のサービスのデプロイ先としてアジアパシフィック (シドニー) リージョンのみを選択し、オフショアのオーストラリアでコンテンツを保存できます。お客様がこのように選択する場合、お客様自身がデータの移動を選択しない限り、コンテンツはオーストラリアに配置されます。

    お客様は複数のリージョンでコンテンツを複製およびバックアップできますが、お客様からリクエストされたサービスを提供する場合または該当する法律に従う場合を除き、AWS 側でお客様のコンテンツをお客様が選択したリージョン外に移動することはありません。

  • AWS のデータセンターセキュリティ戦略には、お客様の情報を保護できるようにスケーラブルなセキュリティ対策と多層型の防御対策が含まれています。例えば、AWS では、洪水や地震活動によるリスクに慎重に対応しています。AWS では、物理的な防壁、警備員、脅威検出技術、詳細なスクリーニングプロセスを使用して、データセンターへのアクセスを制限しています。AWS では、システムをバックアップし、機器やプロセスを定期的にテストしています。また、想定外の出来事に備えて、AWS の従業員のトレーニングを継続的に行っています。

    データセンターのセキュリティを検証するために、外部の監査人が年間を通じて 2,600 個以上の規格と要件に基づく試験を実施しています。このような独立した試験を実施することで、セキュリティ基準を満たす、またはそれを超えるセキュリティを絶えず維持できます。その結果、AWS は、世界で最も厳しい規制要件を持つ組織から、データ保護に関する信頼を得ています。

    AWS データセンターはその設計段階からセキュリティが考慮されています。詳細については、バーチャルツアーでご確認ください »

  • お客様は、いずれか 1 つのリージョンを選択することも、すべてのリージョンを選択したり、任意のリージョンを組み合わせて選択したりすることもできます。AWS リージョンの一覧については、AWS グローバルインフラストラクチャのページをご覧ください。

  • AWS クラウドインフラストラクチャは、柔軟性とセキュリティにおいて現時点で最高レベルのクラウドコンピューティング環境となるように設計されています。Amazon の企業規模では、セキュリティの監視と対策のために、ほとんどの大企業が自社のクラウドインフラストラクチャで投資できる金額をはるかに超えた金額を投資できます。このインフラストラクチャーは、AWS のサービスを運用するためのハードウェア、ソフトウェア、ネットワーキング、施設で構成されています。これにより、お客様と APN パートナーは、個人データを処理する際に、セキュリティ構成の統制などの強力な統制を利用できるようになります。AWS が高いレベルのセキュリティを維持するために導入している対策の詳細については、AWS セキュリティプロセスの概要のホワイトペーパーをご覧ください。

    また、サードパーティーの監査人は、AWS が ISO 27001、ISO 27017、ISO 27018 など、セキュリティのさまざまな規格や法規に準拠していることをテストおよび検証しており、AWS はそれらの監査人が作成したさまざまなコンプライアンスレポートをお客様に提供しています。これらの対策の有効性に関する透明性を提供するために、当社では AWS Artifact からサードパーティーの監査レポートを入手できるようにしています。データ管理者またはデータ処理者として行動するお客様と APN パートナーは、これらのレポートから、個人データを保存および処理する際に使用される基盤となるインフラストラクチャを AWS が保護していることを理解できます。詳細については、コンプライアンスのリソースを参照してください。

  • AWS は、ニュージーランドプライバシー法の適用対象であり、AWS を使用して NDB スキームの対象となる個人情報を保存および処理しているお客様に、2 種類のニュージーランド通知データ侵害 (NZNDB) Addenda を提供しています。NZNDB Addenda は、セキュリティイベントがデータに影響を与える場合に顧客に通知を送信する必要性に応じて対応しています。AWS は、AWS Artifact (AWS マネジメントコンソールからアクセスできる顧客向けの監査およびコンプライアンスポータル) のクリックスルー契約として、両方のタイプの NZNDB Addenda をオンラインで利用できるようにしました。最初のタイプである Account NZNDB Addendum は、Account NZNDB Addendum を受け入れる特定の個別アカウントにのみ適用されます。Account NZNDB Addendum は、お客様が処理する必要のある AWS アカウントごとに個別に受け入れる必要があります。2 番目のタイプである Organizations NZNDB Addendum は、AWS Organizations のマスターアカウントによって承認されると、その AWS Organization のマスターアカウントとすべてのメンバーアカウントに適用されます。顧客が Organizations NZNDB Addendum を必要としない、または利用したくない場合でも、個々のアカウントの Account NZNDB Addendum を受け入れることができます。NZNDB Addendum のよくある質問は、AWS Artifact のよくある質問からオンラインで入手できます。

ニュージーランドのデータプライバシーに関するリソース

ニュージーランドのプライバシー委員会事務所
ニュージーランドのプライバシーの考慮事項に基づく AWS の使用
AWS リスクおよびコンプライアンスホワイトペーパー
AWS SOC 3 レポート
DDoS に対する回復性に関する AWS のベストプラクティス
AWS ISO 27001 よくある質問
ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をお探しですか?
Twitter でフォローしてください »