- AWS
- การรักษาความปลอดภัย ข้อมูลระบุตัวตน และการปฏิบัติตามข้อกำหนด
ความเป็นส่วนตัวของข้อมูลในประเทศญี่ปุ่น
ภาพรวม
กฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (APPI) เป็นกฎหมายหลักที่จัดการกับข้อมูลส่วนตัวในประเทศญี่ปุ่น
APPI มีผลบังคับใช้กับผู้ประกอบธุรกิจทั้งหมด (บุคคลและนิติบุคคล) ที่ดำเนินการกับข้อมูลส่วนบุคคล นอกจากนี้ APPI ยังจำแนกความแตกต่างระหว่างข้อมูลส่วนบุคคลกับข้อมูลส่วนตัวอีกด้วย (ซึ่ง APPI กำหนดว่าข้อมูลส่วนบุคคลถือเป็นส่วนหนึ่งของฐานข้อมูลของข้อมูลส่วนบุคคล) ข้อผูกพันของผู้ประกอบธุรกิจจะแตกต่างกันไปโดยขึ้นอยู่กับว่าผู้ประกอบธุรกิจได้รับ ใช้งาน หรือให้ข้อมูลส่วนบุคคลหรือข้อมูลส่วนตัว
ในวันที่ 23 มกราคม 2019 คณะกรรมาธิการยุโรป (EU) ให้การรับรองมาตรฐานการคุ้มครองข้อมูลกับประเทศญี่ปุ่น ส่งผลให้สามารถถ่ายโอนข้อมูลส่วนตัวระหว่างสองเขตเศรษฐกิจนี้ได้อย่างอิสระบนพื้นฐานของการรับประกันความคุ้มครองที่แข็งแกร่ง
AWS นั้นให้ความระมัดระวังกับความเป็นส่วนตัวและความปลอดภัยของข้อมูลของคุณ การรักษาความปลอดภัยที่ AWS นั้นเริ่มตั้งแต่โครงสร้างพื้นฐานหลักของเรา สร้างมาเฉพาะสำหรับระบบคลาวด์และออกแบบมาให้สอดคล้องต่อข้อกำหนดความปลอดภัยที่เข้มงวดที่สุดในโลก โครงสร้างของเราได้รับการตรวจสอบตลอด 24 ชั่วโมงทุกวันเพื่อให้แน่ใจถึงการรักษาความลับ ความถูกต้อง และความพร้อมใช้งานของข้อมูลของลูกค้าของเรา ผู้เชี่ยวชาญด้านความปลอดภัยระดับโลกที่ตรวจสอบโครงสร้างนี้ยังได้สร้างและรักษาตัวเลือกบริการด้านความปลอดภัยอันหลากหลายของเราไว้ ซึ่งช่วยให้คุณสามารถลดความยุ่งยากในการดำเนินการอย่างสอดคล้องกับข้อกำหนดด้านความปลอดภัยและกฎระเบียบของคุณด้วย ในฐานะลูกค้าของ AWS ไม่ว่าธุรกิจของคุณจะมีขนาดเท่าใดหรือตั้งอยู่ที่ใด คุณมีสิทธิ์ในการใช้ประโยชน์จากประสบการณ์ของเรา ซึ่งผ่านการทดสอบกับเฟรมเวิร์กการประกันคุณภาพที่เข้มงวดที่สุดของผู้ทดสอบภายนอกมาแล้ว
AWS ใช้และดูแลรักษามาตรการความปลอดภัยทางเทคนิคและองค์กรสำหรับบริการโครงสร้างพื้นฐาน AWS Cloud ภายใต้เฟรมเวิร์กการประกันและการรับรองความปลอดภัยที่ได้รับการยอมรับทั่วโลก ซึ่งรวมถึง ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1 และ SOC 1, 2 และ 3 มาตรการความปลอดภัยทางเทคนิคและองค์กรเหล่านี้ได้รับการตรวจสอบโดยผู้ประเมินอิสระภายนอก และออกแบบมาเพื่อป้องกันการเข้าถึงเนื้อหาของลูกค้าหรือการเปิดเผยเนื้อหาของลูกค้าโดยไม่ได้รับอนุญาต
ตัวอย่างเช่น ISO 27018 เป็นหลักปฏิบัติสากลฉบับแรกที่มุ่งเน้นการปกป้องข้อมูลส่วนตัวบนระบบคลาวด์ โดยมีรากฐานมาจากมาตรฐานด้านความปลอดภัยของข้อมูล ISO 27002 และให้แนวทางในการนำมาตรฐานการควบคุม ISO 27002 ไปใช้งานซึ่งมีผลกับข้อมูลที่ระบุตัวตนของบุคคลได้ (PII) ที่ประมวลผลโดยผู้ให้บริการระบบคลาวด์สาธารณะ สิ่งนี้แสดงให้ลูกค้าเห็นได้ว่า AWS นั้นมีระบบการควบคุมไว้คอยจัดการกับการคุ้มครองความเป็นส่วนตัวของเนื้อหาของตนโดยเฉพาะ
มาตรการด้านเทคนิคและองค์กรของ AWS อันครอบคลุมเหล่านี้สอดคล้องกับเป้าหมายของ APPI ในการปกป้องข้อมูลส่วนตัว ลูกค้าที่ใช้บริการของ AWS ยังคงสามารถควบคุมเนื้อหาของตนและมีหน้าที่รับผิดชอบต่อการนำมาตรการด้านความปลอดภัยเพิ่มเติมมาใช้ตามความต้องการที่เฉพาะเจาะจงของตน ซึ่งรวมถึงการจำแนกหมวดหมู่เนื้อหา การเข้ารหัส การจัดการการเข้าถึง และข้อมูลประจำตัวเพื่อการรักษาความปลอดภัย
เนื่องจาก AWS ไม่สามารถมองเห็นหรือรับทราบเกี่ยวกับสิ่งที่ลูกค้าอัปโหลดไปยังเครือข่ายของเราได้ รวมทั้งไม่สามารถทราบได้ว่าข้อมูลดังกล่าวถือว่าอยู่ภายใต้กฎหมายว่าด้วยความเป็นส่วนตัวหรือไม่ ลูกค้าจึงต้องรับผิดชอบต่อการปฏิบัติตามกฎหมายว่าด้วยความเป็นส่วนตัวและกฎระเบียบที่เกี่ยวข้องเอง เนื้อหาในหน้านี้เป็นส่วนเสริมของแหล่งข้อมูลด้านความเป็นส่วนตัวของข้อมูลที่มีอยู่แล้วเพื่อช่วยให้ข้อกำหนดของคุณสอดคล้องกับรูปแบบความรับผิดชอบร่วมกันของ AWS เมื่อคุณจัดเก็บและประมวลผลข้อมูลส่วนตัวโดยใช้บริการของ AWS
คำถามที่พบบ่อย
เปิดทั้งหมดกลยุทธ์ด้านความปลอดภัยของศูนย์ข้อมูล AWS นั้นประกอบไปด้วยมาตรการควบคุมด้านความปลอดภัยที่ขยายขนาดได้และการป้องกันหลายชั้นที่ช่วยในการปกป้องข้อมูลของคุณ ตัวอย่างเช่น AWS จะบริหารจัดการกับความเสี่ยงของอุทกภัยและเหตุการณ์แผ่นดินไหวอย่างระมัดระวัง เรามีกำแพงป้องกันทางกายภาพ พนักงานรักษาความปลอดภัย เทคโนโลยีตรวจจับภัยคุกคาม และกระบวนการคัดกรองเชิงลึกเพื่อจำกัดการเข้าถึงศูนย์ข้อมูล เราทำการสำรองระบบ ทดสอบอุปกรณ์และกระบวนการของเราเป็นประจำ อีกทั้งยังฝึกอบรมพนักงานของ AWS อย่างต่อเนื่องเพื่อเตรียมความพร้อมสำหรับเหตุการณ์ที่ไม่คาดคิด
ในการตรวจสอบความปลอดภัยของศูนย์ข้อมูลของเรา ผู้ตรวจสอบภายนอกจะดำเนินการทดสอบกับมาตรฐานและข้อกำหนดมากกว่า 2,600 รายการตลอดทั้งปี การตรวจสอบโดยอิสระเช่นนี้ช่วยให้แน่ใจว่ามาตรฐานด้านความปลอดภัยของเรานั้นเป็นไปตามที่กำหนดไว้อย่างสม่ำเสมอ หรือดียิ่งกว่า ด้วยเหตุนี้ องค์กรที่มีการควบคุมที่เข้มงวดที่สุดในโลกจึงไว้ใจให้ AWS ปกป้องข้อมูลของตน
เรียนรู้เพิ่มเติมเกี่ยวกับวิธีที่เรารักษาความปลอดภัยของศูนย์ข้อมูล AWS ตั้งแต่ขั้นตอนการออกแบบโดยการเข้าร่วมทัวร์เสมือน »
โครงสร้างพื้นฐาน AWS Cloud ได้รับการออกแบบมาให้เป็นหนึ่งในสภาพแวดล้อมการประมวลผลบนคลาวด์ที่ยืดหยุ่นและปลอดภัยที่สุดเท่าที่มีอยู่ในขณะนี้ ขนาดการดำเนินงานของ Amazon ทำให้สามารถลงทุนในด้านนโยบายความปลอดภัยและมาตรการรับมือได้มากกว่าที่บริษัทขนาดใหญ่โดยส่วนใหญ่จะสามารถทำได้ด้วยตนเอง โครงสร้างพื้นฐานนี้ประกอบไปด้วยฮาร์ดแวร์ ซอฟต์แวร์ เครือข่าย และสิ่งอำนวยความสะดวกที่ใช้บริการต่าง ๆ ของ AWS ที่ให้ลูกค้าและพาร์ทเนอร์ APN มีอำนาจควบคุมหลากหลายอย่าง รวมถึงการควบคุมการกำหนดค่าความปลอดภัย สำหรับการจัดการข้อมูลส่วนบุคคล สามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับมาตรการที่ AWS ใช้อยู่เพื่อรักษาความปลอดภัยให้อยู่ในระดับสูงอยู่เสมอได้ในเอกสารรายงานภาพรวมเกี่ยวกับกระบวนการรักษาความปลอดภัยของ AWS
AWS ยังจะให้รายงานการปฏิบัติตามข้อกำหนดหลายฉบับจากผู้ตรวจสอบภายนอกซึ่งได้ตรวจสอบและยืนยันการปฏิบัติตามข้อกำหนดมาตรฐานและข้อบังคับด้านความปลอดภัยต่าง ๆ ของเรา ซึ่งรวมถึง ISO 27001, ISO 27017 และ ISO 27018 เพื่อแสดงถึงความโปร่งใสในประสิทธิภาพของมาตรการเหล่านี้ คุณจะเข้าถึงรายงานการตรวจสอบของบุคคลภายนอกได้ใน AWS Artifact สำหรับลูกค้าและพาร์ทเนอร์ APN ของเราซึ่งอาจทำหน้าที่เป็นผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รายงานเหล่านี้ได้แสดงให้เห็นว่าเรากำลังปกป้องโครงสร้างพื้นฐานที่สำคัญอันเป็นที่ซึ่งลูกค้าได้ใช้จัดเก็บและประมวลผลข้อมูลส่วนบุคคล สำหรับข้อมูลเพิ่มเติม โปรดไปที่ แหล่งข้อมูลสำหรับการปฏิบัติตามข้อกำหนดของเรา
ศูนย์ข้อมูล AWS ได้รับการสร้างให้อยู่ในรูปแบบคลัสเตอร์ในหลายตำแหน่งทั่วโลก เราเรียกคลัสเตอร์ศูนย์ข้อมูลในตำแหน่งที่ตั้งต่าง ๆ ว่า “รีเจี้ยน”
ลูกค้า AWS เป็นผู้เลือก AWS Region ที่จะจัดเก็บเนื้อหาของตน ซึ่งช่วยให้ลูกค้าที่มีความต้องการเฉพาะทางภูมิศาสตร์สามารถจัดสร้างสภาพแวดล้อมในสถานที่ตั้งตามต้องการได้
ลูกค้าสามารถทำสำเนาและสำรองเนื้อหาในรีเจี้ยนได้มากกว่าหนึ่งรีเจี้ยน แต่ AWS จะไม่ย้ายเนื้อหาของลูกค้าออกนอกรีเจี้ยนที่ลูกค้าเลือก เว้นแต่จะเป็นการให้บริการตามคำขอของลูกค้าหรือเพื่อการปฏิบัติตามกฎหมายที่มีผลบังคับใช้
- กำหนดได้ว่าจะเก็บเนื้อหาไว้ที่ใด ตัวอย่างเช่นประเภทของพื้นที่จัดเก็บและตำแหน่งที่ตั้งทางภูมิศาสตร์ของพื้นที่จัดเก็บ
- ควบคุมรูปแบบของเนื้อหานั้น ตัวอย่างเช่น ข้อความธรรมดา แบบสวมข้อมูล ไม่ระบุชื่อ หรือใส่รหัส โดยใช้ได้ทั้ง AWS ในการเข้ารหัสข้อมูลหรือใช้กลไกการเข้ารหัสของบริษัทอื่น ทั้งนี้ขึ้นอยู่กับการเลือกของลูกค้า
- จัดการการควบคุมการเข้าถึงอื่นๆ เช่นการจัดการการเข้าถึงข้อมูลประจำตัวและข้อมูลรับรองความปลอดภัย
- ควบคุมว่าจะใช้ SSL, Virtual Private Cloud และมาตรการรักษาความปลอดภัยเครือข่ายอื่นๆ เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตหรือไม่
ลูกค้าจะคงสิทธิ์ในการเป็นเจ้าของและการควบคุมเนื้อหาลูกค้าของตน และสามารถเลือกได้ว่าบริการของ AWS บริการใดจะทำหน้าที่ประมวลผล จัดเก็บ และเป็นโฮสต์ให้กับเนื้อหาลูกค้าของตน AWS ไม่มีความสามารถในการมองเห็นเนื้อหาของลูกค้า และจะไม่เข้าถึงหรือใช้งานเนื้อหาของลูกค้า เว้นแต่เพื่อการให้บริการของ AWS ที่ลูกค้าเลือก หรือเมื่อจำเป็นต่อการปฏิบัติตามกฎหมายหรือคำสั่งทางกฎหมายที่ผูกมัด
ลูกค้าที่ใช้บริการของ AWS จะยังคงมีความสามารถในการควบคุมเนื้อหาของตนภายในสภาพแวดล้อมของ AWS ได้ พวกเขาสามารถ:
สิ่งนี้ช่วยให้ลูกค้าของ AWS สามารถควบคุมวงจรการใช้งานเนื้อหาของตนบน AWS ได้ทั้งหมด และสามารถจัดการเนื้อหาได้ตามความต้องการ ซึ่งรวมถึงการจัดหมวดหมู่ข้อมูล การควบคุมการเข้าถึง การเก็บรักษา และการลบเนื้อหา
ลูกค้าจะเลือกใช้แค่หนึ่งรีเจี้ยน ทุกรีเจี้ยน หรือเลือกรีเจี้ยนต่าง ๆ ที่ต้องการใช้ก็ได้ ไปที่หน้าโครงสร้างพื้นฐานระดับโลกของ AWS เพื่อดูรายการ AWS Region ทั้งหมด
- มาตรการด้านความปลอดภัยที่ AWS นำไปใช้และดำเนินการ ซึ่งเรียกว่า "ความปลอดภัยของระบบคลาวด์" และ
- มาตรการด้านความปลอดภัยที่ลูกค้านำไปใช้และดำเนินการ ซึ่งเกี่ยวข้องกับการรักษาความปลอดภัยของเนื้อหาและแอปพลิเคชันของลูกค้าที่ใช้ประโยชน์จากบริการของ AWS ซึ่งเรียกว่า “ความปลอดภัยในระบบคลาวด์”
ภายใต้รูปแบบความรับผิดชอบร่วมกันของ AWS ลูกค้า AWS ยังคงมีความสามารถในการควบคุมความปลอดภัยที่ตนเลือกเพื่อนำไปใช้ปกป้องเนื้อหา แพลตฟอร์ม แอปพลิเคชัน ระบบ และเครือข่ายของตนได้ เช่นเดียวกับที่ลูกค้าดำเนินการกับแอปพลิเคชันในศูนย์ข้อมูลในองค์กร ลูกค้าสามารถพัฒนาจากมาตรการและการควบคุมความปลอดภัยทางเทคนิคและขององค์กรที่ AWS มอบให้ได้เพื่อบริหารจัดการข้อกำหนดในการปฏิบัติตามกฎระเบียบของตน ลูกค้าสามารถใช้มาตรการที่ตนคุ้นเคยในการปกป้องข้อมูลของตนได้ เช่น การเข้ารหัสและการยืนยันตัวตนหลายปัจจัยนอกเหนือจากคุณสมบัติด้านความปลอดภัยของ AWS อย่าง AWS Identity and Access Management
เมื่อทำการประเมินความปลอดภัยของโซลูชันระบบคลาวด์ ลูกค้าจำเป็นต้องเข้าใจและแยกความแตกต่างระหว่าง:
