Quyền riêng tư dữ liệu tại Nhật Bản

Tổng quan

Đạo luật bảo vệ thông tin cá nhân (APPI) là đạo luật chủ đạo về xử lý dữ liệu cá nhân tại Nhật Bản.

APPI áp dụng cho tất cả các bên điều hành kinh doanh (cá nhân và tổ chức) có hoạt động xử lý thông tin cá nhân. APPI cũng phân biệt giữa thông tin cá nhân và dữ liệu cá nhân (là thông tin cá nhân cấu thành nên một phần của cơ sở dữ liệu thông tin cá nhân theo định nghĩa của APPI). Nghĩa vụ của bên điều hành kinh doanh thay đổi tùy thuộc vào việc bên điều hành kinh doanh có thu thập, sử dụng hoặc cung cấp thông tin cá nhân hoặc dữ liệu cá nhân hay không.

Vào ngày 23 tháng 1 năm 2019, Ủy ban Châu Âu (EU) đã thông qua quyết định về mức độ thỏa đáng áp dụng cho Nhật Bản, cho phép tự do trao đổi dữ liệu cá nhân giữa hai nền kinh tế trên cơ sở có các biện pháp bảo vệ mạnh mẽ.

AWS luôn thận trọng về quyền riêng tư và bảo mật dữ liệu của bạn. Tại AWS, bảo mật bắt đầu từ cơ sở hạ tầng cốt lõi của chúng tôi. Được xây dựng riêng cho đám mây và thiết kế nhằm đáp ứng các yêu cầu bảo mật nghiêm ngặt nhất trên thế giới, cơ sở hạ tầng của chúng tôi được giám sát 24x7 để đảm bảo tính bảo mật, toàn vẹn và khả năng sử dụng của dữ liệu khách hàng. Cơ sở hạ tầng này được giám sát bởi các chuyên gia bảo mật đẳng cấp thế giới và chính họ cũng là những người đã xây dựng và duy trì một nhóm chọn lọc bao gồm nhiều loại dịch vụ bảo mật tân tiến của chúng tôi, giúp bạn đơn giản hóa việc đáp ứng các yêu cầu về bảo mật và quản lý của chính mình. Là một khách hàng của AWS, bất kể quy mô hay vị trí công ty của bạn, bạn đều được thừa hưởng tất cả lợi ích từ kinh nghiệm đã được kiểm chứng theo khuôn khổ bảo đảm bên thứ ba nghiêm ngặt nhất của chúng tôi.

AWS triển khai và duy trì các biện pháp bảo mật theo kỹ thuật và tổ chức áp dụng được cho dịch vụ cơ sở hạ tầng đám mây AWS theo khuôn khổ và chứng nhận bảo đảm bảo mật được công nhận trên toàn cầu, bao gồm ISO 27001, ISO 27017, ISO 27018, PCI DSS Cấp 1SOC 1, 2 và 3. Những biện pháp bảo mật theo kỹ thuật và tổ chức này được xác thực bởi các bên đánh giá thứ ba độc lập và được thiết kế nhằm ngăn chặn truy cập trái phép hoặc tiết lộ nội dung khách hàng.

Ví dụ: ISO 27018 là bộ quy phạm thực hành mang tính quốc tế đầu tiên tập trung vào việc bảo vệ dữ liệu cá nhân trong đám mây. Bộ quy phạm dựa trên tiêu chuẩn bảo mật thông tin ISO 27002 này hướng dẫn thực hiện các biện pháp kiểm soát ISO 27002 áp dụng cho thông tin nhận dạng cá nhân (PII) mà các nhà cung cấp dịch vụ đám mây công cộng xử lý. Điều này chứng tỏ với khách hàng rằng AWS có sẵn một hệ thống các biện pháp kiểm soát chuyên xử lý vấn đề bảo vệ quyền riêng tư cho nội dung của họ.

Các biện pháp theo kỹ thuật và tổ chức toàn diện này của AWS nhất quán với mục tiêu của APPI để bảo vệ dữ liệu cá nhân. Khách hàng sử dụng dịch vụ AWS duy trì quyền kiểm soát đối với nội dung của mình và chịu trách nhiệm thực hiện các biện pháp bảo mật bổ sung căn cứ vào nhu cầu cụ thể của họ, bao gồm phân loại, mã hóa, quản lý truy cập và thông tin xác thực bảo mật nội dung.

Do AWS không có khả năng xem hoặc không nắm rõ nội dung khách hàng đang tải lên mạng của mình, kể cả việc dữ liệu đó có được xem là tuân thủ Đạo luật quyền riêng tư hay không, khách hàng phải chịu trách nhiệm cuối cùng về việc tuân thủ Đạo luật quyền riêng tư và các quy định liên quan. Nội dung trên trang này bổ sung vào tài nguyên Quyền riêng tư về dữ liệu hiện tại để giúp bạn điều chỉnh các yêu cầu của mình theo Mô hình chia sẻ trách nhiệm của AWS khi bạn lưu trữ và xử lý dữ liệu cá nhân bằng dịch vụ AWS.

  • Theo Mô hình Chia sẻ Trách nhiệm của AWS, khách hàng của AWS giữ quyền kiểm soát mức độ bảo mật mà họ chọn thực hiện nhằm bảo vệ nội dung, nền tảng, ứng dụng, hệ thống và mạng của chính mình, không được khác so với áp dụng cho ứng dụng tại một trung tâm dữ liệu tại cơ sở. Khách hàng có thể xây dựng dựa trên các biện pháp kiểm soát bảo mật theo kỹ thuật và tổ chức mà AWS cung cấp nhằm quản lý các yêu cầu tuân thủ của mình. Khách hàng có thể sử dụng các biện pháp quen thuộc để bảo vệ dữ liệu của mình, chẳng hạn như mã hóa và xác thực đa nhân tố, ngoài các tính năng bảo mật của AWS như AWS Identity and Access Management.

    Khi đánh giá bảo mật của giải pháp đám mây, điều quan trọng là khách hàng hiểu và phân biệt được giữa:

    • Các biện pháp bảo mật mà AWS triển khai và vận hành – "bảo mật của đám mây", và
    • Các biện pháp bảo mật mà khách hàng thực hiện và vận hành, liên quan tới bảo mật cho nội dung khách hàng của họ và các ứng dụng sử dụng dịch vụ AWS – "bảo mật trong đám mây"
  • Khách hàng duy trì quyền sở hữu và kiểm soát đối với nội dung khách hàng của mình và lựa chọn những dịch vụ AWS để xử lý, lưu trữ và lưu trữ web nội dung khách hàng của họ. AWS không nắm được nội dung khách hàng và không truy cập hay sử dụng nội dung khách hàng trừ khi để cung cấp dịch vụ AWS mà khách hàng lựa chọn hoặc nếu được yêu cầu để tuân thủ pháp luật hoặc một sắc lệnh pháp lý ràng buộc.

    Khách hàng sử dụng dịch vụ AWS duy trì quyền kiểm soát đối với nội dung của mình trong môi trường AWS. Họ có thể:

    • Xác định nơi sẽ lưu trữ nội dung, ví dụ như loại môi trường lưu trữ và vị trí địa lý của nơi lưu trữ đó.
    • Kiểm soát định dạng nội dung, ví dụ như văn bản thuần, có mặt nạ, ẩn danh hoặc mã hóa, sử dụng mã hóa do AWS cung cấp hoặc cơ chế mã hóa của bên thứ ba do khách hàng tự lựa chọn.
    • Quản lý các biện pháp kiểm soát truy cập khác như quản lý truy cập qua danh tính và thông tin xác thực bảo mật.
    • Kiểm soát việc có nên sử dụng SSL, Đám mây riêng ảo và các biện pháp bảo mật mạng khác để ngăn truy cập trái phép hay không.

    Điều này cho phép khách hàng của AWS kiểm soát toàn bộ vòng đời nội dung của mình trên AWS và quản lý nội dung của họ theo nhu cầu cụ thể, bao gồm phân loại, kiểm soát truy cập, giữ lại và xóa nội dung.

  • Trung tâm dữ liệu của AWS được xây dựng thành các cụm ở nhiều địa điểm khác nhau trên khắp thế giới. Chúng tôi gọi mỗi một cụm trung tâm dữ liệu của mình ở một địa điểm nhất định là "Khu vực".

    Khách hàng của AWS chọn (các) Khu vực AWS là nơi sẽ lưu trữ nội dung của họ. Điều này cho phép khách hàng với những yêu cầu địa lý cụ thể thiết lập được các môi trường tại (các) địa điểm do họ chọn.

    Khách hàng có thể sao chép và sao lưu nội dung ở nhiều hơn một Khu vực, nhưng AWS không di chuyển nội dung khách hàng ra bên ngoài (các) Khu vực do khách hàng chọn, trừ khi để cung cấp dịch vụ mà khách hàng yêu cầu hoặc để tuân thủ luật áp dụng.

  • Chiến lược bảo mật cho trung tâm dữ liệu của AWS được lắp ghép bằng các biện pháp kiểm soát bảo mật có thể mở rộng và nhiều lớp phòng vệ giúp bảo vệ thông tin của bạn. Ví dụ: AWS quản lý rủi ro lũ lụt và hoạt động địa chấn tiềm ẩn một cách cẩn thận. Chúng tôi sử dụng rào chắn vật lý, biện pháp bảo mật, công nghệ phát hiện mối đe dọa và quy trình sàng lọc chuyên sâu để hạn chế truy cập trung tâm dữ liệu. Chúng tôi sao lưu hệ thống của mình, thường xuyên kiểm tra trang thiết bị và quy trình, đồng thời liên tục đào tạo nhân viên của AWS để họ luôn sẵn sàng trước điều bất ngờ.

    Để xác thực mức độ bảo mật ở trung tâm dữ liệu của chúng tôi, các kiểm tra viên bên ngoài đã thực hiện kiểm tra trên hơn 2.600 tiêu chuẩn và yêu cầu trong suốt cả năm. Việc kiểm tra độc lập như vậy giúp đảm bảo luôn đáp ứng đúng các tiêu chuẩn bảo mật hoặc đạt mức cao hơn các tiêu chuẩn này. Kết quả là các tổ chức có quy định nghiêm ngặt nhất trên thế giới luôn tin tưởng giao cho AWS bảo vệ dữ liệu của họ.

    Tìm hiểu thêm về cách chúng tôi bảo mật cho các trung tâm dữ liệu của AWS theo thiết kế bằng cách tham gia một chuyến tham quan ảo »

  • Khách hàng có thể chọn sử dụng một Khu vực, tất cả các Khu vực hoặc kết hợp một số Khu vực. Truy cập trang Cơ sở hạ tầng toàn cầu AWS để xem danh sách đầy đủ về các Khu vực AWS.

  • Cơ sở hạ tầng Đám mây AWS đã được thiết kế để trở thành một trong những môi trường điện toán đám mây linh hoạt và an toàn nhất hiện nay. Quy mô của Amazon cho phép gia tăng đầu tư vào việc lập chính sách bảo mật và các biện pháp khắc phục nhiều hơn đáng kể so với mức mà hầu hết các công ty lớn có thể đáp ứng. Cơ sở hạ tầng này gồm có phần cứng, phần mềm, mạng và cơ sở vận hành dịch vụ AWS, cung cấp các biện pháp kiểm soát mạnh mẽ cho khách hàng và Đối tác APN, bao gồm các biện pháp kiểm soát cấu hình bảo mật, để xử lý dữ liệu cá nhân. Bạn có thể xem thêm chi tiết về các biện pháp mà AWS áp dụng tại chỗ để duy trì nhất quán mức bảo mật cao ở Báo cáo nghiên cứu chuyên sâu Tổng quan về quy trình bảo mật của AWS.

    AWS cũng cung cấp một số báo cáo tuân thủ từ các tổ chức kiểm tra bên thứ ba, những bên đã kiểm tra và xác minh tính tuân thủ của chúng tôi với nhiều tiêu chuẩn và quy định về bảo mật - bao gồm ISO 27001, ISO 27017 và ISO 27018. Để cung cấp tính minh bạch về hiệu quả của các biện pháp này, chúng tôi cấp quyền truy cập vào các báo cáo kiểm tra của bên thứ ba trong AWS Artifact. Những báo cáo này giúp khách hàng và Đối tác APN của chúng tôi - những người có thể đóng vai trò là bên kiểm soát dữ liệu hoặc bên xử lý dữ liệu, biết rằng chúng tôi đang bảo vệ cơ sở hạ tầng cơ bản mà họ lưu trữ và xử lý dữ liệu cá nhân trên đó. Để biết thêm thông tin, hãy truy cập vào Tài nguyên tuân thủ của chúng tôi.

Bạn có thắc mắc? Hãy kết nối với đại diện kinh doanh AWS
Bạn đang khám phá vai trò của tuân thủ?
Hãy đăng ký ngay hôm nay »
Bạn muốn cập nhật Tuân thủ AWS?
Hãy theo dõi chúng tôi trên Twitter »