アルゼンチンのデータプライバシー
概要
アルゼンチンの Executive Order No. 1558/2001 と付則を含む Personal Data Protection Law No. 25,326 (以下、「PDPL」) は、アルゼンチンの連邦法であり、アルゼンチンの個人データの保護および個人データが処理のために国外に転送される場合に適用されます。2018 年 7 月、アルゼンチンのデータ保護機関 (Agencia de Acceso a la Información Pública、「ADPA」) は、PDPL に基づいて Resolution 47/2018 (「Resolution 47」) を発行し、これまではデータ管理者 (AWS のお客様など) が個人データを処理する際に考慮する必要があったセキュリティ対策に関連する Disposition No. 11/2006 を廃止しました。Resolution 47 は、国際的なベストプラクティスと標準に沿っており、かつ、データの収集から削除まで、処理中の個人データの機密性と完全性を保護することを目的とした、新しい推奨セキュリティ対策について規定しています。特筆すべきは、この新しい Resolution が、個人データを処理する際のセキュリティの管理、計画、制御、および改善に推奨される対策と制御策のリストを更新したことです。これらの、推奨されるセキュリティ対策は、データ収集、アクセスコントロール、変更管理、バックアップとリカバリ、脆弱性管理、データの除外もしくは削除、セキュリティインシデント、開発環境など、各処理に関連するアクティビティで分類されています。加えて、Resolution 47 には、「機密データ(PDPL で規定)」に適用が可能な、一連のセキュリティ対策も含まれます。
AWS では、お客様のプライバシーとデータセキュリティの扱いに慎重を期しています。AWS のセキュリティは、その中核となるインフラストラクチャから始まります。クラウドに合わせて特別に構築され、世界で最も厳しいセキュリティ要件を満たすように設計された AWS のインフラストラクチャは、お客様のデータの機密性、整合性、可用性を確保するために 24 時間年中無休でモニタリングされています。このインフラストラクチャをモニタリングしている、同じく世界クラスのセキュリティの専門家たちは、AWS の幅広い革新的なセキュリティサービスの構築や管理にも携わっています。お客様は AWS のサービスを使用することにより、セキュリティ要件や規制要件を簡単に満たすことができます。AWS のお客様は、その規模や場所にかかわらず、サードパーティーの最も厳しい保証フレームワークに照らしてテストされた AWS の経験から、あらゆる利点を引き継ぎます。
AWS では、ISO 27001、ISO 27017、ISO 27018、PCI DSS レベル 1、SOC 1、2、3 など、世界的に認められたセキュリティ保証フレームワークと認定に基づいて AWS クラウドインフラストラクチャサービスに適切な技術的で体系的なセキュリティ対策を実装し、管理しています。この技術的で体系的なセキュリティ対策は、独立したサードパーティーの評価機関によって検証済みで、お客様のコンテンツへの不正アクセスおよびお客様のコンテンツの漏えいを防止するように設計されています。
例えば、ISO 27018 は、クラウド内の個人データ保護に焦点を合わせた最初の国際的な実務規範です。ISO 27018 は、情報セキュリティ基準である ISO 27002 に基づいており、公開クラウドサービスプロバイダーによって処理される個人識別情報 (PII) に適用される ISO 27002 統制の実装ガイダンスが用意されています。これは、特にお客様のコンテンツにおけるプライバシー保護のための AWS の管理体制が整っていることをお客様に示すものとなります。
AWS が包括的に講じているこれらの技術的で体系的な対策は、個人データを保護するための PDPL および PDPL に基づく Resolution 47 の目標に合致しています。AWS のサービスを使用しているお客様は、自身のコンテンツの管理を維持し、コンテンツの分類、暗号化、アクセス管理、セキュリティ認証情報など、特定のニーズに基づいてその他のセキュリティ対策を実装する責任を負います。
AWS には、データが PDPL の対象であるとみなされるかどうかなど、お客様が AWS に保存することを選択したコンテンツのタイプの意味に関する可視性がないため、お客様が最終的に PDPL および関連する規制の遵守について責任を負います。このページの内容は既存のデータプライバシーリソースを補足するもので、お客様が海外のデータセンターで個人データを処理する際に、AWS の責任共有モデルに沿って、ご自身の要件を定義するためのサポートとなることを、目的としています。
-
コンテンツの保護についてお客様にはどのような役割がありますか?
AWS の責任共有モデルでは、AWS のお客様は、自身のコンテンツ、プラットフォーム、アプリケーション、システム、ネットワークを保護するために実装する、セキュリティ策を選択する権限を保持します。これはオンプレミスのデータセンターのアプリケーション管理と異なるものではありません。お客様は、AWS によって提供される技術的で体系的なセキュリティ対策およびセキュリティ統制に基づいて構築を行い、お客様自身のコンプライアンス要件を管理できます。お客様は、AWS Identity and Access Management といった AWS のセキュリティ機能に加えて、暗号化や多要素認証といった使い慣れた対策を使用してデータを保護できます。
クラウドソリューションのセキュリティを評価する際、お客様は、以下の内容と、その違いを理解しておくことが重要となります。
- AWS 側で、実装および運用されるセキュリティ対策 –「クラウドのセキュリティ」
- AWS のサービスを使用している、お客様のコンテンツとアプリケーションのセキュリティに関連し、お客様側で実装および運用するセキュリティ対策 –「クラウドにおけるセキュリティ」
-
ユーザー側のコンテンツには誰がアクセスできますか?
お客様のコンテンツの所有権と管理権はお客様自身にあります。お客様のコンテンツが AWS のどのサービスによって処理され、保存され、ホストされるかはお客様自身が選択します。AWS では、お客様のコンテンツの意味に関する可視性を有しておらず、お客様のコンテンツにアクセスしたり、使用したりすることもできません。ただし、お客様が選択した AWS のサービスを提供するために必要な場合や、法律または拘束力のある法的な命令に従う必要がある場合を除きます。
AWS のサービスを使用するお客様は、AWS 環境内のコンテンツをご自身で管理します。具体的には、お客様は以下のことを行います。
- コンテンツをどこに置くかを決定する (例えば、ストレージ環境の種類とそのストレージの地理的位置など)。
- コンテンツの形式を管理する (例えば、プレーンテキスト、マスキング、匿名化、また AWS が提供する暗号化を利用するかまたはサードパーティー製の暗号化メカニズムを利用するか)。
- 他のアクセスコントロールを管理する (例えば、アイデンティティアクセス管理、セキュリティ認証情報)。
- 不正アクセスを防止するために SSL、仮想プライベートクラウド、その他のネットワークセキュリティ対策を使用するかどうかを管理する。
これにより、AWS のお客様は AWS 上のコンテンツのライフサイクル全体を管理し、また、コンテンツの分類、アクセスコントロール、保持と廃棄などお客様独自のニーズに応じてコンテンツを管理できます。
-
カスタマーコンテンツはどこに保存されますか?
AWS グローバルインフラストラクチャには、ワークロードを実行する方法と場所を選択できる柔軟性があるため、同じネットワーク、コントロールプレーン、API、AWS のサービスをいつ使用するかを選択できます。アプリケーションをグローバルに実行する場合、AWS リージョンとアベイラビリティーゾーンのいずれかから選択できます。カスタマーコンテンツを保存する AWS リージョンはお客様が選択します。これによりお客様は、任意の場所に、その地理的要件に従って AWS のサービスをデプロイできます。例えば、オーストラリアの AWS のお客様が、必ずデータをオーストラリアにのみ保存したい場合は、AWS のサービスをアジアパシフィック (シドニー) の AWS リージョンにのみデプロイすることを選択できます。他の柔軟なストレージオプションを見つけたい場合は、AWS リージョンのウェブページを参照してください。
お客様のコンテンツを複数の AWS リージョンにレプリケートし、バックアップすることができます。法令または政府機関の法的拘束力ある命令を遵守するために必要な場合を除き、お客様の同意なしに、選択された AWS リージョンの外にユーザーのコンテンツを移動したり、レプリケートしたりすることはありません。ただし、すべての AWS リージョンですべての AWS のサービスを利用できるわけではありません。各 AWS リージョンで使用できるサービスについては、 AWS リージョナルサービスのウェブページをご覧ください。
-
AWS ではデータセンターをどのように保護していますか。
AWS のデータセンターセキュリティ戦略には、お客様の情報を保護できるようにスケーラブルなセキュリティ対策と多層型の防御対策が含まれています。例えば、AWS では、洪水や地震活動によるリスクに慎重に対応しています。AWS では、物理的な防壁、警備員、脅威検出技術、詳細なスクリーニングプロセスを使用して、データセンターへのアクセスを制限しています。AWS では、システムをバックアップし、機器やプロセスを定期的にテストしています。また、想定外の出来事に備えて、AWS の従業員のトレーニングを継続的に行っています。
データセンターのセキュリティを検証するために、外部の監査人が年間を通じて 2,600 個以上の規格と要件に基づく試験を実施しています。このような独立した試験を実施することで、セキュリティ基準を満たす、またはそれを超えるセキュリティを絶えず維持できます。その結果、AWS は、世界で最も厳しい規制要件を持つ組織から、データ保護に関する信頼を得ています。
AWS データセンターはその設計段階からセキュリティが考慮されています。詳細については、バーチャルツアーでご確認ください »
-
どの AWS リージョンを使用できますか。
お客様は、いずれか 1 つのリージョンを使用することも、すべてのリージョンを使用することもできます。また、ブラジルと米国といったように、リージョンを組み合わせて使用することもできます。AWS リージョンの一覧については、AWS グローバルインフラストラクチャのページをご覧ください。
-
Argentine Data Protection Authority では、個人データに対して「十分なレベルの保護」が提供されている国を特定しています。これらの地域のいずれかに AWS のリージョンはありますか?
PDPL では、データ管理者 (つまり、AWS のお客様) は、ADPA によって特定されたとおりに、個人データに対して「十分なレベルの保護」を提供する管轄区域に対して個人データを転送することが許可されています。ADPA によって発行された Disposition 60-E/2016 によると、欧州連合 (EU) および欧州経済共同体 (EEC) の加盟国は個人データに対して十分なレベルの保護を提供すると判断されています。
AWS では、EU 内のドイツ、フランス、英国、アイルランドなど、PDPL の下で「十分なレベルの保護」を提供することが ADPA によって特定された国の多くにリージョンを展開しています。AWS リージョンの一覧については、AWS グローバルインフラストラクチャのページをご覧ください。
お客様がどのリージョンを選択するかにかかわらず、AWS では AWS のデータセンターに同じセキュリティ基準を適用します。
-
ブラジル、米国など任意の国に転送される個人データの保護に対応するために、AWS ではどのような国際データ転送契約を提供していますか?
AWS では、お客様との契約において、お客様がデータを保存することを選択した各リージョンでお客様のコンテンツに広範囲に適用されるセキュリティとプライバシーに関する具体的なコミットメントを制定しています。AWS で定めるコミットメントは、個人データを保護するための PDPL、Disposition 60-E/2016、PDPL に基づく Resolution 47/2018 の目標と合致しています。
AWS はまた、国際的に適用され、個人データのプライバシーとセキュリティに関する各当事者の役割と義務に適切に対処するための特定の契約上のコミットメントを含む、データ転送契約とも呼ばれる国際的なデータ処理に関する補遺 (DPA) を提供します。
また、お客様は AWS とのエンタープライズ契約を結ぶこともできます。この契約では、お客様の特定のニーズに最も適合する内容の契約を結ぶことができます。AWS エンタープライズ契約または DPA の詳細については、AWS 営業担当者にお問い合わせください。