オーストラリアのデータプライバシー
概要
オーストラリアの個人情報保護法 1988 (Cth) で規定されているオーストラリアのプライバシー原則 (APP) では、個人情報を収集、管理、やり取り、使用、公開、およびその他の方法で取り扱う際の要件が課されています。APP では個人のプライバシーを保護するためのデータ保護原則が定められています。
AWS では、お客様のプライバシーとデータセキュリティに絶えず注意を払っています。AWS のセキュリティは、その中核となるインフラストラクチャから始まります。クラウドに合わせて特別に構築され、世界で最も厳しいセキュリティ要件を満たすように設計された AWS のインフラストラクチャは、お客様のデータの機密性、整合性、可用性を確保するために 24 時間年中無休でモニタリングされています。このインフラストラクチャをモニタリングしているのと同じ世界クラスのセキュリティ専門家たちは、AWS の幅広い革新的なセキュリティサービスを構築し、管理にも携わっています。お客様は AWS のサービスを使用することにより、セキュリティ要件や規制要件を簡単に満たすことができます。AWS のお客様は、その規模や場所にかかわらず、サードパーティーの最も厳しい保証フレームワークに照らしてテストされた AWS の経験から、あらゆる利点を享受できます。
AWS では、IRAP、ISO 27001、ISO 27017、ISO 27018、PCI DSS レベル 1、SOC 1、2、3 など、世界的に認められたセキュリティ保証フレームワークと認定に基づいて AWS クラウドインフラストラクチャサービスに適切な技術的で体系的なセキュリティ対策を実装し、管理しています。この技術的で体系的なセキュリティ対策は、独立したサードパーティーの評価機関によって検証済みで、お客様のコンテンツへの不正アクセスおよびお客様のコンテンツの漏えいを防止するように設計されています。
例えば、ISO 27018 は、クラウド内の個人データ保護に焦点を合わせた最初の国際的な実務規範です。ISO 27018 は、情報セキュリティ基準である ISO 27002 に基づいており、公開クラウドサービスプロバイダーによって処理される個人識別情報 (PII) に適用される ISO 27002 統制の実装ガイダンスが用意されています。これは、特にお客様のコンテンツにおけるプライバシー保護のための AWS の管理体制が整っていることをお客様に示すものとなります。
AWS が包括的に講じているこれらの技術的で体系的な対策は、個人データを保護するための APP の目標に合致しています。AWS のサービスを使用しているお客様は、自身のコンテンツの管理を維持し、コンテンツ分類、暗号化、アクセス管理、セキュリティ認証情報など、特定のニーズに基づいてその他のセキュリティ対策を実装する責任があります。
お客様がネットワークにアップロードしている内容を AWS 側で閲覧したり確認したりすることはできないため、データが個人情報保護法の対象とみなされるかどうかを含め、個人情報保護法と関連規制に準拠する最終的な責任はお客様にあります。このページの内容は既存のデータプライバシーに関するリソースを補足するものであり、お客様が AWS のサービスを使用して個人データを保存および処理する際に、お客様の要件をAWS の責任共有モデルに合わせるのに役立ちます。
-
コンテンツの保護についてお客様にはどのような役割がありますか?
AWS の責任共有モデルの下で、AWS のお客様は、自身のコンテンツ、プラットフォーム、アプリケーション、システム、ネットワークを保護するためにどのようなセキュリティを実装するかについて管理権限を保持しており、これはオンサイトのデータセンターのそれとなんら変わることはありません。お客様は、AWS によって提供される技術的で体系的なセキュリティ対策およびセキュリティ統制に基づいて構築を行い、お客様自身のコンプライアンス要件を管理できます。お客様は、AWS Identity and Access Management といった AWS のセキュリティ機能に加えて、暗号化や多要素認証といった使い慣れた対策を使用してデータを保護できます。
クラウドソリューションのセキュリティを評価する場合、お客様が以下の点を理解して区別することが重要です。
- AWS 側で実装および運用するセキュリティ対策 –「クラウドのセキュリティ」
- AWS のサービスを使用するお客様のコンテンツとアプリケーションのセキュリティに関連してお客様側で実装および運用するセキュリティ対策 –「クラウドにおけるセキュリティ」
-
お客様のコンテンツには誰がアクセスできますか。
お客様のコンテンツの所有権と管理権はお客様自身にあります。お客様のコンテンツが AWS のどのサービスによって処理され、保存され、ホストされるかはお客様自身が選択します。AWS では、お客様のコンテンツを確認することはできず、お客様のコンテンツにアクセスしたり、使用したりすることもできません。ただし、お客様が選択した AWS のサービスを提供するために必要な場合や、法律または拘束力のある法的な命令に従う必要がある場合を除きます。
AWS のサービスを使用するお客様は、AWS 環境内のコンテンツを自分で管理します。具体的には、お客様は以下のことを行います。
- コンテンツをどこに置くかを決定する (例えば、ストレージ環境の種類とそのストレージの地理的位置など)。
- コンテンツの形式を管理する (例えば、プレーンテキスト、マスキング、匿名化、また AWS が提供する暗号化を利用するかまたはサードパーティー製の暗号化メカニズムを利用するか)。
- 他のアクセスコントロールを管理する (例えば、アイデンティティアクセス管理、セキュリティ認証情報)。
- 不正アクセスを防止するために SSL、仮想プライベートクラウド、その他のネットワークセキュリティ対策を使用するかどうかを管理する。
これにより、AWS のお客様は AWS 上のコンテンツのライフサイクル全体を管理し、また、コンテンツの分類、アクセスコントロール、保持と廃棄などお客様独自のニーズに応じてコンテンツを管理できます。
-
カスタマーコンテンツはどこに保存されますか?
AWS グローバルインフラストラクチャには、ワークロードを実行する方法と場所を選択できる柔軟性があるため、同じネットワーク、コントロールプレーン、API、AWS のサービスをいつ使用するかを選択できます。アプリケーションをグローバルに実行する場合、AWS リージョンとアベイラビリティーゾーンのいずれかから選択できます。カスタマーコンテンツを保存する AWS リージョンはお客様が選択します。これによりお客様は、任意の場所に、その地理的要件に従って AWS のサービスをデプロイできます。例えば、オーストラリアの AWS のお客様が、必ずデータをオーストラリアにのみ保存したい場合は、AWS のサービスをアジアパシフィック (シドニー) の AWS リージョンにのみデプロイすることを選択できます。他の柔軟なストレージオプションを見つけたい場合は、AWS リージョンのウェブページを参照してください。
お客様のコンテンツを複数の AWS リージョンにレプリケートし、バックアップすることができます。法令または政府機関の法的拘束力ある命令を遵守するために必要な場合を除き、お客様の同意なしに、選択された AWS リージョンの外にユーザーのコンテンツを移動したり、レプリケートしたりすることはありません。ただし、すべての AWS リージョンですべての AWS のサービスを利用できるわけではありません。各 AWS リージョンで使用できるサービスについては、 AWS リージョナルサービスのウェブページをご覧ください。
-
AWS ではデータセンターをどのように保護していますか。
AWS のデータセンターセキュリティ戦略には、お客様の情報を保護できるようにスケーラブルなセキュリティ対策と多層型の防御対策が含まれています。例えば、AWS では、洪水や地震活動によるリスクに慎重に対応しています。AWS では、物理的な防壁、警備員、脅威検出技術、詳細なスクリーニングプロセスを使用して、データセンターへのアクセスを制限しています。AWS では、システムをバックアップし、機器やプロセスを定期的にテストしています。また、想定外の出来事に備えて、AWS の従業員のトレーニングを継続的に行っています。
データセンターのセキュリティを検証するために、外部の監査人が年間を通じて 2,600 個以上の規格と要件に基づく試験を実施しています。このような独立した試験を実施することで、セキュリティ基準を満たす、またはそれを超えるセキュリティを絶えず維持できます。その結果、AWS は、世界で最も厳しい規制要件を持つ組織から、データ保護に関する信頼を得ています。
AWS データセンターはその設計段階からセキュリティが考慮されています。詳細については、バーチャルツアーでご確認ください »
-
どの AWS リージョンを使用できますか?
お客様は、いずれか 1 つのリージョンを選択することも、すべてのリージョンを選択したり、任意のリージョンを組み合わせて選択したりすることもできます。AWS リージョンの一覧については、AWS グローバルインフラストラクチャのページをご覧ください。
-
AWS は、システムを保護するためにどのようなセキュリティ対策を実施していますか?
AWS クラウドインフラストラクチャは、柔軟性とセキュリティにおいて現時点で最高レベルのクラウドコンピューティング環境となるように設計されています。Amazon の企業規模では、セキュリティの監視と対策のために、ほとんどの大企業が自社のクラウドインフラストラクチャで投資できる金額をはるかに超えた金額を投資できます。このインフラストラクチャは、AWS のサービスを運用するためのハードウェア、ソフトウェア、ネットワーキング、および施設で構成されています。これにより、お客様と APN パートナーは、個人データを処理する際に、セキュリティ構成の統制などの強力な統制を利用できるようになります。
また、サードパーティーの監査人は、AWS が ISO 27001、ISO 27017、ISO 27018 など、セキュリティのさまざまな規格や法規に準拠していることをテストおよび検証しており、AWS はそれらの監査人が作成したさまざまなコンプライアンスレポートをお客様に提供しています。これらの対策の有効性に関する透明性を提供するために、当社では AWS Artifact からサードパーティーの監査レポートを入手できるようにしています。データ管理者またはデータ処理者として行動するお客様と APN パートナーは、これらのレポートから、個人データを保存および処理する際に使用される基盤となるインフラストラクチャを AWS が保護していることを理解できます。詳細については、コンプライアンスのリソースを参照してください。
-
オーストラリアの通知可能なデータ侵害 (NDB) スキームとは?
AWS は、1988 年オーストラリアプライバシー法 (Cth) の適用対象であり、AWS を使用して NDB スキームの対象となる個人情報を保存および処理しているお客様に、2 種類のオーストラリア通知データ侵害 (ANDB) Addenda を提供しています。ANDB Addenda は、セキュリティイベントがデータに影響を与える場合に顧客に通知を送信する必要性に応じて対応しています。AWS は、AWS Artifact (AWS マネジメントコンソールからアクセスできる顧客向けの監査およびコンプライアンスポータル) のクリックスルー契約として、両方のタイプの ANDB Addenda をオンラインで利用できるようにしました。最初のタイプである Account ANDB Addendum は、Account ANDB Addendum を受け入れる特定の個別アカウントにのみ適用されます。Account ANDB Addendum は、お客様が処理する必要のある AWS アカウントごとに個別に受け入れる必要があります。2 番目のタイプである Organizations ANDB Addendum は、AWS Organizations のマスターアカウントによって承認されると、その AWS Organization のマスターアカウントとすべてのメンバーアカウントに適用されます。顧客が Organizations ANDB Addendum を必要としない、または利用したくない場合でも、個々のアカウントの Account ANDB Addendum を受け入れることができます。ANDB Addendum のよくある質問は、AWS Artifact のよくある質問からオンラインで入手できます。