ブラジルのデータプライバシー
概要
ブラジルの一般データ保護法 (「LGPD」) は、個人データの保護を目的としたブラジルの主要な規制です。LGPD は、処理に使用された手段や、管理者またはデータの所在国にかかわらず、公的機関または民間機関の個人または法人によって実行される個人データ (識別または識別可能な自然人に関する情報として定義されています) の処理について、1) ブラジルで処理が行われ、2) 処理が商品またはサービスの提供の申込みや提供、もしくはブラジルに所在する個人のデータの処理を目的とし、または 3) 個人データがブラジル国内で収集されている場合に適用されます。
LGPD は、個人データを処理するための原則とルールを定めています。組織は、これらの措置の有効性を含む、個人データ保護の規制の遵守を証明できる措置の採用を実証できなければならず、個人データの処理に適用されるコンプライアンスのためのポリシーの策定と施行が必要となります。
LGPD において、contorller (管理者) と processor (処理者) (いずれも LGPD で定義) は、不正アクセス、または破壊、消失、改ざん、通信、もしくはあらゆる種類の不適切もしくは違法な処理といった、偶発的に生じ、もしくは違法に引き起こされた状況から個人データを保護する技術的および管理的手段を採用することが求められています。さらに、LGPD は、ブラジルの国家データ保護庁 (National Data Protection Authority、または「ANPD」) に対して、管理者と処理者によって実施されるべき最低限の技術標準を定める権限を付与しています。
AWS では、お客様のプライバシーとデータセキュリティの扱いに慎重を期しています。AWS のセキュリティは、その中核となるインフラストラクチャから始まります。クラウドに合わせて特別に構築され、世界で最も厳しいセキュリティ要件を満たすように設計された AWS のインフラストラクチャは、お客様のデータの機密性、整合性、可用性を確保するために 24 時間年中無休でモニタリングされています。このインフラストラクチャをモニタリングしているのと同じ世界クラスのセキュリティ専門家たちは、AWS の幅広い革新的なセキュリティサービスを構築し、管理にも携わっています。お客様は AWS のサービスを使用することにより、セキュリティ要件や規制要件を簡単に満たすことができます。AWS のお客様は、その規模や場所にかかわらず、サードパーティーの最も厳しい保証フレームワークに照らしてテストされた AWS の経験から、あらゆる利点を引き継ぎます。
AWS では、ISO 27001、ISO 27017、ISO 27018、PCI DSS レベル 1、SOC 1、2、3 など、世界的に認められたセキュリティ保証フレームワークと認定に基づいて AWS クラウドインフラストラクチャサービスに適切な技術的で体系的なセキュリティ対策を実装し、管理しています。この技術的で体系的なセキュリティ対策は、独立したサードパーティーの評価機関によって検証済みで、お客様のコンテンツへの不正アクセスおよびお客様のコンテンツの漏えいを防止するように設計されています。
例えば、ISO 27018 は、クラウド内の個人データ保護に焦点を合わせた最初の国際的な実務規範です。ISO 27018 は、情報セキュリティ基準である ISO 27002 に基づいており、公開クラウドサービスプロバイダーによって処理される個人識別情報 (PII) に適用される ISO 27002 統制の実装ガイダンスが用意されています。これは、特にお客様のコンテンツにおけるプライバシー保護のための AWS の管理体制が整っていることをお客様に示すものとなります。
AWS が包括的に講じているこれらの技術的で体系的な対策は、個人データを保護するための LGPD の目標に合致しています。AWS のサービスを使用しているお客様は、自身のコンテンツの管理を維持し、コンテンツの分類、暗号化、アクセス管理、セキュリティ認証情報など、特定のニーズに基づいてその他のセキュリティ対策を実装する責任を負います。
お客様がネットワークにアップロードしている内容を AWS 側で閲覧したり確認したりすることはできないため、データが LGPD の対象とみなされるかどうかを含め、LGPD と関連規制のコンプライアンスに従う最終的な責任はお客様にあります。このページの内容は既存のデータプライバシーに関するリソースを補足するものであり、お客様が AWS のサービスを使用して個人データを保存および処理する際に、お客様の要件をAWS の責任共有モデルに合わせるのに役立ちます。
-
LGPD とは何ですか?
ブラジルの一般データ保護法 (「LGPD」) は、個人データの保護を目的としたブラジルの主要な規制であり、2020 年 9 月 18 日に施行されました。
-
LGPD は誰に適用されますか?
LGPD は、ブラジルで設立されているかどうかに関係なく、個人データを処理してブラジルの人々に商品やサービスを提供するすべての組織に適用されます。LGPD は、ブラジルで個人データを収集または処理する組織にも適用されます。個人データとは、特定のまたは識別可能な自然人に関する情報を指します。
-
AWS のサービスは LGPD に準拠していますか?
AWS のサービスすべてが LGPD に準拠しつつ使用できることをお約束できます。つまり、お客様は、サービスのセキュリティを維持するために AWS が既に実施している対策をすべて利用できることに加え、LGPD への準拠計画の主要な部分として AWS のサービスをデプロイできることになります。詳細については、ホワイトペーパー「AWS での LGPD コンプライアンスについて」を参照してください。
-
個々のデータ主体は、LGPD に基づく権利の行使に関する情報をどこで確認できますか?
2020 年 8 月 14 日、当社は、データ主体が法律に基づいて権利を行使する方法を含め、LGPD の要件に基づくデータ管理者としてのポリシーを明らかにすべく、プライバシーに関する通知を更新しました。
-
AWS には、お客様に提供される AWS のプライバシーの位置と権利の包括的な説明を含むプライバシーハブがありますか?
はい。データプライバシーのページには、当社のプライバシーポリシーと対策に関する情報が記載されています。また、当社は、お客様が法律に基づく権利を行使する方法を含め、LGPD に基づいて要求されるすべての開示事項が含まれるようにするため、プライバシーに関する通知を更新しました。
-
AWS は LATAM における他国のデータ保護要件に準拠していますか?
AWS は、グローバルな業務全般にわたり、セキュリティとコンプライアンスに関して高い水準を継続的に維持しています。GDPR および LGPD で利用できる保護は世界中のお客様が利用できます。お客様は、地域のデータ保護法を確実に遵守するために、これらの保護策を使用することができます。
-
コンテンツの保護についてお客様にはどのような役割がありますか?
AWS の責任共有モデルの下で、AWS のお客様は、自身のコンテンツ、プラットフォーム、アプリケーション、システム、ネットワークを保護するためにどのようなセキュリティを実装するかについて管理権限を保持しており、これはオンサイトのデータセンターのそれとなんら変わることはありません。AWS の責任共有モデルが LGPD によって変わることはなく、クラウドコンピューティングサービスの使用に重点を置くお客様と APN パートナーにとって引き続き重要になります。責任共有モデルは、LGPD に基づいた AWS のさまざまな責任 (データの処理者または補助処理者として)、ならびにお客様と APN パートナーの責任 (データ管理者またはデータ処理者として) を説明するために役立つアプローチです。責任共有モデルにおいて、AWS には、クラウドをサポートする基盤となるインフラストラクチャを保護する責任があります。一方、お客様と APN パートナーは、データ管理者またはデータ処理者として行動し、クラウドに配置する個人データすべてに対して責任を負います。お客様は、AWS によって提供される技術的で体系的なセキュリティ対策およびセキュリティ統制に基づいて構築を行い、お客様自身のコンプライアンス要件を管理できます。お客様は、AWS Identity and Access Management といった AWS のセキュリティ機能に加えて、暗号化や多要素認証といった使い慣れた対策を使用してデータを保護できます。
クラウドソリューションのセキュリティを評価する場合、お客様が以下の点を理解して区別することが重要です。
- AWS 側で実装および運用するセキュリティ対策 –「クラウドのセキュリティ」
- AWS のサービスを使用するお客様のコンテンツとアプリケーションのセキュリティに関連してお客様側で実装および運用するセキュリティ対策 –「クラウドにおけるセキュリティ」
お客様が実行できる追加の対策、および AWS が提供するソリューションの詳細については、 AWS Security Learning ウェブページを参照してください。 -
お客様のコンテンツには誰がアクセスできますか?
お客様のコンテンツの所有権と管理権はお客様自身にあります。お客様のコンテンツが AWS のどのサービスによって処理され、保存され、ホストされるかはお客様自身が選択します。AWS では、お客様のコンテンツを確認することはできず、お客様のコンテンツにアクセスしたり、使用したりすることもできません。ただし、お客様が選択した AWS のサービスを提供するために必要な場合や、法律または拘束力のある法的な命令に従う必要がある場合を除きます。
AWS のサービスを使用するお客様は、AWS 環境内のコンテンツを自分で管理します。具体的には、お客様は以下のことを行います。
- コンテンツをどこに置くかを決定する (例えば、ストレージ環境の種類とそのストレージの地理的位置など)。
- コンテンツの形式を管理する (例えば、プレーンテキスト、マスキング、匿名化、また AWS が提供する暗号化を利用するかまたはサードパーティー製の暗号化メカニズムを利用するか)。
- 他のアクセスコントロールを管理する (例えば、アイデンティティアクセス管理、セキュリティ認証情報)。
- 不正アクセスを防止するために SSL、仮想プライベートクラウド、その他のネットワークセキュリティ対策を使用するかどうかを管理する。
これにより、AWS のお客様は AWS 上のコンテンツのライフサイクル全体を管理し、また、コンテンツの分類、アクセスコントロール、保持と廃棄などお客様独自のニーズに応じてコンテンツを管理できます。
-
カスタマーコンテンツはどこに保存されますか?
AWS データセンターは世界中のさまざまな場所にあるクラスター内に構築されています。その地域での各データセンタークラスターは "リージョン" と呼ばれます。
AWS のお客様は、コンテンツを保存する AWS リージョンを選択します。これにより、特定の地理的要件をお持ちのお客様は、それを満たすことができる場所で環境を構築できます。
お客様は複数のリージョンでコンテンツを複製およびバックアップできますが、お客様からリクエストされたサービスを提供する場合または該当する法律に従う場合を除き、AWS 側でお客様のコンテンツをお客様が選択したリージョン外に移動することはありません。
-
AWS ではデータセンターをどのように保護していますか。
AWS のデータセンターセキュリティ戦略には、お客様の情報を保護できるようにスケーラブルなセキュリティ対策と多層型の防御対策が含まれています。例えば、AWS では、洪水や地震活動によるリスクに慎重に対応しています。AWS では、物理的な防壁、警備員、脅威検出技術、詳細なスクリーニングプロセスを使用して、データセンターへのアクセスを制限しています。AWS では、システムをバックアップし、機器やプロセスを定期的にテストしています。また、想定外の出来事に備えて、AWS の従業員のトレーニングを継続的に行っています。
データセンターのセキュリティを検証するために、外部の監査人が年間を通じて 2,600 個以上の規格と要件に基づく試験を実施しています。このような独立した試験を実施することで、セキュリティ基準を満たす、またはそれを超えるセキュリティを絶えず維持できます。その結果、AWS は、世界で最も厳しい規制要件を持つ組織から、データ保護に関する信頼を得ています。
AWS データセンターはその設計段階からセキュリティが考慮されています。詳細については、バーチャルツアーでご確認ください。
-
どの AWS リージョンを使用できますか。
お客様は、いずれか 1 つのリージョンを選択することも、すべてのリージョンを選択したり、任意のリージョンを組み合わせて選択したりすることもできます。AWS リージョンの一覧については、AWS グローバルインフラストラクチャのページをご覧ください。
-
AWS は、システムを保護するためにどのようなセキュリティ対策を実施していますか?
AWS クラウドインフラストラクチャは、柔軟性とセキュリティにおいて現時点で最高レベルのクラウドコンピューティング環境となるように設計されています。Amazon の企業規模では、セキュリティの監視と対策のために、ほとんどの大企業が自社のクラウドインフラストラクチャで投資できる金額をはるかに超えた金額を投資できます。このインフラストラクチャは、AWS のサービスを運用するためのハードウェア、ソフトウェア、ネットワーキング、および施設で構成されています。これにより、お客様と APN パートナーは、個人データを処理する際に、セキュリティ構成の統制などの強力な統制を利用できるようになります。AWS が高いレベルのセキュリティを維持するために導入している対策の詳細については、AWS セキュリティプロセスの概要のホワイトペーパーをご覧ください。
また、サードパーティーの監査人は、AWS が ISO 27001、ISO 27017、ISO 27018 など、セキュリティのさまざまな規格や法規に準拠していることをテストおよび検証しており、AWS はそれらの監査人が作成したさまざまなコンプライアンスレポートをお客様に提供しています。これらの対策の有効性に関する透明性を提供するために、当社では AWS Artifact からサードパーティーの監査レポートを入手できるようにしています。データ管理者またはデータ処理者として行動するお客様と APN パートナーは、これらのレポートから、個人データを保存および処理する際に使用される基盤となるインフラストラクチャを AWS が保護していることを理解できます。詳細については、コンプライアンスのリソースを参照してください。
-
AWS ではこれまでに LGPD に備えてどのような準備をしてきましたか?
AWS コンプライアンス、データ保護およびセキュリティの専門家は、お客様の質問にお答えし、AWS クラウドでワークロードを実行するための準備をお手伝いさせていただきます。これらのチームは、LGPD の要件を遵守するために、AWS のサービスの準備状況も確認しました。さらに、AWS は、LGPD の要求事項を満たす新しいデータ処理契約も用意しています。
AWS は、グローバルな業務全般にわたり、セキュリティとコンプライアンスに関して高い水準を継続的に維持しています。セキュリティは常に私たちの最優先事項であり、まさに「ジョブゼロ」です。 業界をリードする私たちのセキュリティは、国際的に認知されている認証および認定の基盤を提供し、クラウドセキュリティに関する ISO 27017、クラウドプライバシーに関する ISO 27018、SOC 1、SOC 2 および SOC 3、PCI DSS レベル 1、NIST FIPS 140-2、C5 などの厳しい国際基準への準拠を実証しています。AWS は、これらの対策の有効性に関する透明性を維持するため、お客様と APN パートナーが AWS マネジメントコンソールからサードパーティーの監査レポートを入手できるようにしています。データ管理者またはデータ処理者として行動するお客様と APN パートナーは、これらのレポートから、個人データを保存および処理する際に使用される基盤となるインフラストラクチャを AWS が保護していることを理解できます。詳細については、コンプライアンスのウェブページを参照してください。
-
LGPD への準拠を支援するために AWS がお客様に提供するサービスにはどのようなものがありますか?
AWS では、お客様が LGPD の要件を満たすための特定の機能とサービスが既に提供されています。
データアクセスコントロール: 承認された管理者、ユーザー、およびアプリケーションにのみ AWS リソースへのアクセスを許可します。
- 多要素認証 (MFA)
- Amazon S3 バケット/Amazon SQS/Amazon SNS のオブジェクトおよびその他への詳細レベルのアクセス
- API リクエスト認証
- 地域制限
- AWS Security Token Service による一時的アクセストークン
モニタリングとロギング: AWS リソースのアクティビティの概要を確認します。
- AWS Config によるアセット管理と設定
- AWS CloudTrail によるコンプライアンス監査およびセキュリティ分析
- AWS Trusted Advisor による設定上の課題の識別
- Amazon S3 オブジェクトへのアクセスの詳細なログ
- Amazon VPC フローログによるネットワーク内のフローに関する詳細情報
- ルールベースの設定チェックと AWS Config ルールによるアクション
- AWS CloudFront の AWS WAF 機能を使用したアプリケーションへの HTTP アクセスのフィルタリングとモニタリング
暗号化: AWS のデータを暗号化します。
- AES256 (EBS/S3/Glacier/RDS) による保存データの暗号化
- マネージド型一元キー管理 (AWS リージョン使用)
- VPN-Gateways による AWS への IPsec トンネル
- AWS CloudHSM によるクラウド上の専用の HSM モジュール
-
AWS は、データ管理者が LGPD に基づくデータ侵害通知義務を遵守する上で、どのような支援を提供できますか?
AWS は、お客様や APN パートナーのリソースに対して誰がアクセスできるか、またそのユーザーがいつどこからアクセスしたかを把握するためのツールをいくつか提供しています。このようなツールの 1 つに AWS CloudTrail があります。AWS CloudTrail を使用すると、AWS アカウントのガバナンス、コンプライアンス、運用監査、リスク監査を実施できるようになります。AWS CloudTrail を使用すると、お客様は AWS インフラストラクチャ全体でアクションに関するアカウントアクティビティをログに記録し、継続的に監視し、情報を保持できます。これにより、各組織は、AWS インフラストラクチャで何が発生しているかを把握でき、異常なアクティビティが発生した場合にはすぐに対策を講じることができます。AWS CloudTrail の詳細と、お客様が LGPD に基づいてデータ管理者としての義務を果たせるようサポートするために AWS がお客様に提供している他のセキュリティツールについては、当社のセキュリティに関するウェブページをご覧ください。
-
ユーザーがサイバー攻撃からデータを保護できるよう、AWS はどのようなサポートを提供していますか?
AWS は、お客様と APN パートナーがデータを保護し、サイバー攻撃から防御できるようサポートするため、いくつかのツールを提供しています。そのようなツールの 1 つに AWS Shield があります。これは、分散サービス妨害 (DDoS) に対するマネージド型の保護サービスで、AWS で運用しているウェブサイトとアプリケーションを保護するために使用できます。AWS Shield Standard は追加料金なしで利用でき、アプリケーションのダウンタイムとレイテンシーを最小限に抑える常時稼働の検出機能および自動インライン緩和策となります。AWS で運用され、ELB、Amazon CloudFront、Amazon Route 53 のリソースを使用するウェブアプリケーションを標的とした攻撃に対する保護を強化するため、お客様と APN パートナーは AWS Shield Advanced に登録できます。
-
AWS はユーザーからの削除依頼をどのように処理しますか?
AWS のサービスでは、お客様が AWS マネジメントコンソール、API、その他の入力方法を使用し、コンテンツをオンデマンドで削除できます。特定のサービス機能の詳細については、当社のドキュメントをご覧ください。
-
LGPD と AWS に関する質問がある場合は、誰に問い合わせればよいですか?
データプライバシーに関するページとプライバシーに関する通知に加えて、データ保護または AWS と LGPD について質問があるお客様と APN パートナーは、まず AWS アカウントマネージャーに連絡することをお勧めします。エンタープライズサポートにサインアップしているお客様は、テクニカルアカウントマネージャー (TAM) に問い合わせることもできます。TAM はソリューションアーキテクトと連携し、お客様がリスクとリスク低減の可能性を特定できるようにサポートします。また、TAM とアカウントチームは、環境とニーズに基づいて、お客様と APN パートナーに具体的なリソースを紹介することもできます。
AWS には、エンタープライズサポート担当者やプロフェッショナルサービスコンサルタントといったスタッフによるチームもあり、LGPD に関する質問に回答しています。また、AWS では、お客様と APN パートナーにさらに理解を深めていただくために、AWS Summits でいくつかの講演、オンラインセミナー、ワークショップを開催しており、LGPD の理解と AWS ツールを使用したソリューションの実装をサポートしています。