CISPE データ保護行動規範
概要
CISPE (Cloud Infrastructure Services Providers in Europe) は、欧州の数百万の顧客にサービスを提供するクラウドコンピューティングのリーダーの連合体です。CISPE Data Protection Code of Conduct (CISPE Code) は、欧州連合の一般データ保護規則 (GDPR) 第 40 条に基づく、クラウドインフラストラクチャサービスプロバイダーに焦点を当てた初の汎欧州のデータ保護行動規範です。それは、2021 年 5 月に欧州データ保護委員会 (EDPB) によって承認され、2021 年 6 月には主な監督機関としての役割を担うフランスのデータ保護機関 (CNIL) によって正式に採用されました。
CISPE Code は、クラウドインフラストラクチャサービスプロバイダーが、GDPR に基づいてデータプロセッサに適用される要件を満たしていることを組織に保証するものです。これにより、クラウドを利用するお客様は、GDPR へのコンプライアンスについて独立して検証されたサービスを選択できるという、さらなる安心感を得ることができます。
CISPE Code は、GDPR へのコンプライアンスにとどまらず、お客様のデータを欧州経済領域内のみで保存および処理するサービスをお客様が選択できるようにすることを、クラウドインフラストラクチャサービスプロバイダーに要求します。また、クラウドインフラストラクチャサービスプロバイダーは、宣言されたサービスを提供および維持する必要がある場合を除き、いかなるお客様のデータにもアクセスしたり、それを使用したりしないことを確約しなければなりません。特に、クラウドインフラストラクチャサービスプロバイダーは、データマイニング、プロファイリング、またはダイレクトマーケティングなど、自分たちの目的のためにお客様のデータを使用しないことを確約しなければなりません。EY CertifyPoint (EYCP) は、AWS サービスが CISPE Code に準拠していることを独自に認定しました。EYCP は、クラウドインフラストラクチャプロバイダーの CISPE Code へのコンプライアンスを検証するために CNIL から認定された最初の「モニタリング機関」です。
AWS は、他のどのクラウドプロバイダーよりも多くのセキュリティ規格やコンプライアンス認定をサポートしており、規制環境の進化に伴い、お客様のニーズを継続的に見直しています。CISPE Code は、AWS クラウドサービスが GDPR にコンプライアンスして使用できることをお客様に追加レベルで保証するものであり、今日のお客様のコンプライアンス要件に対応するものです。
よくある質問
-
CISPE GDPR データ保護行動規範 (CISPE Code) とは何ですか?
Cloud Infrastructure Service Providers in Europe Data Protection Code of Conduct (CISPE Code) は、欧州連合の一般データ保護規則 (GDPR) 第 40 条に基づく、クラウドインフラストラクチャサービスプロバイダーに焦点を当てた初の汎欧州のデータ保護行動規範です。2021 年 5 月に欧州データ保護委員会 (EDPB) で承認され、2021 年 6 月にフランスのデータ保護機関 (CNIL) で正式に採択されました。
-
なぜそれがお客様にとって重要なのですか?
CISPE Code は、クラウドインフラストラクチャサービスプロバイダーが、GDPR に基づいてデータプロセッサに適用される要件を満たしていることを組織に保証するものです。これにより、クラウドを利用するお客様は、GDPR へのコンプライアンスが独立して検証されたサービスを選択できるという、さらなる安心感を得ることができます。
-
CISPE データ保護行動規範は、お客様の GDPR 遵守にどのように役立ちますか?
AWS が CISPE Code を遵守することで、AWS が GDPR 第 28 条に基づくプロセッサに適用される要件を満たす契約上および運用上の措置を実施していることを、お客様にさらに保証することになります。AWS の CISPE Code へのコンプライアンスは、CNIL がモニタリング機関として認定した外部監査役である EY CertifyPoint によって検証されています。
-
CISPE Code に基づく AWS の認定は、顧客が自分のデータがどこに保存され、処理されているかについて、より高いコントロールと透明性を確保するのにどのように役立ちますか?
CISPE Code は、GDPR へのコンプライアンスにとどまらず、欧州経済領域内でデータを保管、処理する選択肢を顧客に提供することを、クラウドインフラストラクチャサービスプロバイダーに要求します。また、クラウドインフラストラクチャサービスプロバイダーは、宣言されたサービスを提供そして維持する必要がある場合を除き、いかなる顧客のデータにもアクセスしたりそれを使用したりしないことを約束する義務があります。特に、クラウドインフラストラクチャサービスプロバイダーは、データマイニング、プロファイリング、またはダイレクトマーケティングなど、自分たちの目的のために顧客データを使用しないことを約束しなければなりません。 -
なぜ AWS は CISPE Code に準拠したサービスを宣言したのですか?
CISPE Code により、クラウドのお客様は、GDPR にコンプライアンスして使用できるクラウドインフラストラクチャサービスを自信を持って選択することができます。CISPE Code は、クラウドインフラストラクチャサービスプロバイダーが、GDPR に基づいてデータプロセッサに適用される要件を満たしていることを組織に保証するものです。これにより、クラウドを利用するお客様は、GDPR へのコンプライアンスが独立して検証されたクラウドサービスを選択できるという、さらなる安心感を得ることができます。AWS が CISPE Code に基づくサービスを宣言したのは、それが顧客に提供する追加的な保証のためです。CISPE Code は、クラウドインフラストラクチャサービスに焦点を当てた初の汎欧州のデータ保護行動規範であり、欧州データ保護委員会によって承認され、主なデータ保護機関としての役割を担うフランスのデータ保護機関 (CNIL) によって承認されています。 -
個人を特定できる情報 (PII)/個人情報を扱わないユーザーでも、CISPE Code は重要ですか?
はい。AWS はすべてのお客様のコンテンツのために、CISPE Code で概説されているデータ保護とプライバシーコントロールの高い水準を維持しています。 -
独立したモニタリング機関とはどのような機関ですか?
EY CertifyPoint (EYCP) は、AWS サービスが CISPE Code に準拠していることを独自に認定しました。EYCP は、クラウドインフラストラクチャプロバイダーの CISPE Code へのコンプライアンスを検証するために CNIL から認定された最初の「モニタリング機関」です。CNIL はその後、Bureau Veritas や LNE など、複数のモニタリング機関を認定しています。これらの機関はいずれも、国際的に認められた独立監査機関および認定機関であり、企業のデータ保護要件へのコンプライアンスを検証した実績があります。
-
AWS が CISPE Code への準拠を宣言したサービスはいくつありますか?
CISPE Code に準拠していると宣言されたサービスは、CISPE Public Register に「Controlled Adherence」として登録されます。これらのサービスでは、AWS が CISPE Code の要件に準拠していることが、CNIL に認定された独立モニタリング機関である EY CertifyPoint によって検証されています。また、CISPE Code の対象範囲内となっている AWS サービスは、「コンプライアンスプログラムによる AWS 対象範囲内のサービス」でご覧いただけます。
-
EU クラウド行動規範に基づいてサービスを宣言する予定はありますか?
AWS は、他のどのクラウドプロバイダーよりも多くのセキュリティ規格やコンプライアンス認定をサポートしており、規制環境の進化に伴い、お客様のニーズを継続的に確認しています。CISPE Code は、お客様が自信を持って GDPR にコンプライアンスして使用できるクラウドインフラストラクチャサービスを選択できるようにし、今日のお客様のコンプライアンス要件に対応しています。しかし、EU クラウド行動規範は、CISPE Code と同様の考慮点やアプローチを持つ、別の取り組みです。AWS は、CISPE Code が、AWS の GDPR 関連のコンプライアンスを実証し、それに対応するお客様の期待に応えるための優れたツールであると考えていますが、規制環境の進化に伴い、お客様のニーズを引き続き検討していきます。
