一般データ保護規則 (GDPR) センター

AWS のサービスを使用する場合の GDPR コンプライアンス

欧州連合の一般データ保護規則 (GDPR) は、データ主体のプライバシーに関する基本的な権利を保護し、個人データの保護を強化するものです。GDPR には、データの保護、セキュリティ、コンプライアンスに関する基準を引き上げ、かつこれらを統合する厳格な要件が含まれています。詳細については、以下のGDPR に関するよくある質問をご覧ください。

AWS のお客様は、すべての AWS のサービスを使用して、GDPR に準拠しながら、お客様の AWS アカウント で AWS のサービスにアップロードされた個人データ (顧客データ) を (GDPR の定義に則して) 処理できます。また、AWS 自身が準拠することに加えて、お客様のアクティビティに関わる可能性がある GDPR 要件にお客様が準拠することを支援するために、サービスとリソースを提供します。AWS では、新機能が定期的にリリースされており、セキュリティとコンプライアンスに重点を置いた500 種類を超える機能やサービスが提供されています。 AWS が行っている支援の詳細については、ブログ「EU のお客様がデータを保護するための新しい標準への移行に向けて、AWS がどのように支援しているか」をご覧ください。

お客様による管理

顧客データは、お客様が管理します。AWS を使用する場合、お客様は以下のことができます。

  • 顧客データの保存先として、ストレージのタイプやストレージの地理的リージョンなどを決定する。
  • 顧客データの安全な状態を確保する。私たちはお客様のために、移動中または保管中の顧客データの強力な暗号化機能を提供しています。暗号化キーをお客様がご自身で管理するオプションも提供しています。
  • お客様が管理するユーザー、グループ、アクセス許可および認証情報によって、顧客データおよび AWS のサービスおよびリソースへのアクセスを管理する。
詳細はこちら »

欧州経済地域 (EEA) 外への転送

AWS のお客様は、引き続き AWS のサービスを使用して、EEA から、GDPR に準拠して欧州委員会 (米国を含む) から適切な決定を受けていない 非 EEA 諸国に顧客データを転送することができます。AWS では、顧客データを守ることが最優先事項であり、お客様がどの AWS リージョンを選択しているかにかかわらず、厳密な技術的および組織的対策を講じてかかるデータの機密性、完全性、および可用性を保護しています。 私たちは、透明性がお客様にとって重要であることを理解しています。私たちは、顧客データのデータ移動を含む AWS のサービスをプライバシー機能のウェブページ上でリストにしています。

規制および法的な状況が進展するにつれて、AWS は常に、お客様がどこで事業活動を遂行していても AWS のサービスのメリットを享受し続けることができるように努めます。追加情報については、「customer update on the EU-US Privacy Shield」(EU-US Privacy Shield に関する最新情報) と、AWS データ処理補遺条項に対する捕捉補遺および CISPE Data Protection Code of Conduct に関するブログ投稿をご覧ください。

GDPR のリソース

AWS での GDPR のコンプライアンス
ホワイトペーパーをダウンロード »
ブレグジット (Brexit) と AWS について知っておくべきこと
詳細はこちら »
GDPR に関する AWS セキュリティブログの投稿
詳細はこちら »
AWS のサービスのプライバシー機能
詳細はこちら »

GDPR のよくある質問

概要と GDPR の基本


  • 一般データ保護規則 (GDPR) は、2018 年 5 月 25 日に施行されたヨーロッパのプライバシー法です。GDPR は、指令 95/46/EC としても知られる EU データ保護指令に取って代わるもので、各加盟国に拘束力を持つ唯一のデータ保護法を適用することにより、欧州連合 (EU) 全体でデータ保護法に親和性をもたせることを目的とします。

  • GDPR は、商品またはサービスの EU 内データ主体への提供、または EU 内で行われる活動のモニタリングのいずれかに関連して、EU 内に設立された全組織、および EU 内に設立されたか否かを問わず EU 内の個人に関する個人データを処理する組織に適用されます。個人データとは、氏名、E メールアドレス、電話番号を含め、特定のまたは識別可能な自然人に関する情報を指します。

  • AWS は、GDPR に基づいて、データ処理者とデータ管理者の両方の活動を行います。

    • データ処理者としての AWS – お客様が AWS のサービスを使用して、AWS のサービスにアップロードしたコンテンツ内の個人データを処理する場合、AWS はデータ処理者として行動します。お客様は、個人データを処理するために、AWS のサービスで提供される統制 (セキュリティ構成の統制など) を使用できます。このような場合、お客様はデータ管理者またはデータ処理者として行動し、AWS はデータ処理者または補助処理者として行動します。AWS は、GDPR に準拠した AWS データ処理補遺条項 (AWS DPA) を提供しており、これにはデータ処理者としての AWS の義務が規定されています。標準契約条項を含む AWS DPA は、AWS サービス条件の一部であり、GDPR に準拠するためにこれを必要とするすべてのお客様に自動的に利用可能となります
    • データ管理者としての AWS – AWS は個人データを収集し、その個人データを処理するための目的と方法を決定します。例えば、AWS が、アカウントの登録、管理、サービスアクセス、またはカスタマーサポートアクティビティを通じて支援を提供するための AWS アカウントの連絡先情報のために、アカウント情報 (アカウント登録中に提供された E メールアドレスなど) を保存する場合、AWS はデータ管理者として行動することになります。AWS が管理者として個人データを処理する方法の詳細については、AWS プライバシー通知を参照してください。
  • SCC は、GDPR に基づいて事前に承認されたデータ移転メカニズムであり、すべての EU 加盟国で適用可能です。これにより、欧州経済領域外の、欧州委員会から十分性認定を受けていない国 (第三国) への個人データの合法的な移転が可能になります。

  • AWS のサービス条件には、2021 年 6 月に欧州委員会 (EC) によって採択された SCC が含まれており、AWS DPA は、AWS のお客様が AWS のサービスを利用して顧客データを、欧州経済領域外の、欧州委員会から十分性認定を受けていない国 (第三国) に移転する場合は常に SCC が自動的に適用されることを確認しています。AWS のサービス条件の一部として、新しい SCC は、お客様が AWS のサービスを利用して顧客データを第三国に移転する場合は常に自動的に適用されます。AWS のサービス条件の新しい SCC は以前のバージョンの SCC に置き換わるため、既に AWS DPA に署名している少数のお客様は、引き続きその AWS DPA に依拠できます。したがって、お客様が AWS のサービスを利用して第三国に移転する顧客データは、EEA で顧客データが受けるのと同じ程度に高度なレベルの保護を受けることになるため、ご安心いただけます。詳細については、新しい標準契約条項の運用に関するブログ記事を参照してください。

Schrems II の判決と EDPB の推奨事項に従った AWS と GDPR のコンプライアンス


  • 2020 年 7 月 16 日、欧州連合司法裁判所 (CJEU) は、EU 個人に関する個人データの EEA 外への転送に関する判決を下しました (Schrems II)。この Schrems II で、CJEU は、EU-US プライバシーシールドが EEA から米国に個人データを転送するための有効な仕組みではなくなったとの判決を下しました。ただし、同じ判決で、CJEU は、企業が EEA 外に個人データを転送するための有効な仕組みとして標準契約条項を引き続き使用できることを確認しました (必要に応じて補足措置を実施することを条件とします)。各国のデータ保護当局の代表者で構成される欧州機関である欧州データ保護委員会 (EDPB) は、その後、「勧告 01/2020 で、EU レベルでの個人データ保護に関して、転送ツールを補足してコンプライアンスを確保するための補足措置の網羅的でないリストを提供しています 」(EDPB 勧告)。

    この EDPB 勧告は、データ輸出者が実施できる補足措置の例を提示しています。AWS のデータ転送リソースの詳細については、下記のよくある質問「 Schrems II の判決後も AWS のサービスを引き続き使用できますか?」を参照してください。 

  • はい。AWS のお客様は、引き続き AWS のサービスを使用して、欧州委員会から適切性の判断を受けていない EEA 外の国に顧客データを転送することができます。Schrems II の判決は、EEA 外への顧客データの転送の仕組みとして標準契約条項 (SCC) の使用を検証しました。AWS のお客様は、GDPR に準拠して EEA 外へ顧客データを転送する際に引き続き SCC を利用することができます。

    • 処理場所。お客様は、顧客データが保存される AWS リージョンを選択できます。利用可能な AWS リージョンの概要は、リージョンとアベイラビリティーゾーンにあります。AWS は、お客様が開始した AWS のサービスを提供する目的で必要な場合、または法律や政府機関の拘束力のある命令に従う必要がある場合を除き、お客様が選択した AWS リージョン外で顧客データを処理しません。AWS のサービスの一部としてのデータ転送の詳細については、プライバシー機能のウェブページを参照してください。
    • 補助処理者。 AWS は、顧客データの処理のサポート、AWS DPA に基づくお客様に対する AWS の義務の履行、または AWS のためのサービスの提供を目的として、補助処理者 (すなわち、AWS の関連会社または第三者) を使用する場合があります。詳細については、下記のよくある質問「AWS は補助処理者を使用して顧客データを処理しますか?」を参照してください。
    • 転送ツール。 Schrems II 判決が、欧州委員会から十分性認定を受けていない EEA 外の国にデータを移転するためのメカニズムとして SCC の使用を検証したため、GDPR に準拠して EEA 外にデータを移転することを選択する場合、お客様は引き続き AWS DPA に含まれる SCC に依拠することができます。
    • 補足措置。
      • お客様による管理。 お客様は、顧客データの保存場所を決定し、転送中および保存中の顧客データを保護し、AWS リソースへのユーザーアクセスを管理し、顧客データを変更、削除、取得できる、シンプルでありながら強力なツールを通じて、常に顧客データの所有権と管理を有しています。
      • 技術的および組織的対策。AWS は、顧客データへの不正なアクセスまたは開示を防ぐように設計された、責任ある高度な技術的および物理的制御とプロセスを実装しています (詳細は、AWS コンプライアンスのウェブページを参照してください)。また、お客様が転送中および保存中の両方で顧客データを保護するために使用できる高度な暗号化およびキー管理サービス (お客様が自分のキーを管理できるサービスを含む) を多数提供しています。暗号化された顧客データは、適切な復号化キーなしではアクセスできなくなります。顧客データが暗号化されているかどうかに関係なく、常に不正アクセスから顧客データを保護するために細心の注意を払っています。
      • 法執行機関による要請。 AWS には、法執行機関から受け取ったリクエストを処理するための内部プロセスがあります。顧客データに対して法執行機関から要請を受けた場合は、要請の内容が正確かどうか慎重に調べ、適用法に適合しているかどうか検証します。法的に禁止されていない限り、AWS は、お客様が開示からの保護を求めるためのさらなる措置を講じることができるように、顧客データを開示する前にお客様に通知します。AWS DPA に関する補足補遺 (補足補遺) において、AWS は、顧客データに関する政府からの要求への対応に関して、強化された契約上のコミットメントを行っています。これには、(i) 顧客データを要求する政府機関が、関連するお客様に直接連絡するよう、あらゆる合理的な努力を尽くすこと、(ii) 法令上許容されている場合には、速やかに要求内容をお客様に通知すること (必要な場合は、禁止の免除を得るためにあらゆる合理的かつ適法な努力を尽くすことを含む) (iii) 要求と EU の法令との間に齟齬がある場合を含め、過度に広範であるか、または不適切な要求に異議を申し立てること、ならびに (iv) 上記の手順を実行した後も、AWS が政府の要求に応じて顧客データを開示することを強制される場合は、当該要求を満たすために必要な最小限の顧客データのみを開示することが含まれます。
      • 契約上の措置。AWS は、AWS DPA および補足補遺に反映されている、上記の対策に対していくつかの契約上の措置を施しています。AWS DPA および補足補遺には、(1) 顧客データが保存および処理される AWS リージョンのお客様による選択、(2) AWS のインフラストラクチャを保護するために AWS が実装した技術的および組織的措置と、お客様が顧客データを保護するために適用することを選択できる技術的および組織的措置の両方、(3) 政府機関からデータ開示要求があった場合における、顧客データを保護し、お客様に通知するための AWS の措置、ならびに (4) 顧客データが処理される第三国で適用される法令を遵守して、AWS DPA に規定されている義務を履行する AWS の能力に関して、AWS からの契約上のコミットメントが含まれています。補足補遺は、(5) GDPR によって付与された権利の侵害があった場合に補償を請求する個人の法定権利にも対応しています。
  • はい、AWS は次の 3 種類の補助処理者を使用する場合があります。(1) AWS のサービスが実行されるインフラストラクチャを提供する AWS 事業体、(2) 顧客データの処理が必要となる可能性のある特定の AWS のサービスをサポートする AWS 事業体、および (3) AWS が特定の AWS のサービスの処理アクティビティを提供するために契約した第三者。AWS 補助処理者のウェブページは、お客様のために顧客データに対する処理アクティビティを提供してもらうことを目的として、AWS が AWS DPA に従って関与させる補助処理者に関する詳細情報を提供します。個々のお客様に関連する補助処理者は、お客様が選択した AWS リージョンや、お客様が使用する特定の AWS のサービスによって異なります。

  • AWS のホワイトペーパー、Navigating Compliance with EU Data Transfer Requirements では、お客様が Schrems II 規則、さらには、European Data Protection Board のレコメンデーションを踏まえたうえで、データ転送評価を実施する際にお客様を支援する目的で、AWS が提供するサービスとリソースに関する情報を紹介しています。このホワイトペーパーではまた、顧客データを保護するために、AWS が実施し、提供している主要な補足的手段についても説明しています。

  • AWS は、AWS のインフラストラクチャが高いレベルのコンプライアンスを維持していることを証明するため、お客様に対して役立つ情報を提供しています。例えば、サードパーティーの監査人は、AWS がセキュリティのさまざまな規格や法規に準拠していることを検証しており、AWS はそれらの監査人が作成したさまざまなコンプライアンスレポートを提供しています。これらのレポートは、お客様が AWS で処理することとした顧客データを当社が保護していることをお客様に示すものです。この例には、AWS による ISO 27001、27017、および 27018 の遵守が含まれます。ISO 27018 には、顧客データの保護に重点を置いたセキュリティ統制が含まれています。

    また、AWS は、データ保護向けの CISPE Code of Conduct にも準拠しています。CISPE Code of Conduct に関する詳細については、以下のよくある質問「AWS は、GDPR によって承認された、クラウドインフラストラクチャサービス固有の行動規範に準拠していますか?」でご確認ください。

  • はい。2023 年 6 月現在、107 の AWS サービスが Cloud Infrastructure Services Providers in Europe (CISPE) Data Protection Code of Conduct に準拠しています。CISPE は、欧州の数百万の顧客にサービスを提供するクラウドコンピューティングのリーダーの連合体です。CISPE Data Protection Code of Conduct (CISPE Code) は、クラウドインフラストラクチャサービスプロバイダーに焦点を当てた初の汎欧州のデータ保護行動規範です。CISPE Code は、欧州全土の 27 のデータ保護機関に代わって行動する European Data Protection Board (欧州データ保護委員会) によって承認され、主な監督機関としての役割を担うフランスのデータ保護当局 (CNIL) によって正式に採用されました。2017 年、AWS は旧版の CISPE Code への準拠を発表しました。

    CISPE Code は、お客様のクラウドインフラストラクチャサービスプロバイダーに、GDPR への準拠を実証させるとともに、お客様データを保護するための適切な運用を保証してもらうのに役立ちます。CISPE Code には以下のような重要な利点があります。

    • クラウドインフラストラクチャを重要視する: お客様のデータ、つまりクラウドインフラストラクチャサービスを使用してお客様のために処理される個人データの処理に関して、GDPR に基づくクラウドインフラストラクチャサービスプロバイダーの役割を明確にします。
    • 欧州のデータ: お客様のデータを欧州経済領域 (EEA) 内でのみ保存および処理するサービスをお客様が利用できるようにすることをクラウドインフラストラクチャサービスプロバイダーに要求します。
    • データのプライバシー: CISPE Code は、組織に対して、クラウドインフラストラクチャサービスプロバイダーが、GDPR に基づいてその組織のために処理する個人データ (顧客のデータ) に適用される要件を満たしていることを保証するものです。

    AWS の準拠ステータスを示す Certificate of Compliance は、CISPE Public Register でご確認いただけます。記載されている AWS サービスは、CISPE Code に準拠していることが独自に検証されています。検証プロセスは、CNIL によって認定され、世界的に知られている独立モニタリング機関である Ernst & Young CertifyPoint (EY CertifyPoint) によって実施されました。

技術的および組織的対策


  • AWS の責任共有モデルが GDPR によって変わることはなく、お客様にとって引き続き重要です。責任共有モデルは、GDPR に基づいた AWS のさまざまな責任 (データの処理者または補助処理者として)、ならびにお客様の責任 (データ管理者またはデータ処理者として) を説明するために役立つアプローチです。

    責任共有モデルにおいて、AWS には、AWS のサービス (「クラウド「の」セキュリティ」) をサポートする基盤となるインフラストラクチャを保護する責任があります。一方、お客様は、データ管理者またはデータ処理者として行動し、AWS のサービス (「クラウド「内の」セキュリティ」) にアップロードする個人データすべてに対して責任を負います。

    AWS の「クラウドのセキュリティ」責任 – AWS は、AWS のサービスで実行されるすべてのインフラストラクチャの保護について責任を負います。このインフラストラクチャは、AWS のサービスを運用するためのハードウェア、ソフトウェア、ネットワーキング、施設で構成されています。これにより、お客様は、カスタマーコンテンツを処理する際に、セキュリティ構成の統制などの強力な統制を利用できるようになります。サードパーティーの監査人は、AWS がコンピュータセキュリティのさまざまな規格や法規に準拠していることを検証しており、AWS はそれらの監査人が作成したさまざまなコンプライアンスレポートをお客様に提供しています (詳細については、AWS コンプライアンのウェブページをご覧ください)。お客様は、これらのレポートから、その顧客データがどのように保護されているかを理解できます。例えば、AWS は、ISO 27001、27017、27018 に準拠しています。ISO 27018 には、顧客データの保護に重点を置いたセキュリティ統制が含まれています。

    「クラウド内のセキュリティ」に関するお客様の責任 - AWS のお客様には、AWS のサービスにデプロイすることを選択したアプリケーションとソリューションを設計および保護する責任があります。また、AWS のお客様は、その顧客データの機密性、整合性、およびセキュリティのニーズを保護できる方法で AWS のサービスを設定する責任も負います。お客様が自身のデータを保護するために必要な具体的な責任は、お客様が使用することを選択した AWS のサービスと、それらのサービスをお客様の IT 環境に統合する方法によって異なります。AWS のお客様は自身のデータに対する可視性とコントロールを持ち、データの機密性の種類に基づいて柔軟なセキュリティコントロールを実装できます。お客様は、独自のセキュリティ対策とツールを利用するか、AWS または他のサプライヤが提供するセキュリティ対策とツールを使用することで、これを行うことができます。このようにして、お客様はより機密性の高いデータのために追加のセキュリティ層を導入することができます。

    AWS は、お客様がアプリケーションやソリューションを設計および保護するために使用でき、GDPR の要件の処理に役立つようにデプロイできる製品、ツール、サービスを提供いたします。

    • AWS Identity and Access Management (IAM) を使用すると、組織は AWS の製品とリソースへのアクセスを安全に管理できます。IAM を使用するお客様は、AWS のユーザーやグループを作成して管理することや、権限を設定して AWS リソースへのアクセスを許可または拒否することができます。IAM は、各 AWS アカウントで追加料金なしで利用できる機能です。
    • AWS CloudTrail を使用すると、AWS でのアクションに関連するアカウントアクティビティについての情報のログ記録、継続的なモニタリング、保持を行うことができるようになります。これにより、セキュリティ分析、リソース変更の追跡、トラブルシューティングを簡略化できます (デフォルトでは、AWS CloudTrail がすべての AWS アカウントで有効になっています)。
    • Amazon GuardDuty はマネージド型の脅威検出サービスです。悪意のある操作や不正な動作を継続的に監視し、AWS アカウントとワークロードを保護します。異常な API コールや不正なデプロイの可能性など、アカウント侵害の可能性を示すアクティビティがモニタリングされます。GuardDuty はインスタンスへの侵入の可能性や攻撃者による偵察も検出します。
    • Amazon Macieは、Amazon S3 に保存された個人データの検出と分類をサポートするための機械学習ツールです。

    GDPR に準拠して AWS リソースを使用する方法の詳細については、AWS での GDPR のコンプライアンスのホワイトペーパーをお読みください。

  • はい。AWS パートナーソリューションファインダーで「GDPR」で検索すると、GDPR の遵守に役立つ製品やサービスを提供している ISV、MSP、SI パートナーを見つけることができます。また、AWS Marketplace で「GDPR」のソリューションを探すこともできます。

  • はい。AWS Security Assurance Services チームは、GDPR の遵守に向けたお客様との取り組みをサポートするさまざまな活動を実施しています。業界認定のコンプライアンス専門家で構成されるこのチームは、適用可能なコンプライアンス標準を AWS のサービス固有の機能に結び付けることにより、お客様がクラウドでコンプライアンスを達成、維持、自動化するのを支援いたします。AWS Professional Services のコンサルタントがお客様をどのようにサポートできるかについての詳細は、こちらをご覧ください。

  • お客様は、AWS Support を活用して、GDPR コンプライアンスへの道のりを支援する技術的助言を受けることができます。AWS では、この活動の一環として、クラウドサポートエンジニアとテクニカルアカウントマネージャー (TAM) のチームを結成し、コンプライアンスに関するリスクの特定と低減をサポートするトレーニングを実施しました。AWS が提供するサポートのレベルは、お客様が選択した AWS Support プランによって異なります。お客様が AWS Premium Support についてお知りになりたい場合は、AWS マネジメントコンソールで利用できる AWS Support Center にアクセスして、詳細を確認できます。この場合、エンタープライズサポート契約で指定した連絡先情報を使用するか、AWS Support のウェブページにアクセスしてください。エンタープライズサポートに登録しているお客様は、GDPR 関連の質問に関して TAM に問い合わせることができます。

    お客様が GDPR への準拠に取り組む際に役立つプログラムが 2 つあります。

    • クラウド運用のレビュー – AWS Enterprise Support に登録しているお客様が利用できます。このプログラムは、クラウド内での運用アプローチにおいて足りない部分を特定できるように設計されています。このプログラムは、AWS が多数の代表的なお客様との経験から収集した運用上のベストプラクティスに基づき、クラウド運用をレビューして、関連する管理実施策を提案するもので、GDPR への準拠に向けた組織の取り組みに役立ちます。このプログラムでは、優れた運用のために、クラウドベースのシステムの準備、モニタリング、運用、最適化という 4 つの柱によるアプローチを使用しています。
    • Well-Architected レビュー – 各組織は、このプログラムにより、AWS のベストプラクティスと比較して自社のアーキテクチャを評価し、安全性、信頼性、パフォーマンス、費用対効果に優れたアーキテクチャを構築できます。また、お客様は、Well-Architected レビューを使用することで、アーキテクチャのどこにリスクがあるかを把握し、アプリケーションを本番稼働する前に問題を解決できます。

  • AWS には、セキュリティインシデントのモニタリングとデータ侵害の通知プロセスがあり、AWS DPA に従って、不当な遅延なしに AWS のセキュリティ違反をお客様に通知します。また、AWS は、お客様のリソースに対して誰がアクセスできるか、またそのユーザーがいつどこからアクセスしたかを把握するためのツールをいくつか提供しています。このようなツールの 1 つに AWS CloudTrailがあります。これを使用すると、AWS アカウントのガバナンス、コンプライアンス、運用監査、リスク監査を実施できるようになります。AWS CloudTrail を使用すると、お客様は AWS インフラストラクチャ全体でアクションに関するアカウントアクティビティをログに記録し、継続的に監視し、情報を保持できます。これにより、各組織は、AWS インフラストラクチャで何が発生しているかを把握でき、異常なアクティビティが発生した場合にはすぐに対策を講じることができます。お客様が GDPR に基づいてデータ管理者としての義務を果たせるようサポートするために AWS がお客様に提供している他のセキュリティツールの詳細については、AWS クラウドのセキュリティに関するウェブページをご覧ください。 

  • AWS は、お客様と AWS パートナーがその顧客データを保護し、サイバー攻撃から防御できるようサポートするため、いくつかのツールを提供しています。そのようなツールの 1 つに AWS Shield があります。これは、分散サービス妨害 (DDoS) に対するマネージド型の保護サービスで、AWS で運用しているウェブサイトとアプリケーションを保護するために使用できます。AWS Shield Standard は追加料金なしで利用でき、アプリケーションのダウンタイムとレイテンシーを最小限に抑える常時稼働の検出機能および自動インライン緩和策となります。AWS で運用され、ELB、Amazon CloudFront、Amazon Route 53 のリソースを使用するウェブアプリケーションを標的とした攻撃に対する保護を強化するため、お客様と AWS パートナーは AWS Shield Advanced に登録できます。また、AWS は、AWS を使用して DDoS 攻撃からの回復力に優れたアプリケーションを構築するお客様をサポートするため、AWS Best Practices for DDoS Resiliency を公開し、定期的に更新しています。

    サイバー攻撃から顧客データを保護するために AWS が提供するその他のツールには、以下があります。

    • AWS Identity and Access Management (IAM) を使用すると、組織は AWS の製品とリソースへのアクセスを安全に管理できます。IAM を使用すると、お客様と APN パートナーは、AWS のユーザーやグループを作成して管理することや、権限を設定して AWS リソースへのアクセスを許可または拒否することができます。IAM は、各 AWS アカウントで追加料金なしで利用できる機能です。
    • AWS Config を使用すると、お客様と APN パートナーは、AWS リソースが適切に構成され、規制への準拠状態が確保されるよう、事前にパッケージ化されたルールを有効にすることができます。
    • AWS CloudTrail を使用すると、AWS でのアクションに関連するアカウントアクティビティについての情報のログ記録、継続的なモニタリング、保持を行うことができるようになります。これにより、セキュリティ分析、リソース変更の追跡、トラブルシューティングを簡略化できます (デフォルトでは、AWS CloudTrail がすべての AWS アカウントで有効になっています)。
    • Amazon GuardDuty はマネージド型の脅威検出サービスです。悪意のある操作や不正な動作を継続的に監視し、AWS アカウントとワークロードを保護します。異常な API コールや不正なデプロイの可能性など、アカウント侵害の可能性を示すアクティビティがモニタリングされます。GuardDuty はインスタンスへの侵入の可能性や攻撃者による偵察も検出します。
  • Amazon Macie は、機械学習とパターンマッチングを使用して AWS の個人データを検出して保護する、フルマネージドのデータセキュリティとデータプライバシーのサービスです。組織で管理するデータが増大するにつれて、大規模な個人データを特定し保護することは、コストや時間のかかる、ますます複雑な作業となります。Amazon Macie では、大規模な個人データの検出を自動化し、データ保護のコストを削減します。Macie では、暗号化されていないバケット、パブリックアクセス可能なバケット、AWS Organizations で定義したもの以外の AWS アカウントと共有されているバケットのリストを含む、Amazon S3 バケットのインベントリが自動的に提供されます。次に、Macie は、選択したバケットに機械学習とパターンマッチングの手法を適用して、個人データを識別してアラートを発信します。

    Amazon Macie は、クラウドセキュリティ向けの ISO 27017 規格やクラウドプライバシー向けの ISO 27018 規格など、国際的に認知された規格の認証を受けているため、お客様と APN パートナーは、Macie を使用してデータへのアクセスを継続的にモニタリングし、アクセスパターンに基づいて疑わしいアクティビティを検出できます。

  • AWS は、お客様による GDPR への準拠をサポートするため、AWS のコンテンツに含まれる個人データへのアクセスを管理するツールをいくつか提供しています。次のようなツールがあります。

    • デフォルトのセキュリティとは、AWS のサービスがデフォルトでセキュアになるよう設計されているという意味です。デフォルトの設定が使用された場合、リソースへのアクセスは、アカウント所有者とルート管理者のみに制限されます。
    • AWS Identity and Access Management (IAM)では、AWS のサービスやリソースへのアクセスをお客様が安全に管理できます。IAM を使用して、組織は AWS のユーザーとグループを作成および管理し、アクセス権を使用して、AWS リソースへのユーザーとグループのアクセスを許可および拒否できます。IAM は、各 AWS アカウントで追加料金なしで利用できる機能です。
    • AWS Multi-Factor Authentication を使用すると、AWS アカウントのユーザー名およびパスワードの保護を強化できます。AWS では、MFA デバイスとして仮想デバイスとハードウェアデバイスのいずれかを選択できます。
    • AWS Directory Service を使用すると、社内ディレクトリとの統合および連携によって管理オーバーヘッドを削減し、エンドユーザーエクスペリエンスを向上できます。
    • AWS Config を使用すると、お客様は、AWS リソースが適切に構成され、規制への準拠状態が確保されるよう、事前にパッケージ化されたルールを有効にすることができます。
    • AWS CloudTrail では、AWS でのアクションに関連するアカウントアクティビティについての情報のログ記録、継続的なモニタリング、保持を行うことができるようになります。これにより、セキュリティ分析、リソース変更の追跡、トラブルシューティングを簡略化できます (デフォルトでは、AWS CloudTrail がすべての AWS アカウントで有効になっています)。
    • Amazon Macie は、機械学習を使用し、AWS にある機密データを自動的に検出、分類、保護することにより、お客様がデータを失うことがないようサポートするサービスです。完全マネージド型のサービスで、データアクセスアクティビティの異常が継続的にモニタリングされ、不正アクセスのリスクや不注意によるデータ漏洩が検出された場合に詳細なアラートが生成されます。例えば、機密データへの外部アクセスをお客様が誤って許可したような場合です。
       
  • AWS は、お客様と AWS パートナーが GDPR におけるデータ管理者としてデータ処理のセキュリティに関する義務を果たせるよう、クラウド内で保管中の顧客データのセキュリティを強化する機能を提供しています。AWS では次のような暗号化ツールを利用できます。

    • Amazon Elastic Block StoreAmazon S3Amazon GlacierAmazon DynamoDBOracle RDSSQL Server RDSRedshift といった、ストレージやデータベースに関する AWS のサービスで利用可能なデータ暗号化機能
    • 暗号化キーを AWS 側で管理するか、お客様が完全に自分で管理するかを選択できる、AWS Key Management Service などの柔軟なキー管理オプション
    • Amazon SQS のサーバー側暗号化 (SSE) を使用した、機密データ送信向けの暗号化メッセージキュー
    • お客様がコンプライアンスの要件を満たせるようにする、AWS CloudHSM を使用した専用の、ハードウェアベースの暗号化キーストレージ
     
    さらに、AWS には、AWS 環境内でお客様や APN パートナーが開発またはデプロイしたどのサービスにも暗号化とデータ保護を統合できる API が用意されています。
  • AWS では、お客様が GDPR の要件を満たすための特定の機能とサービスを提供しています。

    アクセスコントロール: 承認された管理者、ユーザー、およびアプリケーションにのみ AWS リソースへのアクセスを許可する

    • 多要素認証 (MFA)
    • Amazon S3 バケット/Amazon SQS/Amazon SNS のオブジェクトおよびその他への詳細レベルのアクセス
    • API リクエスト認証
    • 地域制限
    • AWS Security Token Service による一時的アクセストークン

    モニタリングとロギング: AWS リソースのアクティビティの概要を確認

    暗号化: AWS のデータを暗号化する

    • AES256 (EBS/S3/Glacier/RDS) による保存データの暗号化
    • マネージド型一元キー管理 (AWS リージョン使用)
    • VPN-Gateways による AWS への IPsec トンネル
    • AWS CloudHSM によるクラウド上の専用の HSM モジュール

    格なコンプライアンスフレームワークとセキュリティ基準: 以下のような厳格な国際基準への準拠を示します。

AWS と UK GDPR


AWS とスイス連邦データ保護法


お問い合わせ


  • GDPR についてご質問があるお客様は、まず AWS アカウントマネージャーにお問い合わせください。エンタープライズサポートにサインアップしているお客様は、テクニカルアカウントマネージャー (TAM) に問い合わせることもできます。TAM はソリューションアーキテクトと連携し、お客様がリスクとリスク低減の可能性を特定できるようにサポートします。また、TAM とアカウントチームは、環境とニーズに基づいて、お客様と APN パートナーに具体的なリソースを紹介することもできます。
     

    AWS には、エンタープライズサポート担当者やプロフェッショナルサービスコンサルタントといったスタッフによるチームもあり、GDPR に関する質問に回答しています。ご不明な点がございましたら、こちらからお問い合わせください。

ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をお探しですか?
Twitter でフォローしてください »