インドネシアのデータプライバシー

データを保護する

お客様の信頼を獲得することは AWS でのビジネスの基盤であり、お客様にとって最も重要で機密性の高い資産であるお客様のデータを保護する上で、当社に信頼をお寄せいただいていることを認識しています。当社は、お客様と緊密に連携してデータ保護のニーズを理解し、お客様がデータを保護するのをサポートするために最も包括的なサービス、ツール、および専門知識を提供することで、この信頼を獲得しています。このために、当社では、お客様のデータを保護するために必要な技術的、運用的、および契約上の措置を提供しています。AWS を使用すると、お客様は、自らのデータのプライバシーコントロールを管理し、データの使用方法、データへのアクセス権を持つユーザー、およびデータの暗号化方法を制御できます。当社は、今日利用可能な中でも、最も柔軟で安全なクラウドコンピューティング環境でこれらの機能を支えています。

お客様に対する当社のコミットメント

データ管理

AWS では、強力な AWS のサービスとツールを使用してデータを制御し、データの保存場所、データの保護方法、データへのアクセス権を持つユーザーを決定できます。AWS Identity and Access Management (IAM) などのサービスを使用すると、AWS のサービスとリソースへのアクセスを安全に管理できます。AWS CloudTrailAmazon Macie は、ガバナンス、コンプライアンス、検出、および監査を可能にし、AWS CloudHSMAWS Key Management Service (KMS) は、暗号化キーを安全に生成および管理できるようにします。

データプライバシー

当社では、高度なアクセス権、暗号化、およびログ記録の機能など、独自のプライバシー制御を実装できるサービスと機能をもって、プライバシー保護の水準を継続的に引き上げています。AWS マネージドキーまたはユーザーによるフルマネージドキーを使用して、転送中および保存中のデータを簡単に暗号化できます。AWS の外部で生成および管理された独自のキーを使用することができます。当社は、データの収集、使用、アクセス、保存、および削除の方法など、 プライバシーを管理するための一貫性のあるスケーラブルなプロセスを実装しています。 AWS Well-Architected Framework のセキュリティの柱など、データを保護するために活用できるさまざまなベストプラクティスドキュメント、トレーニング、およびガイダンスを提供しています。当社では、 AWS カスタマーアグリーメントおよび AWS GDPR データ処理補遺条項に記載されているとおり、お客様からの文書化された指示に基づいてのみ顧客データ (お客様が AWS アカウントにアップロードした個人データ) を処理し、詐欺や不正使用を防止するため、または法令を遵守するために必要な場合を除き、お客様の同意を得ることなく、お客様のデータにアクセスしたり、当該データを利用または共有したりすることはありません。 GDPRPCI、および HIPAA の適用を受ける何千ものお客様が、これらのタイプのワークロードのために AWS のサービスを利用しています。AWS は、クラウドセキュリティに関する ISO 27017 やクラウドプライバシーに関する ISO 27018 など、厳格な国際標準に準拠していることを実証する、国際的に認められた多数の認証および認定を取得しています。当社は、マーケティングまたは広告の目的で顧客データを利用したり、そこから情報を引き出したりすることはありません。
 
詳細については、 データプライバシーセンターをご覧ください。

データ主権

お客様は、世界中の AWS リージョンの 1 つ、または複数のリージョンに顧客データを保存することを選択できます。 また、AWS のサービスは、お客様が選択する AWS リージョンに顧客データが維持されるという確信を持って使用していただけます。一部の AWS のサービスにはデータの転送が伴い、例えば、これらのサービスを開発し、改善するため (この場合は転送をオプトアウトできます)、またはコンテンツ配信サービスなど、転送がサービスの不可欠な部分であることから転送が行われます。AWS では、サービスメンテナンスを含めた目的を問わず、AWS の職員による顧客データへのリモートアクセスを禁止しており、AWS のシステムもリモートアクセスを防止するように設計されていますが、お客様からこのようなアクセスを要請された場合、または悪用と不正使用を防止するため、もしくは法律に準拠するためにアクセスが必要となる場合を除きます。AWS が法執行機関の要請を受け、その要請が法律に抵触する、過度に広汎である、または要請に対して異議を申し立てる適切な根拠がある場合、AWS は政府機関からの顧客データに関する法執行機関の要請に異議を申し立てます。また、当社は、AWS が法執行機関から受け取る情報の要求の種類と数を説明する年 2 回の情報の要求に関するレポートも提供しています。

セキュリティ

AWS では、セキュリティが最優先事項であり、クラウドのセキュリティは AWS とお客様の間における共有責任です。 金融サービス事業者やヘルスケア事業者および政府機関を含むお客様が AWS を信頼し、機密性の非常に高い情報を預けてくださっています。Amazon GuardDuty、または EC2 インスタンスの基盤となるプラットフォームである AWS Nitro System のいずれを使用する場合でも、当社の包括的なサービスを使用して、コアセキュリティ、機密性、およびコンプライアンスの要件を満たす能力を強化できます。さらに、AWS CloudHSMAWS Key Management Service などのサービスを使用すると、暗号化キーを安全に生成および管理でき、AWS ConfigAWS CloudTrail は、コンプライアンスと監査のためのモニタリング機能とログ記録機能を提供します。

概要

インドネシアでは、2022 年 10 月 17 日に個人情報保護法 (インドネシア共和国政令 2022 年第 27 号) (PDP 法) が制定されました。PDP 法は、(i) インドネシアに居住する者、(ii) その行為がインドネシア国内または海外のインドネシア人データ対象者に法的影響を及ぼす場合、インドネシア国外に居住する者に適用されます。

PDP 法では、データ管理者とデータ処理者を区別し、それぞれに異なるデータ処理義務を適用しています。データ管理者とは、個人データの処理の目的を決定し、その処理を管理する者を指します。データ処理者とは、データ管理者の指示によりデータを処理する者を指します。上位レベルの立場として、データ管理者に課せらる主要な責務の一部を次に示します。

  • データ対象者の同意、契約上の必要性、正当な利益など、処理に関する特定の法的根拠に従って個人データを処理すること
  • 個人データには、それを非承認の公開から保護するための適切な保護手段を講じること
  • その個人データのデータ主体が保持する、データのアクセスおよび訂正を含む権利や、その個人データの削除依頼などに対応すること
  • 個人情報をインドネシア国外に転送する場合は、転送に関する条件が満たされている場合に限ること

データ処理業者については、PDP 法により、データ処理業者の個人データの処理は、データ管理者の指示にのみ従うことが義務付けられています。PDP 法には、データのローカリゼーションに関する要件は含まれていません。

電子情報と取引に関する 2008 年法律第 11 号、電子システムと取引の運用に関する政府規制 2019 年第 71 号 (GR 71) (電子システムと取引の運用に関する法律、政府規制 2012 年第 82 号を改正)、および電子システムにおける個人データの保護に関する 2016 年第 20 号の通信および情報規則第 20 条 (行政規則第 20 条) を含む、既存の個人データ保護規則は、PDP 法と矛盾しない範囲で引き続き有効です。

AWS では、お客様のプライバシーとデータセキュリティに絶えず注意を払っています。AWS のセキュリティは、その中核となるインフラストラクチャから始まります。クラウドに合わせて特別に構築され、世界で最も厳しいセキュリティ要件を満たすように設計された AWS のインフラストラクチャは、お客様のデータの機密性、整合性、可用性を確保するために 24 時間年中無休でモニタリングされています。このインフラストラクチャをモニタリングしているのと同じ世界クラスのセキュリティ専門家たちは、AWS の幅広い革新的なセキュリティサービスを構築し、管理にも携わっています。お客様は AWS のサービスを使用することにより、セキュリティ要件や規制要件を簡単に満たすことができます。AWS のお客様は、その規模や場所にかかわらず、サードパーティーの最も厳しい保証フレームワークに照らしてテストされた AWS の経験から、あらゆる利点を引き継ぎます。

AWS では、ISO 27001ISO 27017ISO 27018ISO 27701ISO 22301PCI DSS Level 1SOC 1、2 および 3 など、世界的に認められたセキュリティ保証フレームワークと認定に基づいて AWS クラウドインフラストラクチャサービスに適切な技術的で体系的なセキュリティ対策を実装し、管理しています。この技術的で体系的なセキュリティ対策は、独立したサードパーティーの評価機関によって検証済みで、お客様のコンテンツへの不正アクセスおよびお客様のコンテンツの漏えいを防止するように設計されています。

例えば、ISO 27018 は、クラウド内の個人データ保護に焦点を合わせた最初の国際的な実務規範です。ISO 27018 は、情報セキュリティ基準である ISO 27002 に基づいており、公開クラウドサービスプロバイダーによって処理される個人識別情報 (PII) に適用される ISO 27002 統制の実装ガイダンスが用意されています。これは、特にお客様のコンテンツにおけるプライバシー保護のための AWS の管理体制が整っていることをお客様に示すものとなります。

AWS が包括的に講じているこれらの技術的で体系的な対策は、個人データを保護するための一般的な規制目標に合致しています。AWS のサービスを使用しているお客様は、自身のコンテンツを管理し、コンテンツ分類、暗号化、アクセス管理、セキュリティ認証情報など、特定のニーズに基づいて追加のセキュリティ対策を実装する責任があります。

お客様がネットワークにアップロードしている内容を AWS 側で閲覧したり確認したりすることはできないため、データが PDP 法の対象とみなされるかどうかを含め、PDP 法と関連規制のコンプライアンスに従う最終的な責任はお客様にあります。このページの内容は既存のデータプライバシーに関するリソースを補足するものであり、お客様が AWS のサービスを使用して個人データを保存および処理する際に、お客様の要件を AWS 責任共有モデルに合わせるのに役立ちます。

  • AWS の責任共有モデルの下で、AWS のお客様は、自身のコンテンツ、プラットフォーム、アプリケーション、システム、ネットワークを保護するためにどのようなセキュリティを実装するかについて管理権限を保持しており、これはオンサイトのデータセンターのそれとなんら変わることはありません。お客様は、AWS によって提供される技術的で体系的なセキュリティ対策およびセキュリティ統制に基づいて構築を行い、お客様自身のコンプライアンス要件を管理できます。お客様は、AWS Identity and Access Management といった AWS のセキュリティ機能に加えて、暗号化や多要素認証といった使い慣れた対策を使用してデータを保護できます。

    クラウドソリューションのセキュリティを評価する場合、お客様が以下の点を理解して区別することが重要です。

    • AWS 側で実装および運用するセキュリティ対策 –「クラウドセキュリティ」
    • AWS のサービスを使用するお客様のコンテンツとアプリケーションのセキュリティに関連してお客様側で実装および運用するセキュリティ対策 –「クラウドにおけるセキュリティ」
  • お客様のコンテンツの所有権と管理権はお客様自身にあります。お客様のコンテンツが AWS のどのサービスによって処理され、保存され、ホストされるかはお客様自身が選択します。AWS では、お客様のコンテンツを確認することはできず、お客様のコンテンツにアクセスしたり、使用したりすることもできません。ただし、お客様が選択した AWS のサービスを提供するために必要な場合や、法律または拘束力のある法的な命令に従う必要がある場合を除きます。

    AWS のサービスを使用するお客様は、AWS 環境内のコンテンツを自分で管理します。具体的には、お客様は以下のことを行います。

    • コンテンツをどこに置くかを決定する (例えば、ストレージ環境の種類とそのストレージの地理的位置など)。
    • コンテンツの形式を管理する (例えば、プレーンテキスト、マスキング、匿名化、また AWS が提供する暗号化を利用するかまたはサードパーティー製の暗号化メカニズムを利用するか)。
    • 他のアクセスコントロールを管理する (例えば、アイデンティティアクセス管理、セキュリティ認証情報)。
    • 不正アクセスを防止するために SSL、仮想プライベートクラウド、その他のネットワークセキュリティ対策を使用するかどうかを管理する。

    これにより、AWS のお客様は AWS 上のコンテンツのライフサイクル全体を管理し、また、コンテンツの分類、アクセスコントロール、保持と廃棄などお客様独自のニーズに応じてコンテンツを管理できます。

  • AWS データセンターは世界中のさまざまな場所にあるクラスター内に構築されています。その地域での各データセンタークラスターは "リージョン" と呼ばれます。

    AWS のお客様は、コンテンツを保存する AWS リージョンを選択します。これにより、特定の地理的要件をお持ちのお客様は、それを満たすことができる場所で環境を構築できます。

    お客様は複数のリージョンでコンテンツを複製およびバックアップできますが、お客様からリクエストされたサービスを提供する場合または該当する法律に従う場合を除き、AWS 側でお客様のコンテンツをお客様が選択したリージョン外に移動することはありません。

  • AWS のデータセンターセキュリティ戦略には、お客様の情報を保護できるようにスケーラブルなセキュリティ対策と多層型の防御対策が含まれています。例えば、AWS では、洪水や地震活動によるリスクに慎重に対応しています。AWS では、物理的な防壁、警備員、脅威検出技術、詳細なスクリーニングプロセスを使用して、データセンターへのアクセスを制限しています。AWS では、システムをバックアップし、機器やプロセスを定期的にテストしています。また、想定外の出来事に備えて、AWS の従業員のトレーニングを継続的に行っています。

    データセンターのセキュリティを検証するために、外部の監査人が年間を通じて 2,600 個以上の規格と要件に基づく試験を実施しています。このような独立した試験を実施することで、セキュリティ基準を満たす、またはそれを超えるセキュリティを絶えず維持できます。その結果、AWS は、世界で最も厳しい規制要件を持つ組織から、データ保護に関する信頼を得ています。

    AWS データセンターはその設計段階からセキュリティが考慮されています。詳細については、バーチャルツアーでご確認ください »

  • お客様は、いずれか 1 つのリージョンを選択することも、すべてのリージョンを選択したり、任意のリージョンを組み合わせて選択したりすることもできます。AWS リージョンの一覧については、AWS グローバルインフラストラクチャのページをご覧ください。

  • AWS クラウドインフラストラクチャは、柔軟性とセキュリティにおいて現時点で最高レベルのクラウドコンピューティング環境となるように設計されています。Amazon の企業規模では、セキュリティの監視と対策のために、ほとんどの大企業が自社のクラウドインフラストラクチャで投資できる金額をはるかに超えた金額を投資できます。このインフラストラクチャは、AWS のサービスを運用するためのハードウェア、ソフトウェア、ネットワーキング、および施設で構成されています。これにより、お客様と APN パートナーは、個人データを処理する際に、セキュリティ構成の統制などの強力な統制を利用できるようになります。

    また、サードパーティーの監査人は、AWS が ISO 27001、ISO 27017、ISO 27018 など、セキュリティのさまざまな規格や法規に準拠していることをテストおよび検証しており、AWS はそれらの監査人が作成したさまざまなコンプライアンスレポートをお客様に提供しています。これらの対策の有効性に関する透明性を提供するために、当社では AWS Artifact からサードパーティーの監査レポートを入手できるようにしています。データ管理者またはデータ処理者として行動するお客様と APN パートナーは、これらのレポートから、個人データを保存および処理する際に使用される基盤となるインフラストラクチャを AWS が保護していることを理解できます。詳細については、コンプライアンスのリソースを参照してください。

ご質問がありますか? AWS のビジネス担当者と連絡を取る
コンプライアンスの役割について調べますか?
今すぐご登録ください »
AWS コンプライアンスの更新情報をお探しですか?
Twitter でフォローしてください »