AWSのGDPR（一般データ保護規則）対応とは？AWSのセキュリティ対策

GDPR（一般データ保護規則）とは？

GDPR（一般データ保護規則）とは、欧州連合（EU）が2016年5月24日に発効し、2018年5月25日から適用を開始した、個人情報保護と基本的人権の確保を目的とした規則です。

GDPRでは、欧州経済領域内（EAA）で取得した、氏名、メールアドレスなどの個人データを、EAAの外への移転を原則として禁止しています。厳しい罰則規定があり、違反した場合には、高額の制裁金を課される可能性があります。

出典：EU 一般データ保護規則（GDPR）について
参照：https://www.jetro.go.jp/world/europe/eu/gdpr/

GDPRの適用範囲

GDPRは、EU内に設立された全組織、およびEUデータ主体の個人データを処理する組織に適用されます。後者の場合には、EU内に設立されたか否かは問わず適用されます。個人データとは、特定の自然人や、識別可能な自然人に関する情報のことです。

そのため、日本企業であっても、EUの外国人の個人データを扱う場合には、GDPRが適用され、GDPRに準拠した個人データの取り扱いが求められることがあります。

AWSのGDPR準拠

AWSのすべてのサービスは、GDPRに準拠しつつ使用できるとAmazonは表明しています。また、GDPRに反映された「CISPE Code of Conduct」にも準拠していると発表しています。

CISPEは、EUのユーザーにクラウドサービスを提供するクラウドインフラプロバイダーの非営利団体です。CISPE Code of Conductは、クラウドインフラプロバイダーが、個人データを適切に処理するための規範であり、フレームワークです。

AWSユーザーがGDPR準拠するための機能やサービス

AWSは、ユーザーがGDPRの要件を満たすために、様々な機能やサービスを提供しています。例えば、承認された管理者にのみAWSリソースへのアクセスを許可するアクセスコントロール機能、モニタリングやログの機能、データ暗号化機能などがあります。

また、ISO 27001/9001 認証、ISO 27017/27018 認証などの国際基準のほか、ドイツ政府の認定スキームである、クラウドコンピューティングコンプライアンスコントロールカタログ（C5基準）にも準拠しています。

出典：AWS の ISO および CSA STAR 認証とサービス
参照：https://aws.amazon.com/jp/compliance/iso-certified/

AWSのGDPR準拠のポイント

AWSは、GDPR準拠を考慮する際に、役立つ可能性がある5つのポイントを挙げています。

まず、適用範囲です。EU内に設立されたすべての組織にGDPRが適用されるほか、EU外に設立されていても、GDPRが適用される可能性があるため注意が必要です。

次に、データ主体の権利に対応できることです。データ主体は、データ処理に異議を唱える権利や、自身のデータにアクセスできる権利を有していますので、適切な対応ができる体制の構築が必要です。

続いて、データ漏洩の通知です。個人データを漏洩した場合、監督機関や当該個人に対して、遅滞なく報告する義務があります。そのほか、データ保護影響評価（DPIA）やデータ処理契約（DPA）も、GDPR準拠に際して考慮すべきとしてAWSが挙げているポイントです。

AWSのGDPR関連ガイダンス

AWSでは、ユーザーやAWSパートナーに対して、GDPR準拠のためのリソースを提供しています。

AWSには、サポート担当者、プロフェッショナルサービスコンサルタントなどにより構成されるチームが存在しており、ユーザーやAWSパートナーからのGDPRに関連する問い合わせに回答しています。

また、AWSパートナーソリューションファインダーから、「GDPR」のワードで検索すると、GDPRの順守に関連する製品やサービスを提供するAWSパートナーを探せます。

AWSのGDPR関連プロフェッショナルサービス

AWSには、ユーザーとAWSパートナーのGDPR準拠のための、AWS Professional Services チームがあります。

AWS Professional Services チームは、ユーザーやAWSパートナーと連携して、GDPRに関連する技術的なガイダンスを提供します。また、AWSのツールを利用して、設計によるデータ保護をサポートしています。

AWSのGDPR関連サポート

AWSプレミアムサポートでは、ユーザーやAWSパートナーと連携して、GDPR準拠への取り組みをサポートする技術的な支援を提供しています。

AWSプレミアムサポートとは、AWSの技術サポートのことで、ベーシックサポート、デベロッパー（開発者）、ビジネスサポート、エンタープライズサポートの4種類のプランがあります。

プランごとに、技術サポートを受けられる時間やサポートケースを作成できるユーザーの数などが異なります。

AWSでは、クラウドサポートエンジニアとテクニカルアカウントマネージャーのチームにより、コンプライアンスに関するリスク管理をサポートするトレーニングを実施しています。

また、ユーザーやパートナーがGDPR準拠に取り組む際のプログラム（クラウド運用・設計レビュー）を設けています。AWSプレミアムサポートに関する詳細は、AWSサポートセンターから確認できます。

AWSのセキュリティ対策

AWSは、最高レベルのセキュリティを有するクラウドコンピューティング環境として設計されています。

AWSでは、セキュリティ対策のために、大企業が自社のITインフラに投資可能な金額を大幅に超える金額を投資できるため、ユーザーとAWSパートナーは、個人データを処理する際に、AWSの強力なセキュリティ対策が施されたITインフラを利用できます。

また、ISO27001、ISO27017、ISO27018などの国際規格や法規にも準拠していることを第三者の監査人が検証しており、AWSは監査人が作成したコンプライアンスレポートをユーザーに提供しています。

コンプライアンスレポートは、AWSマネジメントコンソールから入手できます。

個人データの侵害に関するAWSの対応

AWSには、セキュリティ事故の監視やセキュリティルールに違反に関する通知のプロセスが整備されています。

ユーザーのAWSアカウントにアップロードされた個人データが、紛失、改変、破壊、不正開示された場合や、不正アクセスにつながるセキュリティルールの違反が発生した場合、ユーザーやAWSパートナーは通知を受け取れます。

また、AWSは、ユーザーやパートナーのリソースに対して、アクセスの制御や監視を行うためのツールを提供しています。例えば、AWS CloudTrailを使用すると、AWSアカウントの統制管理、コンプライアンス、運用監視、リスク監査などができます。

AWS CloudTrailでは、AWS全体で行動履歴を記録していますので、ユーザーはAWSのインフラストラクチャ全体で何が発生しているのかを把握でき、異常なアクティビティへの対策を速やかに講じることができます。

サイバー攻撃に関するAWSの対応

AWSは、ユーザーとAWSパートナーが、サイバー攻撃の被害を回避するためのツールを提供しています。

例えば、AWS Shieldは、分散サービス妨害（DDoS）に対抗する保護サービスで、AWSで運用するウェブサイトやアプリケーションをDDoSから保護するために役立ちます。

AWS Shield Standardは、追加料金なしで利用できますが、有償のAWS Shield Advancedを使用すると、さらに強力に保護できます。

その他にも、AWSでは、アイデンティティ管理サービスのAWS Identity and Access Management（IAM）、設定管理サービスのAWS Config、脅威検出サービスのAmazon GuardDutyなど、サイバー攻撃からデータを保護するためのツールが提供されています。

AWSで個人情報を適切に取り扱う

Amazonは、AWSのすべてのサービスは、GDPRに準拠して使用でき、GDPRに反映された「CISPE Code of Conduct」にも準拠していると発表しています。

GDPRはEUの規則ですが、日本企業であっても、GDPRへの準拠が要求されることもあり、弁護士などの専門家に確認のうえ、適切な対処をする必要があります。

個人情報は慎重に取り扱い、適切に保護できるような体制を構築しましょう。