データ保護は、欧州のお客様への継続的なコミットメントです

AWS では、強力な AWS のサービスとツールを使用してデータをコントロールし、データの保存場所、データの保護方法、データへのアクセス許可を持つユーザーを決定できます。AWS Identity and Access Management (IAM) などのサービスを使用すると、AWS のサービスとリソースへのアクセスを安全に管理できます。AWS CloudTrail と Amazon Macie は、コンプライアンス、検出、監査を可能にし、AWS CloudHSM と AWS Key Management Service (AWS KMS) は、暗号化キーを安全に生成および管理できるようにします。 AWS Control Tower は、データレジデンシーのガバナンスとコントロールを提供します。

AWS では、高度なアクセス制御、暗号化、ログ記録の機能など、独自のプライバシー制御を実装できるサービスと機能によって、プライバシー保護の水準を継続的に引き上げています。AWS マネージドキーまたはユーザーによるフルマネージドキーを使用して、転送中のデータと保存中のデータを簡単に暗号化できます。AWS の外部で生成および管理された独自のキーを使用することができます。当社は、データの収集、使用、アクセス、保存、削除の方法など、プライバシーを管理するための一貫性のあるスケーラブルなプロセスを実装しています。AWS Well-Architected フレームワークのセキュリティの柱など、データを保護するために活用できるさまざまなベストプラクティスドキュメント、トレーニング、ガイダンスを提供しています。当社では、AWS カスタマーアグリーメントおよび AWS GDPR データ処理補遺条項 (AWS GDPR DPA) に記載されているとおり、お客様からの文書化された指示に基づいてのみお客様のデータ (お客様が AWS アカウントにアップロードした個人データ) を処理し、お客様の同意を得ることなくお客様のコンテンツにアクセスしたり、当該コンテンツを利用または共有したりすることはありません。GDPR の適用を受ける何千ものお客様が、これらのタイプのワークロードのために AWS のサービスを利用しています。AWS はクラウドセキュリティに関する ISO 27017、プライバシー情報管理に関する ISO 27701、クラウドプライバシーに関する ISO 27018 など、厳格な国際標準に準拠していることを示す、国際的に認められた認証および認定を取得しています。当社がマーケティングまたは広告の目的でお客様のデータを利用することや、データから情報を引き出すことはありません。

詳細については、データプライバシーセンターをご覧ください。

お客様は、欧州リージョン (フランス、ドイツ、アイルランド、イタリア、スペイン、スウェーデンの欧州リージョンを含む) の 1 つ以上のリージョンに顧客データを保存することを選択できます。また、顧客データをスイスや英国のリージョンに保存することも選択できます。スイスと英国の両方が、個人データの転送に関して GDPR に基づいて現在適切な決定を下しています。また、AWS のサービスは、お客様が選択する AWS リージョンに顧客データが維持されるという確信を持って使用していただけます。一部の AWS のサービスにはデータの転送が伴い、例えば、これらのサービスを開発し、改善するため (この場合は転送をオプトアウトできます)、またはコンテンツ配信サービスなど、転送がサービスの不可欠な部分であることから転送が行われます。AWS では、サービスメンテナンスを含めた目的を問わず、AWS の職員による顧客データへのリモートアクセスを禁止しており、AWS のシステムもリモートアクセスを防止するように設計されていますが、お客様からこのようなアクセスを要請された場合、または悪用と不正使用を防止するため、もしくは法律に準拠するためにアクセスが必要となる場合を除きます。当社は、重要な EU のプライバシー、ポータビリティ、およびデジタル主権プログラムにコミットしています。これには、欧州クラウドインフラストラクチャサービスプロバイダー協会 (CISPE) 行動規範、欧州委員会の標準契約条項 (SCC) 、SWIPO Infrastructure as a Service (IaaS) 行動規範、GAIA-X が含まれます。

AWS の契約は、わかりやすく平易な文言で規定されており、顧客データの保護に関して、他のクラウドプロバイダーから提供されるものを上回るコミットメントを規定しています。お客様に対する当社の強化されたコミットメントは、法執行機関の要求に異議を申し立ててきた当社の長年の経験に基づいています。AWS GDPR DPA の補足のための補遺に記載されているとおり、欧州経済領域 (EEA) の内外を問わず、政府機関から顧客データに関する法執行機関の要求を受け取った場合、当社は、要求が広範過ぎる場合、または要求が EU の法令と矛盾しているなど、異議を申し立てるための適切な根拠がある場合、要求に異議を申し立てるようコミットしています。また、当社は、AWS が法執行機関から受け取る情報の要求の種類と数を説明する年 2 回の情報の要求に関するレポートも提供しています。

当社は、EU のお客様のデータを保護するという当社のコミットメントの透明性を維持しています。AWS の「GDPR Data Processing Addendum (AWS GPDR DPA)」(GDPR データ処理補遺条項) (標準契約条項を含む) は、一般データ保護規則 (GDPR) の対象となるお客様に自動的に適用されます。さらに、「AWS GDPR Data Processing Addendum」(AWS GDPR データ処理補遺条項) に対する「UK GDPR Addendum」(UK GDPR 補遺) は、「UK Customer Data」(英国の顧客データ) (AWS UK GDPR 補遺で定義) を処理するための AWS のサービスの利用に UK GDPR が適用される場合に適用されます。AWS は、継続的なコミットメントの一環として、AWS のサービスのプライバシー機能に関するリソースを提供しています。これは、お客様に対するサービスのメンテナンスとプロビジョニングに、お客様が顧客データを保存するために選択した AWS リージョン外への顧客データの転送が伴うかどうかを判断するために役立ちます。これらのリソースは、GDPR を含む規制への準拠 (およびコンプライアンスの実証) を容易にします。また、「Schrems II」に準拠した個人データの転送に関する欧州データ保護会議 (EDPB) の推奨事項に従ってデータ転送評価を完了するためにも役立ちます。お客様は、欧州以外では顧客データを保存および処理しない AWS のサービスの使用を選択することができます。AWS の GDPR センターにリンクされています。

AWS では、セキュリティが最優先事項であり、クラウドのセキュリティは AWS とお客様の間における共有責任です。Amazon GuardDuty、または EC2 インスタンスの基盤となるプラットフォームである AWS Nitro System のいずれを使用する場合でも、当社の包括的なサービスを使用して、コアセキュリティ、機密性、コンプライアンスの要件を満たす機能を強化できます。Nitro システムは、ワークロードの機密性を保ち、オペレーターがアクセスできないように設計されています。Nitro System には、システムやユーザーが EC2 サーバーへのログイン、EC2 インスタンスのメモリの読み取り、インスタンスストレージや暗号化された EBS ボリュームに保存されているデータへのアクセスを行うメカニズムはありません。さらに、AWS CloudHSM や AWS Key Management Service などのサービスを使用して暗号化キーを安全に生成および管理できます。そして、AWS Config と AWS CloudTrail は、コンプライアンスと監査のためのモニタリング機能とログ記録機能を提供します。

当社は、Cloud Computing Compliance Controls Catalog (C5) や Esquema Nacional de Seguridad (ENS) などの国際的に認められた標準に準拠しています。また、当社では、PCI-DSSやHébergement de Données de Santé (HDS、フランス) や TISAX (EU Automotive) などの認定を取得しており、EU 全域の規制当局のコンプライアンス要件を満たすようサポートしています。金融サービス事業者、ヘルスケア事業者、政府機関を始めとする多くのお客様が、機密性の非常に高い情報の保護において AWS を信頼しています。

AWS のセキュリティ、アイデンティティ、コンプライアンスサービスの詳細については、こちらをご覧ください。