GDPR における AWS の役割 - AWS における GDPR コンプライアンスに関する情報提供

AWS は、GDPR の下でデータ処理者とデータ管理者と両方の役割を担います。

第 32 条は、管理者と処理者が「適切な技術的、組織的措置の実施」において「実施措置の最新性と実装コスト、処理の種類、範囲、背景と目的、そして自然人の権利と自由に影響を及ぼす可能性があり重大なリスク」について考慮することを義務付けています。GDPR では、どのようなセキュリティ措置が必要となるかについて、以下を含む具体的な提案を行っています。

個人データの仮名化と暗号化。
システムとサービスの処理における現存の機密性と完全性、可用性、復元力を確実にする機能。
物理的あるいは技術的事由が発生したときに、適時に個人データの可用性とアクセスを復元する機能。
処理のセキュリティを確保するために、技術的および組織的な措置の有効性を定期的にテスト、判定、評価するプロセス。

データ処理者としての AWS

お客様と AWS パートナーネットワーク (APN) パートナーが AWS のサービスを使用してコンテンツ内で個人データを処理する際、AWS はデータ処理者としての役割を担います。お客様と APN パートナーは、個人データを処理するために、セキュリティ設定の管理など AWS のサービスで利用可能な管理手段を行使できます。そのような場合、お客様または APN パートナーが、データ管理者またはデータ処理者としての役割を担うことがあり、その際は AWS がデータ処理者または副処理者としての役割を担います。AWS GDPR 準拠のデータ処理補遺条項 (DPA) には、データ処理者としての AWS のコミットメントが組み込まれています。

データ管理者としての AWS

AWS が個人データを収集し、その個人データを処理する目的と手段を決定した場合、AWS はデータ管理者としての役割を担います。例えば、AWS がアカウント登録、管理、サービスへのアクセスのためのアカウント情報を処理する場合や、カスタマーサポート活動を通じて支援するために AWS アカウントの連絡先情報を処理する場合、AWS はデータ管理者としての役割を果たします。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS データ処理補遺条項 (DPA)

責任分担セキュリティモデル