【レポート】AWS Transformation Day 2017 : AWSクラウドにおけるデータ保護:GDPR対応とC5の概要 #AWSTransformationDay

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

ドイツ・ケルンで開催された AWS Transformation Day 2017 での GDPR・C5・データ保護に関するセッションのレポートを紹介します。

ヨーロッパにおけるデータ保護規則に関して、 AWS でシステム構築する上で、

  • GDPR(EU圏)
  • C5(ドイツ)

それぞれの観点から準拠する上でのプラクティスがまとめられています。

発表概要

  • タイトル : Data Protection in the AWS Cloud: Implementing GDPR and Overview of C5 | AWS Transformation Day
  • スピーカー
    • Gerald Boyne
    • Christian Hesse

動画

スライド

http://aws-de-media.s3.amazonaws.com/images/TransformationDay/TDay_Slides/Data%20Protection_AWS.pdf

目次

  • GDPR の基本
  • ベンダーがAWS上でGDRP対応でやるべきこと
  • C5の概要

GDPR 基本

  • EUの現行法である「データ保護指令」(EU Directive 95/46/EC) に取って代わる新しいデータ保護法律 2018/05/25から施行される
  • 施行中のEuropean Data Protection Directive (Directive 95/46/EC) に取って代わる
  • EU レベルとは別に国レベル(ドイツなら C5)でもデータ保護法律が存在する
  • GDPR は EU を対象にしたもの

重要な点

  • EU圏にオフィスがなくても、EUとデータのやり取り(ビジネス)をしていれば、影響を受ける
  • EU 圏内でビジネスをやっているだけでなく、EU 圏と個人データ(PII)の絡むビジネスをやっている場合は影響を受ける

GDPR はこれまでと何が違う?

  • 賞罰が高額
    • ドイツでは 30万ユーロが最大
    • GDPRでは 2000万ユーロが最大
    • 企業の規模にかかわらず、GDPR に取り組むこと
  • データポータビリティ
    • 個人からデータの参照依頼があったときに、関連する全てのデータを参照/抽出が出来なければいけない。
    • 個人データの所在を把握しておくこと
  • 忘れられる権利
    • 削除依頼があったときは速やかに削除できる
  • 設計されたプライバシー
    • システムを構築する際には、プライマシーを考慮すること
    • データポータビリティ
    • 忘れられる権利
  • データブリーチ時には 72 時間以内に当局に連絡すること

GDPR 対応でまずやるべきこと

  • GDPR の取っ掛かりには Article 28 EU GDPR "Processor" がよい
  • GDPR コンプライアンスでやるべきことがチェックリスト形式になっている

AWS は GDPR にどう取り組んでいるのか

  • AWS はAWSとベンダーの責任共有モデルを採用
  • 3者がいる
    • データ(サブ)プロセッサー : AWS
    • データコントローラー : ベンダー
    • データサブジェクト : 個人
  • DPA(データプロセス同意書)は
    • データプロセッサー ↔ データコントローラー
    • データコントローラー ↔ データサブジェクト
  • 顧客データはデータコントローラーが管理
  • AWS のデータ保護認定
    • AWS は ISO 27018 などPIIに関する各種適合を検証済み

GDPR の DPA について

  • AWS は GDPR ready な DPA を提供している
  • AWS のアカウントマネージャーに依頼すること
  • GDPR 対応では現状の把握や実装方針など各種プロセスに時間がかかるため、速やかに着手すること

GDPR 対応方針

  • システム構築時には GDPR 向けの対応を別途やるのではなく、構築と同時に盛り込む
  • GDPR 対応の流れ
    • スコープ/目的: データを何のためにどのように扱うのか?
    • 設計されたプライバシー : システム構築時にデータ保護も一緒に盛り込むこと
    • データ処理の監視 : GDPR の新しい概念。データ対象や当局に PIIの利用状況(データのアクセス、所在、移動、など)をレポート
    • コンプライアンスやセキュリティ基準:ISO 90011/ ISO 2001 など
  • 今の時代は年単位ではなく月単位で随時リリースしている。
    • 一度やったら終わりではない。
    • リリースのたびに、機能面だけでなくデータ保護面もチェックしてリリースすること

GDPR 対応でAWS上で具体的に何をすれば良い?

  • Article 17:データポータビリティ
    • API や Snowball を利用
  • Article 32:暗号化
    • GDPR で暗号化を必須とされているわけではない。
    • 暗号化してデータを保護するのが安全
    • Key Management Service(KMS)
    • CloudHMS
    • サーバーサイド暗号(SSE)
  • Article 25:データアクセスコントロール
    • PII へのアクセスは制御する
    • IAM/Active Directory連携/SAML フェデレーションなどを活用
  • Article 17/30:データプロセスの監視
    • AWS CloudTrail(AWS API のログ)
    • AWS Config
    • Amazon Macie(保存されているドキュメントの分析)

AWS 移行で GDPR 対応が簡単に

  • これらの要件をオンプレミスや独自データセンターで実現するのは非常に手間
  • AWS に移行すれば、簡単に GDPR に準拠出来る

Cloud Computing Compliance Controls Catalogue (C5)概要

  • Cloud Computing Compliance Controls Catalogue (C5)は、連邦情報セキュリティ庁 (BSI) によってドイツで導入されたドイツ政府の認証スキーム
  • ドイツのパブリックセクター向けシステム構築では C5 認証(C5 attestation)が必要
  • AWS フランクフルト・リージョンで昨年認証受けた
  • 現在は更新手続き中
  • 昔からあるダブリン・リージョンでははまだ取得出来ていない

C5 はクラウドネイティブ

  • 例えば古いデータ保護規格ではデータセンターの細かい住所の開示を求められることが多い
  • C5 ではフランクフルトとだけ伝えればOK
  • フランスの類似法案も同じ思想で設計されている

責任共有モデル

  • AWS の責任範囲について HIPAA/ISO/PCI DSS/C5 などの年次更新対応中
  • AWS はこれらに準拠するためのベストプラクティス・ガイダンスを提供している
  • 監査のときには AWS の責任部分について、AWS の取得済み規格を参照して良い
  • 準拠の不明点は AWS の責任者に質問すれば良い

C5 について

  • C5 はアプリケーションレイヤーにフォーカスしている
  • 昔からある IT 基本保護法 (IT-Grundschutz) などは毎年テープにアーカイブなどのルールがあるが、C5 はクラウドネイティブ
  • C5 はドイツ向けだが、フランスの対応する認証スキームと互換性を導入し、片方で認定されれば、もう片方でも認定されるようにすすめている

クラウドのガバナンス

  • 黄色背景は AWS の責任範囲
  • 青背景はベンダー責任範囲
  • AWS はコンプライアンス準拠などに必要な機能を提供するが、それを活かすのはベンダー次第
  • AWS は実装について、手出し出来ない

参考