AmazonのMWSサービス、2018年夏ぐらいまでは
現在と比べて厳しくなく、権限を取得することができました。

そのような以前の人に対してなのかはわかりませんが、
最近はAmazonからMWSの再申請の手続きのメールがくるようです。

最近「どのように回答したらいいのか?」というご質問をいただくことが多く、

今回は参考になればと思い、メールで回答した例を紹介します。

メールの内容

件名「要対応】Amazon MWS セキュリティ コンプライアンスについて」
内容の抜粋

このご案内は、Amazonマーケットプレイス Webサービス(Amazon MWS)のご登録ユーザーであり、Amazon MWSアクセスキーをお持ちである開発者様に送信しています。当サイトでは、MWSアクセスキーを保有されている開発者様の組織や、Amazon MWSのデータがどのように使用され保護されているか等を定期的に確認しています。
※貴殿がデータセキュリティのご担当者様でない場合は、本メールをIT部門、またはセキュリティ部門等へご転送をお願いいたします。

すべての開発者様がアプリケーションに関する情報を送信するための開発者登録および評価フォームをご用意しており、その情報をもとにコンプライアンスを再評価の上、必要なAPIのアクセス権限を適切なレベルでご提供いたします。2019年3月27日までに、開発者登録および評価フォームに入力し、Amazon MWSのデータ保護要件の遵守のご確認をお願いいたします。 このフォームに記入することが、既存のAmazon MWSアクセスキーを保持する唯一の方法です。そのため、お早めの登録および必要な情報の提出を強くお勧めいたします。尚、外部の開発者IDを指定してアクセス権を付与する形式のアプリケーションのご利用には影響ありません。

登録フォームにアクセスするには、お持ちのAmazon MWSアクセスキーを発行した出品アカウントにメインのプライマリアドレスでログインする必要があります。フォームの送信後、ケース履歴にケースが作成されます。

ご登録の際には、Amazonデータ保護ポリシー、およびよくある質問をご確認ください。

開発者として登録される代わりにサードパーティのアプリケーションの利用を検討される場合は、外部企業が提供するツール・ソリューション一覧をご参照ください。

データの保護を第一に考える当サイトの取り組みため、ご理解とご協力のほどお願いいたします。

データ保護ポリシーの質問

このメールが届くと再度申請が必要になります。

そして手続きのページには以前にはなかった質問が表示されます。
質問の一例を紹介します。

  • Amazon MWSデータへの不正アクセスを防ぐためにネットワークコントロールを使用しますか?
    • いいえ
    • はい
      はいの場合、ネットワークコントロールを選択してください。

      • ネットワークセグメンテーション
      • 仮想プライベートクラウド(VPC)
      • ネットワークアクセス制御リスト(ACL)
      • その他の
        その他の場合は、記入してください
  • ユーザーの職務や業務機能に基づいてAmazon MWSデータへのアクセスを制限しますか?
  • いいえ
  • はい
      はいの場合は、アクセス管理方法を選択してください。

    • 役割ベースのアクセス制御(RBAC)
    • ユーザーアクセス登録。すべてのユーザータイプにアクセス権を割り当てます。
    • ユーザーアカウント、ID、および非アクティブアカウントの共有に関する制限
    • すべてのユーザーのアクセス権限の定期的な確認
      はいの場合、ユーザーアクセスを管理するためにIDとアクセスの管理(IAM)を使用しますか?

    • はい、AWS IAMサービス
    • はい、他のIAMサービスまたはツール
    • いいえ
  • 転送中のAmazon MWSデータを暗号化しますか?
  • いいえ
    • はい
    • はいの場合は、暗号化方式を選択してください。

    • AWS提供の暗号化
    • AES 256暗号化
    • HTTPS / SFTP / TLS 1.2以降
    • その他の
      その他の場合は、記入してください
  • 潜在的な脅威およびインシデントの監視、検出、および対応をカバーするインシデント管理ポリシーがありますか?
  • いいえ
  • はい
    もしそうなら、あなたはAmazonの利用規定とデータ保護ポリシーに従って、問題をamazonに報告できますか?

    • いいえ
    • はい

この質問には「セキュリティ対策を行っている、意識している」という意思を表示できればいいでしょう。

これに「はい」で回答し適当なものを選んだ(その他は選ばない)としても、さらなる質問はこないと思います。

審査のチャンスは一度だけ

ただし、万が一審査に落ちると、2度と開発者として登録できません。

審査の申請のとき、事前に下調べをせずに軽い気持ちで申請を行い、落ちた人がたまにいます。
こういう方の多くは、開発者として申請しているのに「●●というツールを使うため」という内容で申請していました。

申請に落ちた後にご相談を受けても、もう遅い。