コンプライアンス応用
ある医療機関がAzureでHIPAA準拠のシステムを構築した後、新たに顧客データを別のクラウドプロバイダーへ統合する必要が生じた。この場合、元のAzure環境のHIPAA対応にはどのような影響が考えられるか。
A.Azureシステムはそのままで、他のクラウドプロバイダーとの統合時に別途BAA(ビジネスアソシエイト契約)を結べば、Azure側のHIPAA準拠は保持される。
✗ 他のプロバイダーとの統合時に、その提供者がHIPAA非対応ならば、データフローの一部が非準拠環境を通すため、全体的な準拠性が損なわれる可能性がある。
B.Azure側でHIPAA準拠が構築されていても、データが他のプロバイダーに移動すると、その移動先がHIPAA対応していなければシステム全体の準拠が失われる可能性がある。← 正解
✓ 正解です。HIPAA準拠はシステム全体が一貫性を持つ必要があり、移動先がHIPAA対応していなければ準拠が破綻する。各統合先のBAA確認が必須。
C.HIPAAではデータの統合先については規制対象外のため、Azureの準拠状況に影響しない。
✗ HIPAA規制はデータの処理・転送・保管全体に適用される。統合先でのデータ処理も規制対象となり、準拠性確認が必須。
D.Azure環境のHIPAA準拠をMicrosoftと契約している場合、自動的に統合先プロバイダーの準拠も保証される。
✗ Microsoftとの契約はAzure側の責務のみ。統合先プロバイダーの準拠はそれぞれと個別契約する必要がある。
この問題のポイント
HIPAA準拠はシステム全体が一貫性を持つ必要があり、移動先がHIPAA対応していなければ準拠が破綻する。各統合先のBAA確認が必須。
「コンプライアンス」の他の問題
ある企業の法務・コンプライアンス担当者が「MicrosoftがGDPRやISO 27001などの規制要件にどのように対応…ある企業がAzure上でHIPAA(医療情報)に準拠したシステムを構築したい。「Microsoftとの間でHIPAAのビ…ある企業のコンプライアンス担当者が「自社のAzure環境がNIST SP 800-53やPCI DSSなどの規制フレーム…ある企業がAzureのデータガバナンスを強化したい。「データレイク・SQL Database・BlobストレージなどのA…ある企業が「Azureのクラウドサービスにおいて、顧客データはどの国のデータセンターに保存されるか」「Microsoft…ある企業の情報セキュリティ担当者が「AzureがSOC 2 Type IIの監査を受けているかどうかを証明する報告書を取…
IT・クラウド の関連資格
AWS Certified Cloud Practitioner(CLF-C02)
AWSクラウドの入門資格。クラウドの概念・AWSのコアサービス・セキュリティ・料金モデルを問う。
AWS Certified Solutions Architect - Associate(SAA-C03)
AWSでのシステム設計能力を問うアソシエイト資格。高可用性・セキュリティ・コスト最適化の設計が中心。
DP-900:Microsoft Azure Data Fundamentals
Azureのデータサービスの基礎を問うMicrosoft認定資格。リレーショナル/非リレーショナルデータ、分析ワークロード、コアのデータ概念を扱う。