WEB問題集
医療機関が Google Cloud に電子カルテ (PHI) を保存する際、HIPAA 準拠のために最初に締結すべき契約はどれですか。
正解:C
正解の根拠
HIPAA の対象事業者 (Covered Entity) がクラウドで PHI を扱う場合、Google Cloud と BAA を締結することが必須です。BAA を締結せずに PHI を扱うことは HIPAA 違反となります。
| 契約 | 用途 |
|---|---|
| BAA | HIPAA PHI の取扱責任を明文化 |
| DPA | GDPR 等の個人データ処理 |
不正解の理由
- B: DPA は GDPR 用であり HIPAA 要件を満たしません
- A: SOC 2 はレポート閲覧であり契約ではありません
- D: HITRUST は任意のフレームワークで HIPAA 契約代替にはなりません
EU の個人データを扱う企業が GDPR 準拠を確実にするため、Google Cloud と締結すべき文書はどれですか。
正解:D
正解の根拠
GDPR 第28条はデータ管理者と処理者の間に書面契約を求めており、Google Cloud では Cloud Data Processing Addendum (DPA) がこれに該当します。標準契約条項 (SCC) も DPA に組み込まれています。
| 規制 | 必要文書 |
|---|---|
| GDPR | Cloud DPA |
| HIPAA | BAA |
| PCI-DSS | AOC |
不正解の理由
- A: BAA は HIPAA 用です
- C: PCI-DSS はカード情報のための別基準です
- B: FedRAMP は米国政府機関向けです
監査人から Google Cloud の SOC 2 Type II レポートの提出を求められました。最も適切な入手方法はどれですか。
正解:A
正解の根拠
Compliance Reports Manager (旧 Compliance Reports Manager Console) は、お客様自身で SOC、ISO、PCI 等のサードパーティ監査レポートを取得できるセルフサービス ポータルです。
| 取得元 | 用途 |
|---|---|
| Compliance Reports Manager | SOC/ISO/PCI 等の公式レポート |
| Cloud Audit Logs | 顧客側の操作監査 |
不正解の理由
- B: セルフサービスがあり個別依頼は非効率です
- C: Asset Inventory はリソース棚卸しでレポート配布ではありません
- D: Audit Logs は第三者監査レポートを生成しません
米国連邦政府機関のワークロードを Google Cloud で運用する場合、IL4/IL5 等の政府要件を満たすために利用すべきサービスはどれですか。
正解:A
正解の根拠
Assured Workloads for US Government は FedRAMP High、IL4、IL5、CJIS、ITAR 等の米国政府コンプライアンス要件を満たす制御を自動適用するサービスです。
| 制御 | 内容 |
|---|---|
| データ所在地 | 米国リージョン限定 |
| サポート担当 | 米国市民権者限定 (適用時) |
不正解の理由
- B: Confidential VMs は実行時暗号化のみで政府要件全般は満たしません
- C: VPC SC は境界制御のみです
- D: CMEK は鍵管理のみで包括的でありません
クレジットカード番号を保存する EC サイトを Google Cloud で構築します。PCI-DSS 準拠のために実施すべき施策を 2 つ選択してください。
(2つ選択)
正解:A, C
正解の根拠
PCI-DSS は CDE のセグメンテーションとサービスプロバイダの責任分界の文書化を求めます。VPC Service Controls により論理境界を作り、Google の AOC を取得し責任範囲を明確化します。
| 要件 | 対応 |
|---|---|
| セグメンテーション | VPC SC / 専用プロジェクト |
| 共有責任 | Google AOC + 顧客実装 |
不正解の理由
- B: 公開バケットへの保存は重大違反です
- D: 公開データセットへの保存は違反です