AZ900-Manage#116-1
注: この問題は、同じ前提を持つ一連の問題の一部です。それぞれの問題には異なる解決策が提示されます。
前提
ある医療機関が Azure 環境で HIPAA / HITRUST 規制対応を実装します。患者個人健康情報 (PHI) の取り扱いに厳格な統制が求められます。
解決策
Microsoft Service Trust Portal から HIPAA / HITRUST 監査レポートを取得し、Microsoft 側の証跡として規制当局に提示する。
この解決策は目的を満たしますか?
解説
【判定: はい】の理由
Service Trust Portal は Microsoft が受けた第三者監査の証跡 (SOC 1/2/3、ISO 27001/27018、HIPAA / HITRUST、FedRAMP など) をダウンロード提供します。クラウド プロバイダ側の統制実装を規制当局に示す上で正式な証拠となり、Shared Responsibility Model の Microsoft 担当部分を裏付けます。
【「いいえ」が違う理由】
Service Trust Portal のレポートは規制当局や監査人への提示用途を想定した公式ドキュメントで、医療機関の HIPAA 対応の Microsoft 側証跡として有効です。Customer Managed Controls は別途必要ですが、本解決策自体は適切な手順となります。
Service Trust Portal は Microsoft が受けた第三者監査の証跡 (SOC 1/2/3、ISO 27001/27018、HIPAA / HITRUST、FedRAMP など) をダウンロード提供します。クラウド プロバイダ側の統制実装を規制当局に示す上で正式な証拠となり、Shared Responsibility Model の Microsoft 担当部分を裏付けます。
【「いいえ」が違う理由】
Service Trust Portal のレポートは規制当局や監査人への提示用途を想定した公式ドキュメントで、医療機関の HIPAA 対応の Microsoft 側証跡として有効です。Customer Managed Controls は別途必要ですが、本解決策自体は適切な手順となります。
コメント