AZ900-Cloud#86-1
注: この問題は、同じ前提を持つ一連の問題の一部です。それぞれの問題には異なる解決策が提示されます。
前提
ある日本の医療機関が患者データ (機密度の高い個人情報) を Azure 上で扱うシステムを構築します。日本の個人情報保護法 (APPI) および医療情報システムのガイドライン (3 省 2 ガイドライン) に準拠し、データの物理ロケーションを日本国内に限定する必要があります。
解決策
Azure の東日本 / 西日本リージョンのみにデータを保管し、グローバル レプリケーション (例: GRS の海外ペア) を無効化する。
この解決策は目的を満たしますか?
解説
【判定: はい】の理由
東日本と西日本は Region Pair として両方とも国内に位置するため、GRS を選んでもレプリケート先は日本国内に限定されます。Azure Policy の Allowed locations を併用すれば作成時点で国外を強制拒否でき、APPI と 3 省 2 ガイドラインのデータ ローカライゼーション要件を満たせます。
【「いいえ」が違う理由】
Service Trust Portal で ISO 27017 / 27018 や 3 省 2 ガイドライン適合表明を取得でき、監査資料に活用できます。Microsoft Purview と組み合わせれば機密度ラベルとデータ系統を統合管理でき、医療系規制対応の王道パターンを構築できます。
コメント