AZ900-Cloud#86-2
注: この問題は、同じ前提を持つ一連の問題の一部です。それぞれの問題には異なる解決策が提示されます。
前提
ある日本の医療機関が患者データ (機密度の高い個人情報) を Azure 上で扱うシステムを構築します。日本の個人情報保護法 (APPI) および医療情報システムのガイドライン (3 省 2 ガイドライン) に準拠し、データの物理ロケーションを日本国内に限定する必要があります。
解決策
低コスト化のため、US East リージョンにデータを保管し、暗号化のみ実施する。
この解決策は目的を満たしますか?
解説
【判定: いいえ】の理由
APPI と 3 省 2 ガイドラインは医療情報の物理ロケーションを国内に限定することを求めます。暗号化はセキュリティ対策として有効ですがデータ主権規制の遵守根拠にはならず、米国保管では Cloud Act 等が適用される潜在リスクが残ります。
【「はい」が違う理由】
コスト削減を理由に法令違反リスクを取るのは規制業界では絶対に許容されない判断です。日米リージョン間の価格差は数 % 程度で、業務停止や罰金のコストと比べれば微小です。リージョン選定は規制要件を最優先すべきです。
コメント