AZ900-Manage#116-3
注: この問題は、同じ前提を持つ一連の問題の一部です。それぞれの問題には異なる解決策が提示されます。
前提
ある医療機関が Azure 環境で HIPAA / HITRUST 規制対応を実装します。患者個人健康情報 (PHI) の取り扱いに厳格な統制が求められます。
解決策
HIPAA は Microsoft が完全管理するため自社の対応は不要だと判断し、何もしない。
この解決策は目的を満たしますか?
解説
【判定: いいえ】の理由
クラウドのコンプライアンスは Shared Responsibility Model に基づき、Microsoft はインフラ側の統制を担う一方、データ分類 / アクセス制御 / 暗号化キー管理 / 監査ログ運用などの Customer Managed Controls は顧客責任です。HIPAA は顧客側の Business Associate Agreement 締結と実装統制が必須で「何もしない」では規制違反となります。
【「はい」が違う理由】
Microsoft が完全管理するのは IaaS / PaaS 基盤の物理的 / 論理的セキュリティに留まり、PHI の取り扱い責任は完全には移転しません。BAA 締結と Customer Managed Controls 実装を怠れば規制当局から重大な制裁を受ける可能性があります。
クラウドのコンプライアンスは Shared Responsibility Model に基づき、Microsoft はインフラ側の統制を担う一方、データ分類 / アクセス制御 / 暗号化キー管理 / 監査ログ運用などの Customer Managed Controls は顧客責任です。HIPAA は顧客側の Business Associate Agreement 締結と実装統制が必須で「何もしない」では規制違反となります。
【「はい」が違う理由】
Microsoft が完全管理するのは IaaS / PaaS 基盤の物理的 / 論理的セキュリティに留まり、PHI の取り扱い責任は完全には移転しません。BAA 締結と Customer Managed Controls 実装を怠れば規制当局から重大な制裁を受ける可能性があります。
コメント