Azureリージョンが告げるアリバイ

――山崎行政書士事務所事件簿

山崎行政書士事務所では、クラウドの相談が来ると、所長の山崎が決まってこう言う。

「雲の話なのに、なぜ毎回こんなに胃が重いのかね」

蓮斗はノートPCを開いたまま答えた。

「雲に置いたつもりのものが、どこの空にあるか聞かれるからです」

悠真は契約書の束を抱えながら言った。

「そして、聞かれた瞬間に社内の人間関係が積乱雲になります」

その日も、まさに積乱雲だった。

午後一時すぎ、事務所の引き戸が勢いよく開いた。

飛び込んできたのは、地元の業務システム会社、駿河メディカルソリューションズの三人だった。

代表の青島。情報システム部の真鍋。営業部長の片瀬。

三人とも、顔が富士山の雪より白い。

青島は、開口一番こう言った。

「取引先から、“患者データは国内にありますか”と聞かれました」

山崎は湯飲みを置いた。

「それは大事な質問ですね」

「はい。ところが、その質問を社内に投げたら、犯人探しが始まりました」

悠真が目を瞬かせた。

「犯人？」

片瀬が苦い顔で言った。

「誰が海外リージョンを使ったんだ、誰がバックアップを飛ばしたんだ、誰がDR手順書を書いたんだ、という話になりまして」

真鍋はうつむいた。

「しかも、ログに出ていたんです。午前二時十七分、westus という文字が」

蓮斗の指が止まった。

「西アメリカ？」

青島が頭を抱えた。

「取引先は病院グループです。個人情報もあります。契約更新直前です。もし海外に出ていたら……」

山崎は静かに言った。

「まず、人を疑う前に、データの足取りを見ましょう」

蓮斗は頷いた。

「リージョン、バックアップ、レプリケーション、DR時のフェイルオーバーを分けて確認します」

悠真は契約書を開いた。

「私は、個人情報保護法、越境移転、委託契約、取引先への説明文を整理します。怖い言葉を、怖くない日本語にします」

山崎は二人を見た。

「よし。今日は、データのアリバイを取りに行こう」

１　午前二時十七分の西アメリカ

駿河メディカルソリューションズの会議室には、嫌な沈黙があった。

ホワイトボードには、誰かが大きく書いたらしい文字。

海外リージョン疑惑

その下に、赤字で、

犯人は誰だ

蓮斗はそれを見て、すぐに言った。

「この最後の行を消してください」

真鍋が驚いた。

「え？」

「犯人探しを始めると、ログが読めなくなります」

山崎が頷いた。

「人間は、怒っていると地図を逆さに持つからね」

片瀬が腕を組んだ。

「でも、westus と出ているんですよ。誰かが設定したんじゃないですか」

蓮斗は画面に向かった。

「可能性はあります。ただ、westus という文字が出たからといって、患者データがアメリカに保存されたとは限りません」

「どういうことですか」

「ログ、テンプレート、サンプルコード、監視サービス、障害時の候補リージョン、古いコメント。文字列の出どころを見ます」

悠真が言った。

「契約書でも同じです。“海外”という単語があるだけで、実際に越境移転したとは限りません。ただし、説明できなければ疑われます」

蓮斗はまず、Azureリソースの一覧を表示した。

本番DB。App Service。Storage Account。Key Vault。Backup Vault。Log Analytics。Traffic Manager。DR用リソースグループ。

本番環境の主要リソースは、japaneast。一部のバックアップは、japanwest。DR設計書には、こう書かれていた。

山崎が首をかしげた。

「西リージョンとは、西日本？」

真鍋が青ざめた。

「そのつもりでした」

蓮斗は目を細めた。

「でも、スクリプトの変数名が westRegion になっています。そして、古い初期値が westus のままです」

会議室が凍った。

片瀬が椅子を鳴らして立ち上がった。

「やっぱり誰かが！」

蓮斗は静かに遮った。

「まだです」

彼はデプロイ履歴を開いた。

westRegion = "westus"ただし、そのテンプレートは検証環境用。実行失敗。デプロイされたリソースなし。本番環境への適用なし。

「午前二時十七分の westus は、実際の保存先ではなく、失敗した検証用テンプレートの変数でした」

真鍋が息を吐いた。

「じゃあ、本番データは……」

「この時点で確認できる範囲では、主要な本番データは東日本リージョン、バックアップは西日本リージョンです」

青島は椅子に深く座った。

「助かった……」

悠真は、すぐに言った。

「まだです」

全員が彼を見た。

悠真は契約書を持ち上げた。

「技術的に保存先が国内でも、説明文が不正確なら、取引先には“確認していない会社”に見えます。それに、個人情報保護法上の論点は、サーバの場所だけで終わりません」

山崎が言った。

「データには住所がある。でも、住所だけでは身元保証にならないわけだ」

蓮斗が頷いた。

「さらに、DR時のフェイルオーバーを確認します。本番時は国内でも、障害時に国外へ切り替わる設計なら、説明が変わります」

その瞬間、会議室の照明が一度だけ瞬いた。

モニターに、古いDR手順書が開いたまま残っていた。

ページの下部に、一行。

片瀬が叫んだ。

「任意！？」

山崎が真顔で言った。

「契約書の“別途協議”くらい怖い言葉だね」

蓮斗は低く言った。

「この一行が、今日の容疑者です」

２　リージョンは証言する

蓮斗は、ホワイトボードに四つの箱を書いた。

平常時の保存先バックアップ先レプリケーション先DR時の切替先

「“データは国内にありますか”という質問に、ひと言で“はい”と答えるのは危険です。何のデータか、いつの状態か、どのサービスか、障害時にどうなるかで答えが変わります」

真鍋は頷いた。

「本番DBは東日本。バックアップは西日本。ストレージも国内。ログは……」

蓮斗が画面を切り替えた。

「ログはLog Analyticsに入っています。ワークスペースのリージョンも確認します。あと、診断ログに個人データが入る設計かどうかも見ます」

青島が不安そうに言った。

「ログにも個人情報が？」

「入れ方次第です。患者IDや氏名をログに出していると、ログも守る対象になります」

山崎が言った。

「事件簿に住所氏名を書きすぎると、事件簿自体が秘密になるわけだね」

蓮斗は、リソースの実体を一つずつ確認した。

本番DB：東日本。フェイルオーバーグループ：西日本。バックアップ：国内リージョン。ストレージ：地理冗長ではなく、国内冗長設定。DR手順：西日本へ手動切替。ただし、古い手順書には「任意のリージョン」と記載。検証テンプレートには westus のサンプル値。監視ダッシュボードには、海外リージョンのサンプルグラフが残存。

片瀬は頭を抱えた。

「つまり、実際のデータ移転ではなく、説明資料とサンプルの残骸が疑惑を作った？」

「はい」

蓮斗は即答した。

「ただし、“疑惑で済んだ”で終わらせると、次に本当に事故になります。DR時の切替先を国内リージョンに限定する。テンプレートの初期値を消す。手順書から任意という言葉を外す。バックアップとログの保存先も台帳化する。ここまで必要です」

真鍋は、少し安心したように言った。

「リージョンがアリバイを証明してくれたんですね」

蓮斗は首を振った。

「アリバイは、証言だけでは足りません。証拠が必要です」

「証拠？」

「Azureリソース一覧、設定画面、デプロイ履歴、バックアップ設定、フェイルオーバー設定、ログ保存先、DR訓練記録。これらを揃えます」

山崎が満足そうに言った。

「クラウド法務ミステリーらしくなってきたね」

そのとき、会議室のプリンターが動き出した。

誰も印刷していない。

全員が身構える。

排紙トレイから出てきた紙には、こう書かれていた。

片瀬が叫んだ。

「西リージョンからのメッセージ！？」

蓮斗がプリンターのジョブを確認した。

「違います。山崎先生がさっきテスト印刷したDR設計図です」

山崎は咳払いした。

「西日本リージョンの気持ちを代弁したかった」

悠真が冷静に言った。

「先生、証跡を増やさないでください」

３　国内にありますか、の本当の意味

悠真は、取引先から届いた質問票を読み上げた。

青島は眉をひそめた。

「国内に保存しています、とだけ答えればいいと思っていました」

悠真は首を振った。

「相手が聞いているのは、保存場所だけではありません。誰が、どこで、何を、どの範囲で取り扱うかです」

片瀬が言った。

「でも、クラウド事業者は海外企業です。サーバが国内でも、越境移転になるんですか？」

悠真は資料を開いた。

「そこは、断定で雑に答えない方がいいです。個人情報保護委員会のFAQでは、外国にある事業者が運営するクラウドでも、サーバが国内にある場合、当該事業者が個人データを取り扱っているなら外国にある第三者への提供に該当し得る。一方で、保存された個人データを取り扱わないこととなっている場合には、外国にある第三者への提供に該当しない、と説明されています」

青島は小さく言った。

「サーバの場所だけではなく、取り扱うかどうか」

「はい」

悠真は、さらに続けた。

「また、外国にある第三者のクラウドを利用し、外国で個人データを取り扱うこととなる場合には、外国の制度等を把握したうえで安全管理措置を講じ、本人の知り得る状態に置く必要がある、という整理もあります」

山崎が言った。

「つまり、“国内です”という一言で終わると、説明不足になることがある」

「はい」

悠真は、質問票の回答欄に下書きを作った。

片瀬は画面を覗き込んだ。

「長いですね」

悠真は答えた。

「短くして嘘っぽくなるより、長くても説明できる方が安全です」

蓮斗が言った。

「技術説明も同じです。“国内です”だけだと、ログとバックアップとDRが置き去りになります」

青島はうなずいた。

「取引先に、これを出しましょう」

悠真は首を振った。

「まだです」

「また？」

「この文面を出すには、技術側の証跡が揃っていなければなりません」

蓮斗が手を挙げた。

「今、揃えます」

４　アリバイを崩す一枚のスクリーンショット

蓮斗は、Azureの設定を順に確認し、一覧表にした。

リソース名。種類。リージョン。保存されるデータ。バックアップ先。レプリケーション設定。DR時の切替先。個人データの有無。ログへの出力有無。

真鍋は感心した。

「こんな表、うちにありませんでした」

蓮斗は言った。

「だから、質問された瞬間に犯人探しになったんです。台帳があれば、まず台帳を見ます」

山崎が頷いた。

「台帳は探偵の相棒だね」

ところが、表の最後で蓮斗の手が止まった。

「これは……」

一つだけ、見慣れないストレージアカウントがあった。

demo-patient-csv-archive

リージョンは、eastasia。

会議室の空気が凍った。

片瀬がかすれた声で言った。

「東アジア……国内じゃないですよね」

真鍋が立ち上がった。

「そんなリソース、知らない」

青島の顔から血の気が引いた。

「患者CSV？」

蓮斗は即座にアクセスログを確認した。

作成日時、三年前。作成者、退職済みの開発者。最終アクセス、二年十一か月前。中身、空。

ただし、コンテナ名に、

patient-demo

とある。

悠真が低く言った。

「空でも、名前が悪いです」

蓮斗は頷いた。

「はい。実データは確認できません。でも、取引先がこのスクリーンショットだけ見たら、国外に患者CSVを置いたと思うでしょう」

片瀬は震えた。

「じゃあ、やっぱり犯人が……」

山崎が強く言った。

「片瀬さん」

片瀬は黙った。

山崎は続けた。

「犯人ではなく、原因を探しましょう。人を追い詰めると、次の人が隠します」

蓮斗は、デプロイ履歴を確認した。

それは、展示会デモ用の空リソースだった。実データはなく、サンプルCSVもアップロードされていない。ただし、削除されずに残っていた。

真鍋が両手で顔を覆った。

「私の管理不足です」

悠真は静かに言った。

「管理不足は、責めるための言葉ではなく、直すための言葉にしましょう」

蓮斗は処理方針を出した。

「このリソースは、証跡を取ってから削除します。空であること、アクセス履歴、作成目的、削除日時、承認者を記録します。それから、命名規則を見直します。“patient”のような誤解を招く名前をデモ環境に使わない」

山崎が言った。

「データは空でも、言葉が満タンだったわけだね」

「はい」

蓮斗は続けた。

「そして、これが今日の“ハッとする展開”です」

「何ですか」

「取引先が本当に気にしていたのは、海外保存そのものより、“聞かれるまで把握していないこと”です」

会議室に沈黙が落ちた。

青島は、ゆっくり頷いた。

「たしかに、そうですね」

悠真は言った。

「説明文は、こう変えましょう。“過去のデモ用空リソースを確認し、不要リソースとして削除した。今後はリソース台帳とリージョン制限で管理する”。隠すより、改善を書いた方がいいです」

片瀬が小さく言った。

「正直に書いて、契約を失いませんか」

山崎が答えた。

「隠して契約を得ると、あとで信頼を失います」

片瀬は、初めて何も言わなかった。

５　任意のリージョンという幽霊

夜八時。

会議室には、ピザの箱と、冷めたコーヒーと、少しだけ戻ってきた笑いがあった。

しかし、最大の問題はまだ残っていた。

DR手順書の一行。

蓮斗は、その一行を赤で囲った。

「これを残したまま、“国内リージョンに限定しています”とは言えません」

真鍋は頷いた。

「改訂します」

蓮斗は、修正文案を作った。

悠真は契約説明文を整えた。

山崎が言った。

「いいですね。“しません”だけでなく、“変える時はどうするか”がある」

悠真は頷いた。

「契約では、例外の扱いが大事です。例外が書かれていないと、現場が夜中に判断することになります」

蓮斗が言った。

「クラウドでも同じです。リージョンの例外設定が、夜中に事故を呼びます」

その瞬間、真鍋のスマートフォンが鳴った。

取引先の病院グループからだった。

件名。

国内保存確認について：追加質問

青島が読み上げた。

片瀬は絶望した顔になった。

「まさに聞かれました」

山崎は微笑んだ。

「よかったですね」

「どこがですか！」

「今なら、答えられます」

蓮斗は表を出した。

悠真は文案を出した。

真鍋は証跡を出した。

青島は、深く息を吸った。

「犯人探しをしていたら、答えられませんでしたね」

「はい」

悠真は言った。

「でも、今は説明できます」

６　データレジデンシーのアリバイ

翌朝、駿河メディカルソリューションズは、取引先へ説明資料を送った。

タイトルは、

データ保存場所およびDR時取扱いに関する説明書

そこには、こう書かれていた。

一、本番DB、アプリケーション、主要ストレージは東日本リージョン。二、バックアップおよびDR用レプリケーションは西日本リージョン。三、DR時のフェイルオーバー先は国内リージョンに限定。四、国外リージョンへの標準的な保存・切替は行わない。五、ログに個人データを出力しない設計を再確認し、ログ保存先も国内リージョンで管理。六、過去のデモ用空リソースを棚卸しし、不要リソースを削除。七、リージョン台帳、DR手順書、IaCテンプレート、契約説明文を改訂。八、国外での取扱いが発生し得るサービス仕様・サポート対応については、契約条件と個人情報保護法上の整理を確認し、必要に応じて事前説明を行う。

取引先からの返答は、その日の夕方に来た。

片瀬は会議室で叫んだ。

「通った！」

山崎は笑った。

「アリバイ成立ですね」

蓮斗は真面目に言った。

「まだ成立ではありません。次回、DR訓練記録を見られます」

片瀬は椅子に崩れ落ちた。

「厳しい……」

悠真は微笑んだ。

「でも、犯人探しより健全です」

青島は、真鍋に頭を下げた。

「疑うような空気にして、すまなかった」

真鍋は驚いた顔をした。

「社長……」

片瀬も、ぎこちなく言った。

「俺も悪かった。westus を見て、勝手に決めつけた」

真鍋は、少し笑った。

「正直、私も自分を疑いました」

山崎は穏やかに言った。

「人を疑う前に、仕組みを疑う。仕組みを直せば、人はまた話せます」

会議室の空気が、ようやく晴れた。

７　山崎事務所の小さなDR訓練

後日、山崎行政書士事務所に、駿河メディカルソリューションズからお礼の品が届いた。

中身は、静岡茶と、なぜか小さな方位磁石だった。

手紙にはこうあった。

山崎は方位磁石を机に置いた。

「これで、うちの書類も迷子にならないね」

悠真が言った。

「先生、まず紙のバックアップ先を決めてください」

蓮斗も続けた。

「あと、事務所のクラウド保存先一覧を作りましょう。どのサービスに、何を、どこまで保存しているか」

山崎は湯飲みを持ったまま固まった。

「まさか、うちもデータレジデンシー？」

悠真は真顔で言った。

「はい。小さな事務所にも、データの住所はあります」

蓮斗は方位磁石を見た。

「東西南北より、リージョン、バックアップ、権限、契約です」

山崎はしばらく考え、静かに言った。

「では、今日は山崎事務所のDR訓練をしよう」

悠真が身構えた。

「何をするんですか」

山崎は自信満々に答えた。

「複合機が壊れた想定で、近所のコンビニへ印刷に行く」

蓮斗は即答した。

「それはDRではなく、生活の知恵です」

悠真が契約書を閉じて笑った。

「でも、訓練記録は残しましょう」

その日、山崎事務所のホワイトボードには、こう書かれた。

データは、どこにあるか。誰が、いつ、どう動かすか。障害時に、どこへ逃がすか。説明できることが、アリバイになる。

Azureリージョンは、静かにアリバイを告げていた。

東日本。西日本。本番。バックアップ。DR。ログ。サポート。契約。

データは嘘をつかない。

ただし、人間が台帳を作らなければ、データは証言台に立てない。

そして、山崎行政書士事務所は今日も、湯飲みと赤ペンとノートPCを並べながら、雲の向こうにある住所を、人間の言葉へ翻訳していくのだった。

作中の実務背景

確認日：2026年5月13日。

MicrosoftのAzureリージョン一覧は、2026年3月11日更新時点で、東日本リージョンの物理的場所を「東京、埼玉県」、ペアのリージョンを「西日本」とし、西日本リージョンの物理的場所を「大阪」、ペアのリージョンを「東日本」と掲載しています。作中の「東日本を主系、西日本を従系」という設定は、この国内リージョン構成を物語化したものです。

MicrosoftのAzureデータレジデンシー説明では、多くのAzureサービスで顧客がリージョンを指定でき、顧客は追加でどの地理的領域にデプロイ・複製するかを制御できると説明されています。また、地域サービスについて、顧客指定のGeo外に顧客データを保存または処理しない旨が示されています。作中の「リージョン、バックアップ、レプリケーション、DRを分けて確認する」という流れは、この説明を踏まえています。

Azureのリージョンペアに関するMicrosoft Learn文書は2026年1月22日更新で、リージョンペアは一部サービスのgeo-replicationやgeo-redundancy、災害復旧の一部に使われる一方、ペアにデプロイしただけで自動的に高可用性やDRが提供されるわけではなく、独自の高可用性・DR計画が重要だと説明しています。作中の「西日本にあるから安心」ではなく「DR手順とフェイルオーバー先を確認する」という推理は、この点に基づきます。

個人情報保護委員会FAQは、外国にあるサーバへの保存について、事業者自らが外国サーバを管理する場合や、外国事業者が保存データを取り扱わない契約・アクセス制御等がある場合には、外国にある第三者への提供に該当しない旨を説明しています。一方で、外国で個人データを取り扱う場合には、外国制度等の把握と安全管理措置が必要であることも示しています。

同委員会FAQは、外国事業者が運営するクラウドでサーバが国内にある場合でも、その事業者が保存された個人データを取り扱っている場合には、外国にある第三者への提供に該当し得ると説明しています。作中の悠真が「サーバの場所だけでは終わらない」と指摘した部分は、この考え方を反映しています。