Azure 環境の設計・構築における法務チェック

山崎行政書士事務所
9月11日
読了時間: 7分

— GDPR／国内個人情報保護法の国外移転と、NIST 等セキュリティ指針の実装統合 —

著者：山崎行政書士事務所クラウド法務・アーキテクチャ支援チーム

発行日：2025-09-11

要旨（Abstract）

本稿は、Azure 環境の設計・構築フェーズで見落とされやすい法務・コンプライアンス要件を、国外移転（GDPR／個人情報保護法）を軸に、NIST CSF / SP 800-53・ISO 27001/27701などの技術的管理策へ確実に落とし込む方法を体系化する。中心論点は「データ所在地（Data Residency）」「移転根拠（SCC 等）」「共有責任の線引き」「監査可能性（証跡・保存・改ざん耐性）」。リージョン選定／DR（GRS/ASR）やログ保管先の扱い、鍵管理・閉域化・イグレス統制までを実装テンプレートとエビデンス化の要領で提示する。

1. 法令→設計→運用の対応付け（総覧）

法令観点
- GDPR：越境移転は SCC 等の移転ツール＋補完措置が基本。Schrems II 以降は実効性の評価（法令・運用実態）まで踏み込む。
- 国内個人情報保護法（APPI）：外国にある第三者提供は同意＋相手国の制度・受領者の保護措置の情報提供等が要件。
設計観点
- リージョン／データ配置を要件定義で確定（本番・DR・ログ保存先）。GRS/ASRなど自動複製の行き先まで合意。
- 暗号化（Key Vault BYOK/CMK）、ネットワーク閉域（Private Link）、イグレス統制（Firewall/UDR/NAT）、**ログの保持・改ざん耐性（WORM/Immutable）**をポリシー化。
運用・監査観点
- 記録（ROPA）／DPIA／TIAの定期更新。ログの保存期間・復元性の確認、DR テスト結果の証憑化。
- SLA はサービスクレジット中心であり、事業継続の実効責任は利用者側にあることを前提に BCP に織り込む。

2. Data Residency と国外移転を前提にした Azure 基本設計

2.1 リージョン／ワークロード配置方針

本番／DR のペアは法的リスクと可用性のトレードオフで確定。国内→国内（越境低）か、国内→海外（広域災害耐性高）かを経営判断として記録。
ログ保管先のリージョンは業務データと分離しても国外移転の扱いになり得るため、保存場所・保存期間・目的をプライバシーポリシーに明記。

2.2 代表パターンと設計含意

国内本番（Japan East）＋国内 DR（Japan West）：国外移転リスク低。広域災害想定の残余リスクは事前評価。
国内本番＋海外 DR（例：Southeast Asia）：DR 切替時の越境をポリシー・契約・同意で明示。データ／ログ／バックアップそれぞれの複製先を設計書に明記し、**補完措置（暗号化・鍵管理）**を強化。

3. 設計に落とす法務チェックの「作業順」

3.1 データマッピングと記録（ROPA）

処理主体／目的／カテゴリ／所在／移転先／保存期間を台帳化。マルチクラウド／SaaS 連携までデータフロー図に落とす。
ハイリスク処理（健康情報、位置情報、大規模監視等）は DPIA、第三国移転は TIA を起案。

3.2 リージョン拘束の技術実装

Azure Policy：許可リージョンをテナント標準で強制（後掲テンプレート）。
Azure Resource Graph 監視で逸脱デプロイを検出（後掲 KQL）。
閉域化：PaaS はPrivate Link／Private Endpoint、自社からのアクセステストをNSG／Firewall／Service Tagsで縛る。
鍵管理：Key Vault（BYOK/CMK）で暗号鍵を域内管理。鍵ローテ・廃棄のSOPを Evidence に。

3.3 ログ・証跡の保存と改ざん耐性

Log Analytics / Sentinel の保持＋アーカイブを要件化（監査年限・コストを同時設計）。
Blob Immutable（WORM／リーガルホールド）で変更不能を担保。監査対象テーブルは保存先と保持年限を台帳に反映。

3.4 DR（設計と責任分界）

GRS/GZRS/RA-GRS：自動で別地域に複製されるため、移転先の国・地域を説明可能に。
Azure Site Recovery（ASR）：テスト・フェイルオーバー時も個人データが複製される可能性を社内規程とプライバシーポリシーに明記。
SLA は補償（クレジット）であり、切替の成否は設計と演習に依存。共有責任モデルを契約に反映。

4. セキュリティ・フレームワークへのマッピング

4.1 NIST CSF 2.0（Govern/Identify/Protect/Detect/Respond/Recover）

Govern：データ移転方針・許可リージョン・鍵管理・ログ保全を方針／統制／指標に格納。
Identify：Resource Graph＋Purviewで資産・データ所在を可視化。
Protect：MFA／PIM／RBAC／CMK／Private Link／Firewall。
Detect：Sentinel／Defenderの相関ルール（国外からの異常アクセス、エグレス例外）。
Respond/Recover：プレイブックとDR 手順、演習記録を Evidence 化。

4.2 NIST SP 800-53（例示）

AC／IA：Azure AD（Entra）＋PIM、きめ細かな RBAC、条件付きアクセス。
AU：Log Analytics／Sentinel、改ざん耐性は Blob Immutable を併用。
SC：転送／保存の暗号化、TLS 1.2/1.3、Private Link。
CP：ASR・バックアップ、定期 DR テストの結果保存。
RA／PM：リスク登録簿と是正計画（POA&M）を運用。

4.3 ISO 27001 / 27701

ISMS（27001）：リージョン選定、越境移転、鍵管理、DRを適用宣言書に反映。
PIMS（27701）：データ主体権利対応（開示・消去）、越境移転の通知・同意、SCC／DPA の整備。

5. 実装テンプレート（上級 SE 向け最小キット）

5.1 「許可リージョン」を強制する Azure Policy（抜粋）

{
  "properties": {
    "displayName": "Allowed locations (Data Residency)",
    "policyRule": {
      "if": { "field": "location", "notIn": ["japaneast", "japanwest"] },
      "then": { "effect": "deny" }
    },
    "parameters": {}
  }
}

プロダクト別の例外（たとえばグローバル固定のサービス）は別ポリシーで許可。テスト／検証用サブスクは「AuditIfNotExists」で監査のみ運用も可。

5.2 配置逸脱の検知（Azure Resource Graph / KQL）

resources
| where type !in~ ('microsoft.resources/subscriptions/resourcegroups')
| project name, type, location, subscriptionId
| where location !in~ ('japaneast','japanwest')

5.3 Sentinel：国外イグレス例外の検出（例）

AzureNetworkAnalytics_CL
| where FlowDirection_s == "Outbound"
| where PublicIPs_d !in (/* 許可済み宛先 CIDR 一覧 */)
| summarize cnt=count() by bin(TimeGenerated, 1h), SrcSubnet_s, DstPublicIPs_s

5.4 Blob 変更不能（WORM）設定の運用要点

コンテナ／アカウント単位の Immutable ポリシー、保持期間、リーガルホールドの発動・解除手順を権限分離して文書化。
監査期間外の早期削除が不可となるため、法的要件と保存コストを合わせて設計。

6. コントラクト＆ガバナンス（条項と証跡）

DPA（Microsoft）：処理者としての約束（GDPR Art.28 等）とEU Data Boundary／データ所在地コミットの参照位置を契約添付に明記。
SCC：EU から域外の自社／委託先への移転に適用、**補完措置（技術的・組織的）**を TIA に添付。
プライバシーポリシー：DR／バックアップ／ログの複製先と目的、同意の取得・撤回方法。
監査対応パッケージ（Evidence）
1. ROPA／DPIA／TIA／データフロー図
2. Policy 定義・割当（許可リージョン等）
3. 鍵ライフサイクル（CMK）・アクセス権限（PIM/RBAC）
4. ログ保持・アーカイブ・Immutable 設定
5. DR 手順・演習結果・SLA 照合メモ

7. よくある落とし穴（チェックリスト）

□ GRS を有効化しているのに複製先の国・地域をポリシー／告知に反映していない。
□ ASR のテストで実データを海外へ複製しうる点の社内合意がない。
□ リージョン許可ポリシーがデプロイの一部にしか効いていない（例外サブスクの野放し）。
□ 鍵管理がクラウド委託側任せで、BYOK/CMK の責任区分が契約に未反映。
□ ログの保存年限／改ざん耐性が監査要件に非整合。
□ SLA を過信して DR を未演習（クレジットは回収できても復旧は別問題）。

8. まとめ（実務指針）

法：GDPR／APPI の国外移転を先に評価（DPIA／TIA）
設計：リージョン拘束・閉域化・鍵管理・イグレス統制をポリシー化
運用：保持・改ざん耐性・DR 演習を Evidence 化し継続監視
契約：DPA／SCC／プライバシーポリシーで説明責任を形式知化

技術（Azure）と法務（GDPR/APPI）の両輪で、移転リスクを可視化・最小化し、実装可能な証跡を残すことが、クラウド活用の速度と監査対応力を同時に引き上げる。

9. 山崎行政書士事務所のご支援（PR）

「クラウド法務 × 技術設計」を同一チームで完結します。

要件定義〜設計〜Evidence 作成〜監査同席まで一気通貫
DPA／SCC／プライバシーポリシーの条項整備と、Azure Policy／Sentinel／ASR 等の実装設計書を同じ言語系で統合
既存運用への摩擦最小の移行計画、SLO／Error Budgetを含む継続運用設計