EUデータ移転監査で詰まるのは「設定」ではなく「証跡の出し方」
- 山崎行政書士事務所
- 2025年12月28日
- 読了時間: 8分
Azure / Microsoft 365 を“監査即答”にする Evidence Navigation Guide(100問クリック手順化)
監査で一番つらいのは、実は「セキュリティ設定ができていないこと」ではありません。多くの現場で詰まるのは、**「設定はあるのに、監査人の前で“どこを開けば証明できるか”が即答できない」**ことです。
「暗号化してます」→ どの画面で確認する?
「PIMでJITです」→ どのログで“いつ誰が昇格したか”を見せる?
「DLPあります」→ どのポリシーが、どの場所に、どう効いている?
「ログ保持は規程通り」→ 設定値が規程と一致している画面は?
EU案件(SCC/TIAが絡む案件)では、これがさらに厳しくなります。監査人が確認したいのは“説明”ではなく、**「説明を裏付ける証跡」**だからです。
そこで当事務所では、Azure/M365の監査対応を「現場が迷わず出せる形」に落とすために、**Evidence Navigation Guide(監査即答用:証跡ナビ)**を整備します。しかも単なるチェックリストではなく、**画面パスまで含めて“クリック手順化”**します。
Evidence Navigation Guide とは何か
Evidence Navigation Guide は、監査質問に対して次の5点を1行で完結させる台帳です。
監査質問(監査人の言い方そのまま)
即答(10秒)(結論→根拠の順で短く)
クリック手順(画面パス)(Azure Portal / Entra / Purview等で“どこを開くか”)
Evidence(見せるもの)(スクショ・ログ・設定値・台帳など)
合格ライン(監査で「OK」となる最低条件)
さらに運用のために、Owner(責任者)・頻度(棚卸周期)・補足(例外時の代替証跡)を付け、監査対応を属人化させない構造にします。
なぜ「クリック手順化」まで必要なのか
監査当日は、想像以上に時間がありません。監査人が待ってくれるのは「数分」ではなく、多くの場合「数十秒〜1分」です。
クリック手順化していないと、現場ではこうなります。
担当者が変わった瞬間に、証跡の場所が分からない
「設定の名前が違う」「管理センターのUIが変わった」で迷子になる
“ログはある”のに、検索条件が分からず出せない
監査人の質問の言葉と、管理画面の用語が一致せず噛み合わない
クリック手順化は、これを防ぎます。要点は「リンクを貼る」ことではなく、“検索から入る経路”も含めて、再現性のある操作手順にすることです。UIが多少変わっても、上部検索や左メニューの名称で辿れるように設計します。
100問でカバーする領域(例)
Evidence Navigation Guide(100問版)は、監査で頻出の領域を網羅します。
鍵・暗号(Key Vault / CMK / ローテーション / 監査ログ)
特権アクセス(Entra ID / PIM / MFA / 条件付きアクセス / Break-glass)
ログ・監視(Azure Activity Log / Purview Audit / Sentinel / 保持期間 / 改ざん耐性)
ネットワーク境界(公開IP / Private Endpoint / NSG / 管理ポート)
変更管理・ドリフト(Azure Policy / 変更チケット / 承認証跡)
委託・再委託(サブプロセッサ台帳 / ゲスト権限 / 作業記録)
インシデント対応(IRP / 証拠保全 / エスカレーション / 事後レビュー)
BCP/DR(バックアップ範囲 / 復元テスト / DR演習)
データ主体対応(DSAR/Priva / 本人確認 / 期限管理)
データ分類・保持・DLP(Purview Sensitivity labels / Retention / DLP)
EU案件では、これらが**SCC Annex II(技術的・組織的対策)**や TIA(補完措置)の説明責任と直結します。つまり、Evidence Navigation Guide は「監査対応」だけでなく、契約・TIAの“実装証明”としても機能します。
クリック手順化のイメージ(サンプル)
ここでは、監査で特に聞かれやすい項目の「クリック手順化」の考え方をイメージとして紹介します(実務では100問すべて同じ粒度で整備します)。
例1:鍵ローテーション(Key Vault)
監査質問:鍵のローテーションはしていますか
即答(10秒):期限管理し、定期ローテーションを実施し記録しています
クリック手順(例):
Azure Portal → Key vaults → 対象Key Vault → Keys → 対象キー → Rotation policy
Evidence:Rotation policy画面、キーのバージョン履歴、監査ログ
合格ライン:期限切れ鍵ゼロ、例外は承認記録あり
“やっています”ではなく、**「Rotation policyを開けば確認できる」**まで落とし込むのがポイントです。
例2:管理者MFA(条件付きアクセス)
監査質問:管理者MFAは強制ですか
即答(10秒):条件付きアクセスで管理者にMFAを強制しています
クリック手順(例):
Entra 管理センター → Protection → Conditional Access → 管理者向けポリシー
(裏取り)Entra → Sign-in logs → 該当サインインのCA適用結果
Evidence:CAポリシー設定画面、サインインログの適用結果
合格ライン:管理者例外ゼロ(Break-glass除外は最小・監視あり)
監査人は「設定画面」だけでなく、**実際に効いている証拠(ログ)**を好みます。クリック手順に“裏取り”まで含めることで即答品質が上がります。
例3:M365監査ログ(Purview Audit)
監査質問:監査ログは検索・エクスポートできますか
即答(10秒):Purviewの監査で検索・エクスポートでき、保持方針も管理しています
クリック手順(例):
Microsoft Purview 管理センター → Audit → Search → Export
Evidence:検索結果、エクスポート結果、保持設定(該当する場合)
合格ライン:当日その場で検索→提示ができる
監査当日に「後で出します」は致命傷になりがちです。当日出せる状態を作ることが目的です。
SCC/TIAとのつなぎ方(監査で強くなる“一本線”)
EU監査では、よくこういう流れになります。
SCC Annex II に「暗号化・アクセス制御・ログ監査」などが書かれている
監査人が「実装されていますか?」と聞く
こちらがEvidenceを出す
監査人が「運用(棚卸、例外、再評価)は回っていますか?」と聞く
変更管理や再委託管理に話が移る
つまり、監査で勝つには「技術」だけでは足りません。技術×契約×運用が同じ説明線で繋がっている必要があります。
Evidence Navigation Guide は、この“一本線”を作るために、
SCC Annex II の各項目 → Azure/M365の設定箇所 → 監査で出す証跡を対応づける土台になります。
さらに、TIAで求められる補完措置も、結局は「実装証明」の話に戻ります。補完措置を“実装要件”として書き、証跡で示す——この往復運動を止めない設計が重要です。
導入すると現場がこう変わります
監査対応が“作業”から“確認”に変わる
担当者が何度も資料を掘り返して「探す」状態から、決まった画面を開いて“確認”する状態になります。
人が変わっても監査品質が落ちない
担当交代のたびに監査耐性が落ちるのは、証跡が属人化しているからです。クリック手順化は、ノウハウを台帳に固定します。
例外が「事故」にならない
例外(Break-glass、例外公開、委託作業等)はゼロにできません。重要なのは、例外が発生したときに期限・承認・ログ・レビューが揃っていること。Evidence Navigation Guide は例外の“合格条件”まで定義します。
維持運用のコツ(監査で刺さりやすいポイント)
Evidence Navigation Guide は作って終わりではなく、維持して強くなるタイプの成果物です。特に重要なのは次の3つです。
1) 変更管理と連動させる
リージョン変更、ログ保持変更、委託先追加、鍵運用変更……。これらはSCC/TIAの更新トリガになり得ます。“重要変更”の定義を決め、台帳更新が必ず起きる仕組みにします。
2) 証跡の保管場所を一つに寄せる
証跡が散らばると、監査当日に「どれが最新版?」になります。SharePoint等で証跡庫を一本化し、版管理・アクセス権・フォルダ設計まで整えます。
3) 四半期に一度、監査リハーサルをする
実際に「100問からランダムで10問」を選び、**“クリックだけで証跡提示できるか”**をチェックします。これが最強の監査訓練です。
山崎行政書士事務所の位置づけ(提供価値)
当事務所が重視しているのは、単なる書類作成ではありません。条文(SCC/TIA)を、設計(Azure/M365の実装)へ落とし、監査証跡へ変換し、説明責任の形にすることです。
契約(SCC Annex)を“抽象語のまま”にしない
実装(設定)を“説明できる形”にする
運用(棚卸・例外・再評価)を“証跡として残す形”にする
Evidence Navigation Guide(100問クリック手順化)は、その中心に置ける成果物です。監査が近い企業、EU取引先からSCC/TIAを求められている企業、Azure/M365を使っていて「証跡提示に不安がある」企業に特に効果があります。
免責
本記事は一般的な情報提供を目的としたもので、個別案件に対する法的助言を構成しません。個別の契約・規制対応については、案件の事実関係に応じて専門家への相談をご検討ください。
参考リンク
【EU:SCC / 国際移転】
- Commission Implementing Decision (EU) 2021/914(SCC)
- European Commission:New Standard Contractual Clauses(Q&A)
【EDPB:TIA / 補完措置 / 移転概念】
- EDPB Recommendations 01/2020(Supplementary measures)Final(PDF)
- EDPB Guidelines 05/2021(Art.3とChapter Vの関係)Final(PDF)
【EU→日本:適正性・補則】
- Commission Implementing Decision (EU) 2019/419(Japan Adequacy)(PDF)
- PPC:Supplementary Rules(PDF)
【CNIL:Transfer Impact Assessment ガイド】
- CNIL Practical guide – Transfer impact assessment(PDF)
- CNIL(ガイド公開ページ)
【Microsoft:EU Data Boundary】
- Microsoft Trust Center:EU Data Boundary
- Microsoft Learn:What is the EU Data Boundary?
【Azure:鍵・ログ・統制・バックアップ】
- Azure Key Vault:Configure key auto-rotation
- Azure Monitor:Activity log
- Azure Policy(ドリフト/準拠)
- Azure Backup:Backup center overview
【Microsoft Entra:PIM / 条件付きアクセス】
- PIM:Approval workflow
- Conditional Access:Require MFA for administrators
【Microsoft Purview / Priva:監査・DLP・保持・DSAR】
- Purview:Search the audit log
- Purview:Export, configure, and view audit log records
- Purview DLP:Learn about DLP
- Purview:Sensitivity labels
- Purview:Data lifecycle management(Retention)
- Microsoft Priva:Subject Rights Requests
【Microsoft Sentinel / Defender for Cloud】
- Microsoft Sentinel:Operational guide
- Microsoft Sentinel:Workbooks(monitor your data)
- Defender for Cloud:Review security recommendations
コメント