ある企業がAzureでGDPR(一般データ保護規則)に準拠するために、EU顧客の個人データを必ずEUリージョン内に保存することを確保したい。この要件をシステム的に強制する最も適切な方法はどれか。
- A. Azure Blueprintsで設計図を作成して一度だけデプロイする
- B. Azure Policyで「EU以外のリージョン(例:Japan East・US East)へのリソースデプロイを拒否する」ポリシーをサブスクリプションまたは管理グループに割り当てる
- C. EU担当の開発チームに口頭で指示してEUリージョン以外に作成しないよう注意喚起する
- D. Azure Cost Management で月次コストを監視してEU外のリソースを手動で削除する
解答と解説を見る
正解: B
Azure PolicyのDeny(拒否)効果を使って「許可されたリージョンリスト(例:westeurope・northeuropeのみ)以外へのリソースデプロイを拒否する」ポリシーを作成し、対象のサブスクリプションまたは管理グループに割り当てることで、開発者が誤ってEU外リージョンにリソースを作成することをシステム的に防止できる。Azureには「Allowed locations(許可された場所)」という組み込みポリシー定義が存在する。選択肢Cの口頭指示は人的ミスを排除できずコンプライアンスの強制力がない。選択肢Dの月次監視・手動削除は事後対応であり、本番稼働中のリソースに個人データが一時的に保存されてしまう可能性がある。選択肢AのBlueprintsは初回デプロイには有効だが、新規リソース作成のたびに継続的にポリシーを強制するのはAzure Policyの役割。
📚 関連サービスの解説: Azure Policy