監査人が次に行うべきことは、クラウドサービスプロバイダの契約とDR能力を確認することです。契約には、災害復旧に関する両当事者の役割と責任、そして重要なアプリケーションのサービスレベル契約（SLA）と目標復旧時間（RTO）が明記されている必要があります。DR能力は、クラウドサービスプロバイダが組織の要件と期待に沿った計画を策定し、毎年テストと独立監査人による検証を受けていることを示すものでなければなりません。また、監査人は、組織がクラウドサービスプロバイダのパフォーマンスと契約およびSLAの遵守状況を監視および確認するプロセスを備えていることも確認する必要があります。
監査人がプロバイダーの環境やデータにアクセスできない場合や、そのような監査を実施する権限や専門知識がない場合、プロバイダー（B）の監査を計画することは現実的ではない、あるいは必要ではない可能性があります。監査人は、プロバイダーの監査報告書と認証書に基づいて、関連する基準や規制への準拠状況を評価するべきです。
プロバイダーのセキュリティホワイトペーパーを確認するだけでは不十分、あるいは適切ではない場合があります。セキュリティホワイトペーパーは、重要なアプリケーションの災害復旧に関する具体的な側面を網羅していない場合や、プロバイダーのセキュリティ管理やセキュリティ対策の現状を反映していない場合があるからです。また、セキュリティホワイトペーパーはプロバイダー自身が作成しているため、偏った情報や古い情報が含まれている可能性もあります。
プロバイダーの監査報告書（D）を確認することは有益ではありますが、それだけでは十分ではありません。監査報告書は、組織の災害復旧に関する具体的な要件や期待に応えていない可能性があり、プロバイダーのDR能力に影響を与える可能性のある最新の変更やインシデントを網羅していない場合もあります。また、監査報告書には、信頼性や妥当性に影響を与える可能性のある制限事項や制約事項が含まれている場合もあります。参考文献:
* 災害復旧計画の監査 | AlertFind
* ISACA がビジネス継続性/災害対策のための新しい監査プログラムを導入...
* 事業継続および災害復旧計画の維持とテスト方法

説明
一般データ保護規則（GDPR）は、欧州連合（EU）において健康情報を保護する必要がある場合に適した規則です。GDPRは、健康データを含む個人データの保護に関する法的枠組みを提供し、個人の個人データの処理に直接適用される規則を定めています1。GDPRでは、健康データは、健康状態に関する情報を明らかにする医療サービスの提供を含む、自然人の身体的または精神的健康に関連する個人データと定義されています2。GDPRは、EU域内に所在する個人の健康データを処理するすべての組織に適用されます3。
その他の選択肢は不正解です。選択肢 B の DPIA は不正解です。DPIA はデータ保護影響評価の略で、個人データを処理するプロジェクトまたは活動におけるデータ保護リスクを組織が特定し最小限に抑えるのに役立つプロセスです。DPIA は規制ではなく、GDPR4 におけるツールまたは要件です。選択肢 C の DPA は不正解です。DPA はデータ保護局の略で、調査権と是正権を通じてデータ保護法の適用を監督する独立した公的機関です。DPA は規制ではなく、GDPR5 における機関または団体です。選択肢 D の HIPAA は不正解です。HIPAA は医療保険の携行性と説明責任に関する法律の略で、医療情報を保護するためのデータ プライバシーとセキュリティ規定を定めた米国連邦法です。HIPAA は EU には適用されませんが、米国には適用されます6。参考文献 := European Health Data Space1一般データ保護規則（GDPR）3 データ保護影響評価 | 欧州委員会4 データ保護当局 | 欧州委員会5 HIPAAとは？ - WhatIs.comによる定義6

この管理仕様は、組織が定められたポリシー、標準、手順、およびコンプライアンス義務を遵守していることを確認するために不可欠な独立監査の概念と一致しています。これらのレビューと評価を少なくとも年に1回実施することが求められることで、継続的なコンプライアンスを確保し、不適合事項への対応能力を確保できます。独立監査は客観的な評価を提供し、提供されるクラウドサービスの透明性と信頼性を維持するために不可欠です。
参照 = クラウド コントロール マトリックス (CCM) では、監査保証およびコンプライアンス領域の一部として毎年独立した評価を実施する必要性について具体的に言及されており、これは CCM のガイドラインと、クラウド セキュリティ アライアンス (CSA)12 が提供する関連ドキュメントに詳しく記載されています。