第1回 個人情報データ保護の思考回路


星野 真理
株式会社システム・テクノロジー・アイ
2005/1/28



 @ITを訪れる方の興味は、より高度なIT技術の習得であり、同時に最新IT技術を少しでも早く知ることではないでしょうか?

 もちろん社会の一員である以上、経済や政治、法律にも興味があって当然です。ただし、筆者が感じる限りでは、これまでそれらはIT技術に直接関係しておらず別々の思考回路で取り扱われていたように思います。左脳と右脳、文系と理系のような間柄かもしれません。

 しかし、2005年4月から個人情報の保護に関する法律(個人情報保護法)が全面施行され、それに合わせてIT技術の見直しや社内インフラのセキュリティ強化が必要になります。

 さて、この連載では、個人情報保護について正しい見解を持っていくための思考回路の鍛錬をしていく過程で、個人情報データの入れ物であるデータベースのシステム構築に関するヒントについてお話をさせていただきます。

 個人情報保護の基礎知識

 ではまず、個人情報保護についての基本知識をそろえるために、皆さんに問い掛けをさせていただきます。以下の質問に対して、その答えを2センテンス以内でまとめてみてください。

質問1. そもそも、個人情報とは何でしょう?
質問2. 個人情報保護法と企業にはどのような関係が出てくるのでしょう?
質問3. 企業において個人情報保護法対策を実施していくのは、どの部署の担当でしょう?

 答えというか、私の見解です。

質問1の見解

個人情報とは個人を特定できる情報であり、名前、メールアドレス、電話番号などを含むデータの組み合わせを指します。もちろん組み合わせでなくとも、メールアドレスのように1つの情報でも個人を特定できるものであれば立派な個人情報です。

質問2の見解

個人情報保護法とは個人情報を取り扱う企業が守るべき義務を定め、それに違反した場合には行政機関が処分を行うことを明確にした法律です。ただし、個人情報の取り扱い方(収集方法や管理方法)について定めたもので、情報漏えいのみに対して処分が行われる法律ではありません。

質問3の見解

企業において個人情報保護法対策を実施していくのは特定の部署だけというわけではなく、企業に属するすべての人材が心がける必要があります。なお、法律が守られなかった場合に責任を負うのはその人材の属する企業となります。

 法制化前の現在においても個人情報を保護しなくていいわけではないのですが、法制化により図1に示すような形が強制されます。

 データベースのセキュリティ度チェック

 さて、個人情報保護法について理解してみると個人情報データの格納場所であるデータベースの在り方や、データを守るという観点の見直しが必要となるのは当然です。

 データベースを提供する各ベンダでは、セキュリティに対する国際認定基準をクリアするべく製品開発を行っています。その先頭を走るOracleでは17種の国際認定基準をクリアしています。その中にはパッケージソフトウェアでは最高といわれるISO/IEC15408のEAL4レベルの認定も含まれており、いかなるセキュリティ強化も実現可能です。

 ただし、データベースが高い国際認定基準をクリアしているからといって、それらを使ったデータベースシステムそのものが安全であるということにはなりません。 データベースが提供するセキュリティ機能を使っていくのはシステムを構築する側の責任です。私たちの使用しているデータベースのセキュリティレベルはいかがなものでしょう? 昨今のデータベース利用の形態は図2のような形が多く、さまざまなセキュリティチェック項目があるはずです。

図2 データベースの利用形態とチェック項目

 図2でのチェック項目をまとめると表1のようになります。では、皆さんの現行システム、もしくは現在開発中のシステムについて、表1に示すチェック項目をいくつ満たしているかを考えてみてください。

チェック1 外部からデータベースにアクセスするために2つ以上のファイアウォールを通過する
チェック2 データベースサーバの設置場所は、社内の施設ではない
チェック3 データベースサーバの設置場所に対して、入退室管理などの物理セキュリティを施している
チェック4 バックアップメディアの格納方法は、十分に検討している
チェック5 個人データの管理者は十分に検討して決定し、委託会社の人材には管理させていない
チェック6 データベースの設定において、デフォルト値はできる限り変更している
チェック7 データベースとアプリケーション間のデータは暗号化されてネットワーク上を送受信される
チェック8 データベースへの接続ユーザーのパスワードは定期的に変更するルールを設定している
チェック9 権限管理にはロールを使用しているが、ユーザーの接続時にはユーザーに付与されたロールは適用されない
チェック10 個人データにおいて秘密厳守のデータは、暗号化されてデータベースに格納される
表1 データベースセキュリティにおけるチェック項目

 上記のチェック項目の○が少ないほど、データ漏えいの問題が発生する可能性が高くなります。

1/2


Index
個人情報データ保護の思考回路
Page1
個人情報保護の基礎知識
データベースのセキュリティ度チェック
 
  Page2
情報漏えい対策として問題意識を持とう


関連記事
データベースセキュリティの基礎のキソ
Database Expertフォーラム

Security&Trust記事一覧

@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH