第1回 個人情報データ保護の思考回路
星野 真理
株式会社システム・テクノロジー・アイ
2005/1/28
@ITを訪れる方の興味は、より高度なIT技術の習得であり、同時に最新IT技術を少しでも早く知ることではないでしょうか?
もちろん社会の一員である以上、経済や政治、法律にも興味があって当然です。ただし、筆者が感じる限りでは、これまでそれらはIT技術に直接関係しておらず別々の思考回路で取り扱われていたように思います。左脳と右脳、文系と理系のような間柄かもしれません。
しかし、2005年4月から個人情報の保護に関する法律(個人情報保護法)が全面施行され、それに合わせてIT技術の見直しや社内インフラのセキュリティ強化が必要になります。
さて、この連載では、個人情報保護について正しい見解を持っていくための思考回路の鍛錬をしていく過程で、個人情報データの入れ物であるデータベースのシステム構築に関するヒントについてお話をさせていただきます。
 |
個人情報保護の基礎知識 |
ではまず、個人情報保護についての基本知識をそろえるために、皆さんに問い掛けをさせていただきます。以下の質問に対して、その答えを2センテンス以内でまとめてみてください。
| 質問1. | そもそも、個人情報とは何でしょう? |
| 質問2. | 個人情報保護法と企業にはどのような関係が出てくるのでしょう? |
| 質問3. | 企業において個人情報保護法対策を実施していくのは、どの部署の担当でしょう? |
答えというか、私の見解です。
質問1の見解
個人情報とは個人を特定できる情報であり、名前、メールアドレス、電話番号などを含むデータの組み合わせを指します。もちろん組み合わせでなくとも、メールアドレスのように1つの情報でも個人を特定できるものであれば立派な個人情報です。
質問2の見解
個人情報保護法とは個人情報を取り扱う企業が守るべき義務を定め、それに違反した場合には行政機関が処分を行うことを明確にした法律です。ただし、個人情報の取り扱い方(収集方法や管理方法)について定めたもので、情報漏えいのみに対して処分が行われる法律ではありません。
質問3の見解
企業において個人情報保護法対策を実施していくのは特定の部署だけというわけではなく、企業に属するすべての人材が心がける必要があります。なお、法律が守られなかった場合に責任を負うのはその人材の属する企業となります。
法制化前の現在においても個人情報を保護しなくていいわけではないのですが、法制化により図1に示すような形が強制されます。
|
データベースのセキュリティ度チェック |
さて、個人情報保護法について理解してみると個人情報データの格納場所であるデータベースの在り方や、データを守るという観点の見直しが必要となるのは当然です。
データベースを提供する各ベンダでは、セキュリティに対する国際認定基準をクリアするべく製品開発を行っています。その先頭を走るOracleでは17種の国際認定基準をクリアしています。その中にはパッケージソフトウェアでは最高といわれるISO/IEC15408のEAL4レベルの認定も含まれており、いかなるセキュリティ強化も実現可能です。
ただし、データベースが高い国際認定基準をクリアしているからといって、それらを使ったデータベースシステムそのものが安全であるということにはなりません。 データベースが提供するセキュリティ機能を使っていくのはシステムを構築する側の責任です。私たちの使用しているデータベースのセキュリティレベルはいかがなものでしょう? 昨今のデータベース利用の形態は図2のような形が多く、さまざまなセキュリティチェック項目があるはずです。
 |
| 図2 データベースの利用形態とチェック項目 |
図2でのチェック項目をまとめると表1のようになります。では、皆さんの現行システム、もしくは現在開発中のシステムについて、表1に示すチェック項目をいくつ満たしているかを考えてみてください。
|
||||||||||||||||||||
| 表1 データベースセキュリティにおけるチェック項目 |
上記のチェック項目の○が少ないほど、データ漏えいの問題が発生する可能性が高くなります。
|
1/2
|
|
| Index | |
| 個人情報データ保護の思考回路 | |
 |
Page1 個人情報保護の基礎知識 データベースのセキュリティ度チェック |
| Page2 情報漏えい対策として問題意識を持とう |
|
| 関連記事 |
| データベースセキュリティの基礎のキソ |
| Database Expertフォーラム |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
