こんにちは。インサイトテクノロジーの松尾です!
さて7月になりました。今年の札幌も暑いみたいですね、、、、、ドキドキします。
さて、2022年4月に施行された改正個人情報保護法ですが、データベースの観点からいうと以下のような部分がポイントとなりましょうか。
- 個人データの漏えい等が発生した場合の報告義務及び本人に対する通知義務
- 概ね3~5日以内に速報(報告をしようとする時点において把握している内容)、30日以内に確報
- 法人に対する罰則の強化(個人情報データベース等の不正流用に対する1億円以下の罰金)
詳細は以下のサイトなどを参照ください。
- 参考:https://www.ppc.go.jp/news/kaiseihou_feature/
- 参考:https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-5
個人情報保護委員会のサイトによると以下のような情報を報告・通知する義務があります。
- 漏えい等が発生し、又は発生したおそれがある個人データの項目
- 漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数
- 原因
- 二次被害又はそのおそれの有無及びその内容
つまり、データ漏洩に対処するためには、データアクセス履歴などをトレースできる仕組みが必ず必要となると思います。
そのため、個人情報取扱事業者では自社のデータベースに対して監査の仕組みを構築していることと思いますが、どのように備えていますか?運用は煩雑ではないですか?
どのように備えるか?
例えば PostgreSQL には、pgaudit で監査ログファイルを出力する機能があります。ではこの機能を有効にしておけば十分でしょうか?
RDS for PostgreSQLやAurora PostgreSQLでも Audit Aurora PostgreSQL databases using Database Activity Streams and pgAudit に記載があるように、pgauditで監査ログを取得することもできますし、DAS(Database Activity Streams)により監査ログを有効にすることができます。しかしいずれにしても設定を有効にするだけでは不十分。出力された内容を解釈して自動で警告を上げる仕組みを整えたり、数年間保存したりなど、運用まで含めて考えるには、ある程度のつくり込みが必要になりそうなことは想像できると思います。
これらの標準機能を使って、何か問題が発生したときの確報に備えることができますか?
オンプレにも対応し、そして、すべての Amazon RDS に対応
また、実際の自社のシステムでは、Aurora PostgreSQLだけではないデータベースも数多く利用されているのではないでしょうか?
データベースの標準機能で監査をやろうとすると問題になるのが、データベースごとに監査ログ運用を考えなければならないことです。監査ログ情報出力のさせ方、出力されたログ情報の保存、何か不適切なアクセスが発生した時の検知、また、何らかの情報漏洩が発生した場合の対応など、それらをDBごとに検討しなければなりません。
そこで選択肢となるのが、監査ログソフトウェアの利用です。
弊社インサイトテクノロジーでは監査ログ製品 PISO を提供しています。PISO を使うとオンプレのOracle Databaseも、Aurora PostgreSQLも、どちらも同様に扱うことができ、また当然監査に特化した機能を実装済みのため、自分たちで取得から検知などを行う作りこみをすることに比べて、大幅に運用コストを下げることが可能です。
特にオンプレのデータベースからの監査ログ取得では、データベース標準機能を使用するのに比べてデータベースサーバーへの負荷の影響が少ないと評価されていることも特徴の一つです。
PISOで備えるデータベースの改正個人情報保護法対策
本ブログでは、今年施行となった改正個人情報保護法について、データベースの観点から求められるポイントを紹介するとともに、オンプレとクラウドのハイブリッド環境、Oracle DatabaseとPostgreSQLなどのマルチデータベース環境などを抱える中で、データベースアクセスログ監査などの運用コストを下げることが可能な PISO について紹介しました。
なお、改正個人情報保護法では、仮名加工情報として、個人を特定できないようにした形でのデータの活用についても提起されています。データを仮名加工情報化するには、データのマスキング処理を行うと思いますが、弊社ではマスキング製品 Insight Data Masking も提供しておりますので、仮名加工情報に興味がおありの方は、そちらもぜひご検討ください。
関連製品情報
- PISO: https://www.insight-tec.com/products/piso/
- Insight Data Masking: https://www.insight-tec.com/products/idm/
次回もどうぞお楽しみに♪
