個人情報流出対策 ピンからキリまで

もう１ヶ月も前の話になってしまったが、三菱UFJ証券の顧客情報流出事件で、顧客に各種勧誘の電話がかかるなどかなりの被害が出たとのことであるが、成立前後では本屋の店頭でよく見かけた個人情報保護法対応に関する書籍が最近はあまり見かけない。こういうノウハウは一過性のものではないはずなのだか。

さて実際に流出を防止するためには、情報の流出ルートを最小化するとともに、流出抑止と流出時の早期発見・対処のためにアクセス履歴を収集する必要がある。と簡単に書いたが、どこまでやるか？　収集するレベル、RDBMSやアプリケーションの種類やバージョンによって実現可否・コストが大きく変わってくる。

アクセス履歴の収集において、いつ、どこで、誰が、何を（どれだけの数、どんな項目・・・）どのようにして（アクセス方法）アクセスしたか記録することになるが・・・

●当該のRDBMSやアプリケーションなどが記録する機能を持ち合わせているか？
一般的なWebシステムでは、データベースへのアクセスには高速化のためにコネクションプールを使用することが一般的である。したがって、そのままでは「誰がアクセスしたか」が記録できない。つまりアプリケーション側で実装する必要がある場合がある。
また、RDBMSやアプリケーションのバージョンによって、取得可能な情報が異なるので、ある製品のあるバージョンでは簡単に実装できるが、異なる製品では思わぬ苦労を強いられるといった可能性がある。

●システム管理者権限を持っている人に対する対処をどうするか？
種々のアクセス記録機能を実装したとしても、システム管理者権限を持っている人のアクセスは対象外になっていたり、あるいはアクセス記録の改ざんが可能であることはままある。RDBMSやOSのレベルでアクセス記録の改ざんまで踏まえた対策をとろうとすれば、当該システムとは別に、監査システムを導入する必要がある。そのシステムの製品だけで安くても数百万円かかるし、おそらくは対応できるRDBMSやアプリケーションの種類やバージョンには一定の制限があるはずだ。

日本製品でも同じだが、外国製品とかSaasとかクラウドといったものでは特に、必要なレベルの対処を組み込むのが技術的に可能なのかどうかは慎重に調査する必要がある。たとえば日本郵政がsalesforceを採用したときにどこまで調査したのか、個人的には興味のあるところだ。

ただしベンダーに聞くとき「この製品は個人情報保護法に対応していますか？」という聞き方では愚問で堂々巡りになりやすい。せめて「個人情報保護法に対応するために、・・・のアクセス履歴を取りたいが実装する方法が有るか？」など具体的な質問にしたい。購入前に満足いく答えが得られるかどうかは別だが。