TOP
>
情報セキュリティ
> 個人情報保護法とデータベースセキュリティ
データベースセキュリティとコンプライアンス〜個人情報保護法から日本版SOX法へ〜
第1回:データベースセキュリティによる内部統制の構築
著者:
アイピーロックス ジャパン 渡辺 良一
2006/4/7
前のページ
1
2
3
次のページ
個人情報保護法とデータベースセキュリティ
2005年4月に個人情報保護法が施行され、各省庁からはその業界における個人情報保護に対するガイドラインが作成されました。
特に金融庁の『金融分野における個人情報保護に関するガイドライン』には「個人データへのアクセス権限の管理」や「個人データへのアクセス記録および分析」の義務化が明記され、個人情報が保管されているテーブルに対するアクセスログの保管や分析が可能なデータベースセキュリティ製品に注目が集まりました。
「金融分野における個人情報保護に関するガイドライン」
http://www.fsa.go.jp/common/law/kj-hogo/01.pdf
これは企業が保管している個人情報を守るためにはPC内のデータ暗号化、個人認証の強化対策と並んで、重要情報が保管されているデータベースそのものに対するセキュリティ対策の重要性が市場の共通認識となった結果のあらわれといえます。
情報漏洩の原因
通常、個人情報が社外へ漏れるには、外部と内部の2つがあります。
実際には社外から社内のデータベースに対する直接の攻撃による外部原因よりも、社内でデータベースにアクセスする権限を持った人が、業務外の目的でデータベースの内容を読み取り(社内漏洩)、これを何らかの方法で社外に持ち出したり、または不注意によって盗まれたりする(社外漏洩)という2段階のステップを踏むという内部原因のケースが多いのです。
このようなケースにおいては、データベースセキュリティが最初の社内漏洩の段階で不審なアクセスを検知し、情報漏洩事故を未然に防ぐことができるでしょう。
また情報漏洩ばかりではなく、データベースを監視することは個人情報保護法で求められているデータの不正な改ざんに対する抑止の効果をもたらします。
さらにデータベースセキュリティをネットワークセキュリティや暗号化などの他のセキュリティ対策とうまく組みあわせることで、個人情報などに代表される企業の機密情報をより高いレベルで保護することが可能です。
図2:データベースセキュリティの有効性
(画像をクリックすると別ウィンドウに拡大図を表示します)
前のページ
1
2
3
次のページ
著者プロフィール
アイピーロックス ジャパン株式会社 マーケティング本部長
渡辺 良一
これまでに国内の自動車会社、米国系銀行においてデータベースシステムの開発と運用を経験。その後ERP、BPMツール、SOX法の監査支援ソフトの販売とサービスビジネスに従事した後、2005年11月にマーケティング本部長としてアイピーロックス ジャパンに入社、現在に至る。
http://www.iplocks.co.jp
INDEX
第1回:データベースセキュリティによる内部統制の構築
情報セキュリティの変遷とデータベースセキュリティ
個人情報保護法とデータベースセキュリティ
内部統制の要求の高まりとデータベースセキュリティ
