コンプライアンスのためのデータベース暗号化――事前の注意点は?必要ない機密情報は保有しない

セキュリティ侵害の通知に関する州法を施行している州に住む顧客の個人情報を保有している会社は、コンプライアンス対策を強化しておく必要がある。

2009年03月31日 07時30分 公開
[Kevin Beaver,TechTarget]

 コンプライアンス時代が本格的に到来している中、われわれが対応しなければならない法規制や業界基準は、HIPAA(医療保険の相互運用性と説明責任に関する法律)やPCI DSSといったものだけではないことを認識するのは重要だ。企業規模にかかわらず、企業の多くは現在、セキュリティ侵害の通知に関する州法の適用も受けることになる。現時点で米国45州がこうした法律を施行しており、連邦法の制定を目指す取り組みも行われている。つまり、この45州のいずれかに住んでいる人の個人情報をMicrosoft SQL Serverシステムに保存する場合、あなたの会社はコンプライアンス対策を強化しておかなければならないかもしれない。

 不思議なことに、わたしの見たところでは、この州法を知らない人が多い。金融や医療などの業種向けの連邦プライバシー法や連邦情報セキュリティ法とは異なり、州の侵害通知法は、暗号化されていない個人情報に焦点を当てている。この侵害通知法では、セキュリティ侵害の発生が確認された場合や疑われる場合、個人情報が暗号化されていないと、被害に遭った可能性があると見なされる。

 この場合、これらの法律では通常、企業は侵害の被害を受けた、あるいは受けた可能性がある人全員に通知を行うことを義務付けられている。通知状を大量に郵送するコストを考慮することで、初めて大ごとと思えるかもしれない。実際、管理コストを計算に入れないとしても、現在の郵便料金では、比較的少数の人に郵送するだけでも数千ドル掛かる。これではほぼ間違いなく、あらかじめ機密情報を暗号化した場合に掛かる費用より高くついてしまう。

 では、このことをデータベースとSQL Serverのセキュリティ要件にどのように加味するのか。Webで提供されているアドバイスの大部分では(大抵の場合、どのような作業が必要になるかには触れずに)、「個人情報を暗号化する」ことが勧められている。もちろん、暗号化はそれほど簡単なことではないが、手間を嫌って避けて通るわけにもいかない。実際、法律は法律であり、企業はその順守に向けて何をすべきかをしっかり把握しなければならない。そのためには、あなたの会社のデータベースに保存されている個人情報を洗い出し、どの州(地域)にかかわっているかを調べ、各州の法律の要件を分析することが必要になる。

 DBA(データベース管理者)やネットワーク管理者は一般に、コンプライアンスの責任を直接負っていない。それでも、誰がコンプライアンス業務の責任者であるかにかかわらず、最終的にはこれらの担当者がこの問題に対応することになる可能性が高い。このことを頭に入れておこう。実際、経営幹部に手回しの良さをアピールし、この問題への対応に関する裁量を任せてもらえるように、今すぐに取り組みを始めるのが得策かもしれない。この問題への45州のアプローチはそれぞれ少しずつ異なっている(データ型、暗号化方法、暗号鍵のセキュリティなどの点で)ため、できるだけ早い段階からしかるべき人にかかわってもらうのが賢明だ。わたしならまず会社のコンプライアンス責任者や弁護士に頼むだろう。

 もっとも、個人情報を暗号化することは法律上の義務ではない。ただし、暗号化しないことを選択する場合には、侵害通知の手続きや関連費用の準備が必要であり、ほかにも処分を課される場合はそれにも備えなければならない。情報セキュリティにかかわることには必ずトレードオフがある。従って、暗号化するかどうかの選択はビジネス上の判断であり、主要な関係者によって行われなければならない。こうした関係者の意見を集約し、合理的な決断を下す必要がある。

 SQL Server 2005の暗号化機能やSQL Server 2008の強化されたセキュリティ管理機能でも、州の侵害通知法の要件を満たすのはかなりの難題だ。確かに、DBAはフィールドやデータベース全体をファイルレベルで暗号化できる。しかし、それは決して容易なことではなく、既存システムの場合はなおさらだ。紙ベースで仕事をしているであろう経営者や監査人は、残念ながら、機密の個人情報をその保存場所にかかわらず、すべて暗号化することがいかに大変でも、意に介さないだろう。

 わたしは、「必要がない限り、機密情報は保存しない」という考え方を信奉しているが、保存の必要があるのか疑わしい情報をしょっちゅう見掛ける。そこで確認すると、典型的な答えは、「その情報を持っているとは知らなかった」や「その情報はもう必要ない」というものだ。なので、まず手始めに、保存の必要があるのかを明確にするという観点から、個人情報の洗い出しに取り掛かってみよう。あなたの会社でどのような個人情報が保存されているかが把握できれば、その一部、あるいは大部分は保持する必要がないということが分かるかもしれない。そこを出発点にしよう。

 あなたの会社がさまざまな州の住民の個人情報を保持していかなければならないことが分かった場合、経営陣がビジネスリスクを回避したいと考えているのであれば、少なくともあなたは新しいプロジェクトを進めることになる。後は奮闘あるのみだ。

本稿筆者のケビン・ビーバー氏は、米アトランタにあるPrinciple Logicを経営する独立系情報セキュリティコンサルタントで、執筆、講演も手掛ける。情報セキュリティに関する7冊の著書および共著書がある。

ITmedia マーケティング新着記事

news038.jpg

生活者の生成AI利用動向 10代後半はすでに5割近くが経験――リクルート調査
テキスト型生成AIサービスの利用経験者の割合は若い年代ほど高く、特に10代後半はすでに5...

news108.jpg

今度の「TikTok禁止」はこれまでとどう違う?
米国ではまたしてもTikTok禁止措置が議論されている。これまでは結局実現に至らなかった...