監査ログ

個人情報の不正な持ち出しや改ざんが疑われたとき、誰がいつその記録に触れたのかを後から証明できなければ、責任の所在も被害の範囲も特定できない。監査ログは、ログイン・ログアウト、ファイルの閲覧や更新、権限の変更、管理者操作などの事象を時刻・利用者・対象・結果とともに記録し、事後の追跡を可能にする。住民記録システムや税システムのように要配慮個人情報を扱う基幹業務システムでは、職員による業務外の照会（いわゆる「のぞき見」）を抑止し、漏えい等が起きた際の調査の根拠とするため、操作ログの取得と定期的な点検が情報セキュリティポリシー上で義務付けられていることが多い。記録するだけでなく、改ざんされない形で保存し、一定期間保管し、定期的に点検して初めて意味を持つ点が、単なるシステムログとの違いである。

システムログとの違いと取得対象

監査ログは、機器の稼働状況や障害解析のために出力される一般のシステムログ（イベントログ・通信ログ）とは目的が異なる。システムログが「機械が正しく動いているか」を見るのに対し、監査ログは「人が情報資産に対して何をしたか」を後から検証するために取得する。自治体の基幹業務システムでは、住民情報の検索・閲覧・出力、宛名や課税情報の更新、利用者アカウントや権限の付与・変更、管理者によるデータベース直接操作などが主な取得対象になる。取得する事象には時刻・利用者ID・端末・対象データ・操作種別・成否を含め、誰が責任を負うかを一意に特定できるようにする。共有アカウントで運用すると操作を個人に帰属させられず監査ログの価値が失われるため、個人ごとのアカウント発行が前提となる。

点検・保全と「のぞき見」抑止

監査ログは取得しただけでは機能せず、改ざん・消去から守る保全と、定期的な点検があって初めて統制として働く。ログ自体を操作できる管理者が記録を書き換えれば証跡にならないため、ログサーバへの集約・書き込み専用化・アクセス権限の限定などで保全する。点検では、業務上の必要がない大量検索や、自分や知人の住民情報の照会といった不審な操作を抽出し、必要に応じて本人に事実確認を行う。職員に「操作は記録され点検される」と周知すること自体が、興味本位の照会を抑止する効果を持つ。漏えい等の事案が発生した際には、監査ログが被害範囲の特定と個人情報保護委員会への漏えい等報告の根拠資料になるため、保管期間はインシデント発覚までの時間差を見込んで設定する。