Oracle Database 10g： プライバシーの取り扱い

セキュリティ管理と識別管理
Oracle Database 10g: プライバシーの取り扱い
Kristy Browder Edwards, Oracle Corporation
概要
組織が顧客から個人情報を収集する場合、その組織はそのデータのプライバシーを保護する責任があります。
プライバシー保護は、ソフトウェア購入者にとっては購入を決める基準の 1 つであり、IT 製品の購入先のベンダーにとっ
ては製品の差別化となる要素になりつつあります。プライバシーは、もはや単なる準拠要件ではなく、重要なビジネス要
素となっています。
はじめに
組織が個人情報をどのように使用、管理および配布するかは、顧客がその組織に対する信頼度を判断する 1 つの基準とな
ります。個人を特定できる情報を委託された組織は、その組織の収集したデータの秘密保持の重要性を見過ごすことはで
きません。さらに複雑な問題として、その組織の提携先組織が規制を順守するかということも組織の業務に影響を与えま
す。
信頼性の高いプライバシー保護は、無視できない問題です。安全性の高いソフトウェア、その適正な実装、そして慎重な
プライバシー・ポリシーが適切に連携することによって、組織のユーザー、従業員および顧客の個人データを保護する機
能が得られます。
プライバシーの重要性
オラクル社のようなベンダーは、プライバシー保護を調査し、製品を出荷するにあたって、顧客がその製品を実装するこ
とにより、広範なデータを安全に保持できるようにする必要があります。オラクル社の顧客（Oracle ソフトウェアを購入
し、稼動する企業や個人）は、その顧客の個人情報の秘密を保持するため、必要な処置を実施する必要があります。
また、ビジネス・パートナは互いに相手のプライバシー・ポリシーおよびその施行状況をチェックする必要があります。
プライバシーとセキュリティ
議論の開始にあたって、まず関連する用語を定義しましょう。プライバシー用語では、自己の個人情報が問題となる個人
または顧客をデータ主体と呼んでいます。一方、その情報に対して支配権または管理権を行使する側のサービス提供者は、
データ管理者と呼ばれています。IT 企業などのデータ処理者は、単に管理者の指示に従って、データに対して一定の技
術的測定や処理を実行するだけです。
個人に関して収集されたデータで、その個人を特定できるもの、あるいは個人の身元と関連できるものを個人情報（PII）
と呼びますが、PII は侵害の恐れのある重要なデータです。個人データを収集するすべての組織はプライバシー・ポリシー
を作成する必要があり、その中で収集される情報の種類、情報の使用目的と使用方法、およびその情報を共有する対象が
開示されます。プライバシー・ポリシーは、あらかじめプライバシーの取り扱いの現況について慎重に調査しなければ作
成できません。
Oracle Database 10g: プライバシーの取り扱い
1
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
プライバシー・ポリシーでは、その実情に応じて顧客に「オプトイン」または「オプトアウト」の選択権を与える場合が
あります。オプトイン方式では顧客がデータ収集またはデータの一定の利用に参加する、しないを自ら通知できるのに対
し、オプトアウト方式では参加を取り消すためには顧客が必要な処置を取らなければなりません。最も重要なことは、プ
ライバシーとセキュリティは互いに密接な関係があり、同義ではないものの、この 2 つを導入する場合、相互に補完的、
補強的になるようにすることができる点です。
プライバシーには、個人情報の使用に対するデータ主体の権利、選択および管理がかかわっています。
データ主体は、自己の情報がどのように利用されるかを通知され、データへのアクセス要求の許可、誤情報の修正請求権、
およびデータ管理者がその情報を適切に保護する保証が与えられる必要があります。
そのような保護には、適切なセキュリティ対策が使用されることが含まれます。
セキュリティとは、データに対して無許可アクセスされないように保護することです。その主たる原則は、データの機密
保護、整合性および可用性にあります。セキュリティには、ユーザーの本人確認、システムへの無許可アクセスの防止、
対象データ受領者への（そして対象受領者に限られた）データ可用性の保持、データ損傷の防止と有効性の確保、および
ユーザーのアカウンタビリティの保持が伴います。しかし、セキュリティの範囲はもっと広く、PII の保護以上の役割が
あります。また、プライバシー保護にセキュリティは必要ですが、セキュリティだけでは、プライバシー施策は十分とは
言えません。
両者の定義を簡単に説明すると、次のようになります。
•
プライバシー: データ主体が、個人データの使用、収集および共有に関する条件を選択し、データ管理者は所定
の目的にその情報を利用し、データ主体の情報を保護すること。
•
セキュリティ: データの機密保護、整合性、可用性を基本とし、無許可アクセスされないようにデータを保護す
ること。
プライバシーとセキュリティの関係はどうなっているでしょうか。情報のセキュリティは、プライバシーにとって必須の
構成要素ですが、同時にプライバシーには個人記録に対するポリシー、使用法、およびアクセスも基本的な要素として含
まれます。セキュリティとプライバシーには、明確な差異があると同時に重なりあう部分もあります。
セキュリティはプライバシーがなくても存在しえますが、セキュリティなくしてプライバシーはありえません。
厳格なユーザー認証、128 ビットの暗号化、強化されたオペレーティング・システム、および適所に適切な人的、物理的
セキュリティを配備した最高のセキュリティ・ソリューションを実装する金融機関を想定してみます。このように厳格な
セキュリティ管理があるにもかかわらず、この機関は顧客が自分の情報が正しく管理されていることを確認するためにそ
の情報にアクセスすることを認めず、その一方で顧客に通知することもなく第三者にその個人情報にアクセスすることを
認めているとします。このような実装機関は、適切なセキュリティを実装しているとは言えますが、十分なプライバシー
保護と順守を欠いています。
一方、真のプライバシーは、十分なセキュリティの採用なしには存在しえません。あらゆる方針決定に個人プライバシー
の問題を誠実に考慮するインターネット・サービス・プロバイダ（ISP）があるとします。このプロバイダは、ユーザー
の個人データを第三者と共有したり、販売することはまったくありません。さらに、無許可ユーザーが顧客レコードにア
クセスすることを厳格に禁止しています。この ISP は、エンド・ユーザーに自分の情報を確認し、いつでも修正すること
を認めています。しかし、このような保護対策がいくらあっても、ユーザーの個人データ資産を保護するために必要なセ
キュリティ機構を購入し、配備しなければ、この ISP は十分なプライバシー保護を達成しているとは言えません。
Oracle Database 10g: プライバシーの取り扱い
2
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
本文では、そのようなセキュリティ機構のいくつかを調べ、そのプライバシーへの応用を考察します。この論文では、ま
ず、我々のプライバシーを保護する規制、提唱および法律を見ていくこととします。これは、組織およびそのパートナが
その下で営業展開している地域および国際的な取り決めを理解することなくしてユーザーの PII を保護することはできな
いからです。次に、IT 業界が、標準規格の提起、第三者によるサービス、そして最後にソフトウェア・ソリューション
を通じてどのようにプライバシーに取り組んでいるかを詳しく説明します。
そうしたソフトウェア・ソリューションによって、その購入者および実装者はそれに見合うプライバシー保護対策を備え、
適切な PII の取り扱いを行えるようになります。
プライバシー規制
プライバシー規制は新しいものではありません。プライバシーに関する最初の法制化および規制が世界中の国々で制定さ
れたのは、デジタル時代、そしてインターネットが爆発的に普及するはるか以前のことです。プライバシーに対する権利
は、アジアから北アメリカ、ヨーロッパから南アメリカにいたる多くの国々で憲法によって規定されています。
プライバシーに関する法律は、1960 年代初頭に世界中でプライバシーに特定した新法が生まれたときにまでさかのぼる
ことができます。
米国の法規制
連邦規制
米国で連邦法による重要なプライバシー規制が登場しはじめたのは、1970 年代、特に 1974 年のプライバシー法が有名で
す。この法律は、米国内の個人に関する記録を保護するものです。学生の教育記録のプライバシーを保護する「家族の教
育上の権利およびプライバシー法（FERPA）」も同年に制定されました。「公正信用報告法（FCRA）」は、1970 年に制
定され、1996 年に拡大修正されました。FCRA は、個人の信用度に関する情報のプライバシー保護を対象としており、
関連する企業の責任を規定しています。これらの 3 つの法律はすべて、現代の企業および組織に対して、政府、従来型企
業、E-Commerce 企業を問わず適用されます。
デジタル時代の到来により、コンピュータ・プライバシー法が出現しました。国立標準技術研究所（NIST）による
1987 年のコンピュータ・セキュリティ法は「慎重な取り扱いを要するが未分類のデータ」に対する規制を定めたもので
あり、米国で大きな影響を与えたコンピュータ・セキュリティないしプライバシーに関する規制の先駆けの 1 つとなりま
した。1998 年の「児童オンライン・プライバシー保護法（COPPA）」では、Web サイトで児童の個人データを収集する
前に検証可能な親の同意が必要である、と規定しています。また、同じ 1998 年に、連邦取引委員（FTC）は、Web 上の
消費者プライバシーを保護することに主眼を置いた報告書を議会に提出しました。1
この FTC 報告書は、次のようなプ
ライバシー基本原則を提起しているため、プライバシー問題ではしばしば引き合いに出されます。
•
•
通知 − データ収集者は、消費者に情報利用について通知しなければならない
選択 − 消費者は、個人情報が当初の収集以外の目的に使用される場合、その個人情報がどのように使用される
か選択する権利がある
•
アクセス − 消費者は、自分に関して収集されたデータの正確さを参照でき、不正確な情報を修正変更する管理
権を持つ
1
http://www.ftc.gov/privacy/
Oracle Database 10g: プライバシーの取り扱い
3
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
•
セキュリティ − データ収集者はデータの正確さおよびセキュリティを確保するための適切な処置を行うことと
する
これら 4 つの原則は、プライバシーに関してよく引用されます。これらの原則は、「医療保険の相互運用性と説明責任に
関する法律（HIPAA）」およびグラム・リーチ・ブライリ法など、今日の最も重要な規制に影響を与えています。
過去 1 年、発議されたデジタル・プライバシー法は多くの数に上っています。この論文を書いている現在も、いくつもの
法案や規制が世界中の政府機関に上程されています。米国だけでも、多くの法案が地方、州および連邦の立法手続きに付
せられています。たとえば、現在、下院で審議中の電子プライバシー法では、「適切な表示または通知、および同意のな
い情報収集装置」の使用と配布を禁止しています。2 2001 年のオンライン・プライバシー保護法も下院で審議中ですが、
これは個人情報のプライバシー保護を中心とする法案です。カリフォルニアの金融プライバシー法案も、米国内の州レベ
ルで審議中の法案の 1 つです。同様に、地方自治体でも住民を保護する条例を作成しています。
州の規制
連邦法とは別に、各州でも数多くのプライバシー関連法が制定されています。今日に至る多数のプライバシー法案は、迷
惑メールや個人情報の盗難に関するものですが、金融や医療情報に関するより特定化された法案も通過しています。
これらのプライバシー関連法は、どのように情報の安全を確保しなければならないか、誰にどのように情報を渡すことが
でき、それはどのような条件、どのような許可が必要かを示唆しています。法の順守の観点から考えると、これらの法に
よって関係する要素や司法管轄が増え、さらに個人と場所との関係の問題を生み出し、問題の解決は複雑さを増してきま
した。これだけ多くの商品が電子的に配布される現代の世界においては、法を順守するために個人の場所を特定すること
は困難を極めます。しかし、プライバシー法を制定する各州では、連邦レベルのプライバシー規則と同様にそれぞれの住
民を保護しようと努力しています。
カリフォルニア上院法案 1386
カリフォルニア上院法案 1386（2003 年 7 月 1 日施行）は、個人情報を盗難から保護するため、個人データを適切な保護
下に置くものです。この法では、PII に対する侵害があった場合、組織および個人はそれを通知しなければならないと規
定しています。この法は、カリフォルニア住民に関する個人情報を保有するあらゆる企業または個人に適用されます。
他の規制では、多くの場合特定の業界に適用されるだけですが、この法案は業界や部門を超えて施行されています。
上院法案 1386 では、特に、カリフォルニア住民について、暗号化されていない情報が、侵害される恐れがあると思われ
るようなセキュリティ侵害があった場合、組織はこれを開示することを義務付けています。セキュリティ侵害とは、個人
名と、それに加えて暗号化されていない社会保障番号、運転免許証番号、口座番号、クレジット・カードまたはデビット・
カード番号などの個人に関するデータ、さらに個人識別番号（PIN）などのアクセス情報に対する電子的アクセスと定義
されています。この法は、必要な暗号化の標準を定めてはいませんが、消費者に情報侵害の通知を怠った組織は責任を問
われると規定しています。
2
http://www.epic.org/privacy/bill_track.html
Oracle Database 10g: プライバシーの取り扱い
4
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
国際的な規制
米国外に目を向けると、プライバシーに関してより厳しい規制措置が歴史的に取られています。世界のさまざまな国で、
プライバシー権は、基本的人権の 1 つとして保障されています。さらに最近になると、ヨーロッパ諸国の多くで、
1970 年代に近代的なプライバシー法が制定されはじめました。国連でも、個人情報の保護に関する法的文書を策定して
います。シンガポール、香港、中東その他のアジア諸国では、電子的情報および非電子的情報に関するプライバシー保護
を法制化しています。同様に、オーストラリア、南アメリカおよび北アメリカの諸国でも、法制化により市民のプライバ
シーを保護しています。
1980 年、経済協力開発機構（OECD）では、データおよび国境を越えるデータ・フローの保護に関するガイドラインを
発表しましたが、これは国際的なプライバシーに関するコンセンサスの明確な声明として、多くの人々に認められていま
す。1981 年、欧州評議会は個人データの保護を定める協定を作成しました。さらに、広範なプライバシー規制を定めた
欧州委員会のデータ保護指令が 1998 年から施行されています。3
この先進的なプライバシー保護策では、EU 住民の個人データの欧州内外における保護を提供しています。
EU 住民の PII が十分に保護されることを保証するため、EU では EU 住民の PII を入手する側の国々のプライバシー保護
が十分かどうかを漸次評価しています。現段階では、ハンガリー、カナダ、スイスおよびアルゼンチンの法規制が「十分」
と認められています。米国の法規制は十分と認められませんでしたが、オラクル社のような企業では「セーフ・ハーバー
（安全港）」と呼ばれる一連の原則に準拠することで自らの適切性を証明し、これらの企業も十分であると認められまし
た。
3 つの重要な規制
セーフ・ハーバー協定
セーフ・ハーバー協定は、プライバシー保護を EU 住民に合わせて拡張したものです。セーフ・ハーバー協定は、他に
EU 指令に準拠する方法がない米国に EU から PII を移転できる条件を規定しています。セーフ・ハーバーの主要要素の
1 つに、情報の再移転があります。4
情報の再移転は、EU 住民の個人データの所有者だけでなく、所有者がそのデータ
を第三者に公表する行為をも規制する点で、注目に値します。国際的な立法としては、たとえば、24 時間年中無休のサー
ビスを提供するグローバル企業のクライアント・アカウント・サービスで関わってくる多数の司法管轄のように、複数の
司法管轄にわたる情報の移転および再移転に対処することに重点が置かれています。
セーフ・ハーバーの基本原則は、通知、選択、第三者への移転、個人（データ主体）によるアクセス、および個人データ
を収集する組織によるセキュリティ対策です。また、この基本原則では、データの整合性（情報の有効性）および強制力
（対抗手段の提供）について規定しています。5
興味深いことに、セーフ・ハーバー規定の適用は、単発のデータ共有に
限られています。すなわち、EU と米国機関との間のセーフ・ハーバー協定は、その米国組織が、適切な契約条項ないし
データ主体の合意のない南米のパートナと情報共有することを必ずしも認めるものではありません。こうした制限のため、
ヨーロッパにおける個人のプライバシー保護は広範に及んでいます。
3
4
5
http://europa.eu.int/comm/internal_market/en/dataprot/
http://www.export.gov/safeharbor/
http://www.export.gov/safeharbor/sh_overview.html
Oracle Database 10g: プライバシーの取り扱い
5
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
HIPAA 法
1996 年の「医療保険の相互携行性と説明責任に関する法律（HIPAA）」は、2003 年 4 月が準拠期限となっている米国法
です。この法律の対象は、プライバシーをはるかに超える内容になっており、基本的に医療機関とそのパートナ間の情報
移転の管理コストと負担を軽減することを目的にしています。HIPAA には、プライバシーに関する規則とセキュリティ
に関する規則の 2 つの独立した規則があります。プライバシー規則は、個人の特定が可能な医療情報のプライバシー保護
の規準に関するもので 2000 年 12 月に HIPAA に追加されました。この追加条項により、医療記録にアクセスし、その使
用を制限する権利が患者に与えられ、医療サービス機関に対する PII 保護負担が設けられました。
HIPAA 法は、複雑で広い範囲の分野に及びます。この法律には、直接の医療サービス提供者や医療経費支払い機関
（保険会社など）から、医療関連機関と取引を行う組織などの多くの業種と組織が関係しています。さらに、この法律は、
直接または業務提携条項などを通じて、医療機関ではないインターネット・サービス・プロバイダ（ISP）やアプリケー
ション・サービス・プロバイダ（ASP）などの技術供与パートナ、金融機関、および医療機関と業務関係にある他のあら
ゆる組織に適用されます。
HIPAA 法が、さまざまな業界の国際規制の高まりの中で特に独自性が強いのは、そのセキュリティ規定にあります。
HIPAA 法では、以下のようなセキュリティ要件を提起しています。
•
ポリシーと管理プロセス: 文書情報セキュリティ対策による患者の個人データを保護する。
•
物理的保護対策: 建物やコンピュータ・システムを火事や不法侵入の脅威から保護する。
•
技術的データ・セキュリティ・プロセス: 個人データに対するアクセスを保護、制限、監視する。
•
技術的セキュリティ対策: ネットワーク上のデータに対する無許可アクセスから保護する。
これらのセキュリティ対策では、他のプライバシー規制よりもはるかに具体的なデジタル・セキュリティ要件が示されて
います。
しかし、その一方で HIPAA 法では、データ収集者（または、パートナ）が実装するべき特定の技術または標準を規定し
ているわけではありません。順守する必要がある具体的なポリシーやプロセスを規定しているわけでもありません。
適切な設備や製品を選択、購入、実装、構成および保守する責任は、患者の個人データを収集または使用する組織側に求
められています。
グラム・リーチ・ブライリ法
金融機関の場合、一部の金融機関が準拠を義務付けられている HIPAA 法に加えて、順守するべき独自の法律があります。
1999 年のグラム・リーチ・ブライリ法（GLBA）にも、プライバシーおよびセキュリティ条項があり、この GLBA 法は、
2000 年後半から施行されています。この法律に従い、銀行、保険会社および証券会社は、一定の条件のもとで提携を結
ぶことができますが、この法律には多くのプライバシーおよび情報開示条項が規定されています。6
消費者は、銀行がダイレクト・メールやパンフレットでその銀行のプライバシーおよび情報共有ポリシーを説明している
ので、おそらくこのプライバシー法のことを知っていることと思われます。
この法律では、金融機関は顧客との関係を構築するにあたって、消費者と顧客に関するプライバシー・ポリシーを開示し、
以後、毎年改めてポリシー開示を行うこと、と規定しています。データ収集者は、収集するデータの種類、データの共有
相手（組織および個人）、現在および過去の顧客に関する情報の共有に関する内容を記述することになっています。
セーフ・ハーバー協定と同様、個人情報を入手する第三者もデータ収集者と同様の開示制限が適用されます。最後に、金
融機関は、非提携の第三者と情報を共有する場合、事前に消費者に自己の情報を共有することに関する「オプトアウト」
6
http://www.senate.gov/~banking/conf/ および http://www.epic.org/privacy/glba
Oracle Database 10g: プライバシーの取り扱い
6
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
の権利を与えなければなりません。他の地域的、業界特定の規制と同様、この法律でも特定の製品の使用ないし特定の
IT セキュリティ規格を実装することは規定していません。
諸規制のまとめ
上記の電子的プライバシー保護規制は、それぞれ共通の通知、選択およびセキュリティという主要素で構成されています。
また、特定の製品、セキュリティ対策または業界標準の採用を強制していない点も共通しています。
プライバシー認定、標準および製品
現在、プライバシーに関する標準規格を策定する作業が進められており、また同時に、独立した組織が Web サイトに対
する「プライバシー認定」を提供するようになりました。
プライバシー認定
主として自社のプライバシー対策の独立した指標を得たいと考える Web サイト製作者を対象に、プライバシー認定を
出す目的の独立した企業が出現しています。この第三者企業は、サイトのプライバシー告知をあらかじめ妥当とされた
標準に照らしてチェックし、その告知が適切に施行されていることを検証します。そのサイトがプライバシー認定条件に
適合している場合、そのサイトは認定会社のプライバシー標章を Web サイト・ページに表示できます。
消費者は、このプライバシー標章をその企業と取引を行うかどうかの判断基準にすることができます。
TRUSTe および BBB Online が最も広く認められた標章です。
オラクル社のプライバシー・ポリシーは TRUSTe の調査を受け、同社のセーフ・ハーバー標章を受けています。
オラクル社は、セーフ・ハーバーに認定された企業の 1 つとして商務省にリストアップされています。
プライバシー標準案の提唱
Platform for Privacy Preferences - P3P
最も広く知られている標準案は、W3C（World Wide Web Consortium）が策定した P3P（Platform for Privacy Preferences）
標準案で、これによって消費者は自己の個人データをサイトに公表する場合の条件を多くのオプションから選択すること
ができます。P3P のユーザー・エージェントは、ブラウザ、ブラウザ・プラグインまたはプロキシ・サーバーに組み込む
ことができます。この標準規格によって、ユーザーはサイトのプライバシー・ポリシーを、情報収集を許可するかどうか
決める判断手段にすることができます。ソフトウェア・エージェントは、プライバシー・プロファイルのメニューからユー
ザーが選択した設定と、通知、選択および使用など基本的なプライバシーの開示に関する合意文章のメニューから選択さ
れたテキストによる企業側のポリシーとを比較します。
P3P では、収集された個人情報の目的、受領者、タイプおよびカテゴリを定義する XML（Extensible Markup Language）
Schema を提供しています。P3P 規格には、必須要素とオプション要素があります。オプション要素は、特定タイプのデー
タ収集について、ユーザーに「オプトイン」または「オプトアウト」する権利を与えます。オプトインは、参加するとき
にユーザーが参加手続きをすることを示し、オプトアウトでは参加を取り消すときにユーザーが取り消し手続きを取らな
ければならないことを示しています。P3P は、個人のプライバシーを保護しながら、ユーザーが指定した範囲内で個人情
報を交換できるようにするために設計されたプラットフォームです。
Oracle Database 10g: プライバシーの取り扱い
7
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
CPEX
CPEX（Customer Profile Exchange）仕様は、企業が使用する顧客またはビジネス・パートナのプロファイルを定義します。
CPEX では、プライバシー管理とプロファイル情報のサブセットを組み合わせます。プロファイル情報に関する問合せ、
配信および更新ができ、データ表現には XML が使用されます。この仕様は、また別のプライバシー・モデルを表すもの
で、その支持者はこれをさまざまな業界で注目を集めるようにしたいと考えています。
プライバシー強化技術とアノニマイザ
プライバシー強化技術（PET）は、プライバシーを主たる目的とした技術製品です。Oracle データベースは、その主要機
能がプライバシーでないため、PET という分類にはなっていませんが、最新鋭のプライバシー機能を備えた、プライバシー
保護を容易にするツールです。
アノニマイザは、PII を取り外す、または特定個人に関連する実際の個人情報に代えて偽の情報を提供するための製品で
す。アノニマイザは、それ自体が PII を集積する機能を持っていますので、取り扱いには一定の注意が必要です。
アノニマイザを使用すれば、ユーザーは、プライバシー保護に関する信頼の対象を、自分の個人データの小セグメントを
収集する多くのさまざまな Web サイトから、大幅に集積された PII を保護するジョブを担う 1 つのアノニマイザへと移
すことができます。
まとめ
これまでは、プライバシー標準はあまり注目を集めることはなく、プライバシー認定のほうが主流になっています。
業界標準を使用して特定業種でプライバシー保護を確立することの難しさの 1 つは、プライバシーが、標準に準拠して安
全な製品を使うこともさることながら、管理運営ポリシーとその手続きに大きく依存していることが挙げられます。
ビジネス・モデルの標準化が困難なのです。組織のポリシーはさまざまでしょうが、オラクル社および組織が選択するす
べてのベンダーは、プライバシー保護を確立するためのツールを提供するべく努力する必要があります。
プライバシーにおけるオラクル社の役割
ベンダーは、プライバシー対応の製品を販売することができるでしょうか。Oracle Database 10g のようなソフトウェア製
品は、プライバシーに対してどのような役割を果たしているのでしょうか。プライバシーに関心が高いデータ収集者は、
IT 製品を購買するときに何を決め手にしているのでしょうか。セキュリティのほうが先に確立したためか、プライバシー
についてもセキュリティがその役割を担っており、プライバシーは全体的な製品機能には含まれていません。プライバ
シー保護には、安全な製品、適切な実装、そしてデータ収集者が従う適切なポリシーと手続きがすべて組み合わされる必
要があります。
単独で個人データを保護できるような製品はなく、IT 製品の購入者は、ハードウェア、オペレーティング・システム、
その他のアプリケーションおよび基盤製品がどのように配備されるかも考慮することなくしては、特定のソフトウェア製
品を選択できません。そうしたことと併せて、IT 製品の購入者（ソフトウェア実装者）は購入する製品で提供されてい
る、プライバシー対応ソリューションを考慮するわけです。ソフトウェア実装者が自社の顧客のプライバシーを保護する
ことは実装者自身の責任ですから、オラクル社では、オラクル社の顧客のプライバシー責任をサポートする機能とソ
リューションを開発しています。
Oracle Database 10g: プライバシーの取り扱い
8
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
オラクル社は、プライバシーの分野で指導的な役割を担っています。この優位性は、効果的な製品戦略、国際的に認めら
れたセキュリティ評価を受けたこと、および他のどのベンダーにも追随を許さない製品ソリューションをすべて統合した
結果によるものです。オラクル社の顧客は、自社の顧客、ユーザーおよびパートナのユーザーの個人情報保護に Oracle
セキュリティ・ソリューションを自社の実装システムで利用することができます。
Oracle Database 10g のプライバシー戦略
プライバシーはセキュリティなくしてはありえません。実装担当者は、配備する製品の選択を誤ると、業界の規制に準拠
し、自社のプライバシー・ポリシーを順守することができなくなります。プライバシーには、安全な基盤（それだけでは
不十分ですが）が必要です。安全が証明されているソフトウェアを配備すれば、事業の成功とプライバシーを配慮した事
業展開が約束されたことになります。
安全なソリューションによって、プライバシー本位のシステム実装が実現します。オラクル社の顧客は、何を根拠にプラ
イバシーに関して Oracle データベースが信頼できると判断できるのでしょうか。
1.
安全性の保証。独立した複数のセキュリティ評価によって支持された、検証可能な安全性の高い製品により、
プライバシー本位のシステム配備を実現できます。
2.
データ中心のセキュリティ。安全なソフトウェアを開発するためのオラクル社の戦略的方法は、迂回の不可能な
セキュリティをデータベースに構築することを基本としています。そのセキュリティ・メカニズムは、適切なユー
ザーにアクセス権を与える一方でハッカーその他の無許可ユーザーを侵入させないように設計され、テストが重
ねられています。
3.
安全なソリューション。オラクル社の先進的なセキュリティ機能とソリューションにより、プライバシー本位の
実装が実現します。
4.
列レベルのデータ管理。個人データは、データベース表の列内にグループ化されます。Oracle データベースでは、
これらの列に保管された PII を保護するため列に対する保護を導入しています。
それでは次に、最初の 2 つの戦略方針を詳細に調べ、次に後の 2 つのポイントを精査することとします。そうすることに
よって、プライバシー本位のシステム実装を実現するセキュリティ機能とソリューションの概略が理解されると思われま
す。
安全性の保証
競合するベンダーが対立するセキュリティ機能を主張している場合、何を基準にその主張を検証すればよいでしょうか。
ベンダーが主張するセキュリティ機能は、国際的に確立した基準に照らした独立した評価によって保証されることになり
ます。
セキュリティ評価は、独立した公認の組織によって実施されます。一部の評価は、業界標準になっており、国際共通基準
は ISO-15408 です。評価手続きは、その開始から証明書の交付まで、丸 1 年かかることも珍しくありません。
評価機関は、ソフトウェアの設計とコードを調べるだけでなく、工程面、すなわち、開発、テストおよび生産方法も考慮
します。高い保証レベルの評価を受けた組織は、厳しい評価手続きを経た結果、コーディング、テスト工程およびソフト
ウェアないしハードウェア製品を向上させることができます。
Oracle Database 10g: プライバシーの取り扱い
9
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
独立した評価から得られた製品保証は、セキュリティがプライバシーの基本であるのと同様、製品セキュリティの基本で
す。セキュリティおよびプライバシーに関するオラクル社の戦略に密接に結びついているのが、独立したセキュリティ評
価を受けることです。Oracle データベースは、15 にも及ぶ独立したデータ・サーバー・ソフトウェアのセキュリティ評
価の上に構築されています。それらの評価のうちの 9 つで、Oracle データベースのセキュリティが検査されましたが、最
初の評価が完了したのは 8 年前、1994 年のことでした。7
他のデータベース・ベンダーで、評価の数が Oracle 製品の受
けた数に匹敵するベンダーは皆無です。また、そうした評価の背後で注がれた長年にわたる努力を訴えることができるベ
ンダーもありません。
2002 年 7 月に施行された「国家安全保障電気通信情報システムのセキュリティ・ポリシー第 11 条（NSTISSP）」では、
基本的に、国家安全保障にかかわるすべてのシステムは FIPS-140 認定や「共通基準（CC）」評価などの独立した保証基
準を必要するとしています。米連邦政府では、最も機密を要するアプリケーションに対してこのような保証基準を要求し
ています。このセキュリティ評価に対する米国政府の要件では、評価の重要性を強調しています。オラクル社は、国家安
全保障にかかわるデータのセキュリティ保護では高い評価を得ており、これはユーザーの機密情報保護に対しても同様に
当てはまります。
評価を受けていないベンダーの場合、製品のセキュリティ実装を客観的に保証することができません。評価は、確立した
基準に照らしてセキュリティ機能が適切に実装されているかどうかを示す独立した証明となるため、ベンダーがセキュリ
ティ実装を主張する資格を与える最も効果的な方法と言えるでしょう。証明されていないデータベース製品を顧客が選択
するということは、基本的なプライバシー原則、すなわち製品のセキュリティを満たしていないシステム配備による損害
を潜在的にこうむる可能性がある、ということになります。
データベース強化セキュリティ
オラクル社、あるいはどのようなデータベース・ベンダーにとっても、データベース自体をしっかり保護することなく、
貴重な情報を適切に保護するようなソフトウェアを設計するのは難しいことでしょう。最も重要な組織データはデータ
ベースに保持されているわけですから、このリポジトリを保護することは非常に重要です。保護しようとしている製品の
外側にセキュリティを実装するという考えは、銀行を守るのに、内部の金庫に鍵を掛けずに玄関にだけ鍵をかけるような
ものです。銀行が金庫の安全を確保するのは、保護対象の現金が金庫にあるためです。銀行は、セキュリティ機構を何層
にも重ねて設置しますが、最も厳重に保護するのは現金そのものです。同様に、データについてもそのデータが保管され
ている場所で、データそのものに対して最も厳重な保護対策を講じる必要があります。保護対策を追加して使用する必要
もあるでしょう。しかし、データベース内のデータを保護しないことには話にもなりません。
オラクル社では、データそのものをデータが保管されている場所、すなわちデータベース内で保護します。オラクル社で
は、他のどのベンダーよりも細かいレベルでデータを保護します。Oracle データベースでは、ユーザー認証から権限管理
および行レベル・アクセス制御まで、さまざまなセキュリティ機能を提供しており、顧客はそれらの機能を利用してプラ
イバシー対応のシステム配備を実現できます。
7
Oracle RDBMS は、以下の評価を受け、審査が完了しています。
共通基準 - （CC）3 つの RDBMS がレベル EAL4 の評価を完了
ITSEC - 3 つの RDBMS がレベル E3/F-C2 の評価を完了
TCSEC - 1 つの RDBMS が C2 レベルの評価を完了
ロシア - 1 つの RDBMS がレベル IV の評価を完了
ロシア - 1 つの RDBMS がレベル III の評価を完了
Oracle Database 10g: プライバシーの取り扱い
10
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
ハッカー、および内部従業員やユーザーによる不正の恐れは、データ・プライバシーに対する大きな脅威となっています。
アプリケーションをハッキングする、またはデータに対して無許可アクセスを行おうとする者は、PII にもアクセスする
可能性があります。したがって、プライバシーに対応した企業では、セキュリティが組み込まれたソフトウェア、できれ
ばさらにセキュリティ実装が独立した証明によって保証されたソフトウェアを配備することが不可欠です。
オラクル社の競合他社の多くは、データベース自体には本格的なセキュリティを組み込んでいません。
この方式では、顧客データはアプリケーション・ベースのセキュリティを迂回してくるユーザーの攻撃に対して危険にさ
らされたままになります。業界では、セキュリティ市場におけるオラクル社の強みと高い評価が認知されており、オラク
ル社のプライバシー対応データベースは、顧客のプライバシー機能配備の中枢部を構成します。
列レベルのデータ管理
4 つめ、そして最後の戦略的側面は、最も標準的な記憶単位、すなわちデータベース表の列内にある個人データを保護す
る Oracle RDBMS の機能です。
リレーショナル・データベース内に PII が保管される構成を考えてみましょう。
「employee（従業員）」表が、employee_id（従業員 ID）、first_name（名）、last_name（姓）、department（部署）および
SSN（社会保障番号）から構成されているとします。 また、「customers（顧客）」表が、order_number（受注番号）、
customer_name（顧客名）、CCN（クレジット・カード番号）、expiration_date（有効期限日）、および order_date（受注
日）など 10 以上の列で構成されています。
規制に準拠するため、DBA またはセキュリティ管理者は、PII を含む列（employee_number、SSN、CCN、expiration_date
などが考えられます）に対して追加の制御を設定しようと考えます。さらに複雑になりますが、規制によっては、複数の
PII のフォームが同時にアクセスされた場合に特別な配慮が要求されます。したがって、顧客名だけでは特別な保護は不
要ですが、顧客名と対応する個人情報が組み合わされた場合には、追加制御や、暗号化、および警告機能などの保護が必
要になることがあります。
Oracle Database 10g では、列に保管されたデータを保護する数多くの機能が備えられています。そうした機能としては、
データベース・ビューとビューに対する行レベルのセキュリティ・ポリシー、列レベルの仮想プライベート・データベー
ス、列内の暗号化、および該当列に対するファイングレイン監査のサポートなどがあります。これらの機能およびソリュー
ション（およびプライバシー対策への適用性）は、以下のセクションで詳しく説明します。
プライバシー対策への Oracle データベースの利用
プライバシーとセキュリティに密接な関係があるとすれば、顧客の PII を保管する製品の機能と特色を理解することは重
要です。すでに説明したように、データベースに保管された個人情報データを保護することは非常に重要で、Oracle デー
タベース・ソリューションを配備システムに導入して顧客の PII 保護の基盤とすれば、システムを強化することができま
す。この論文の残りの部分では、
ユーザーおよび顧客 PII のプライバシー保護を強化する Oracle Database 10g ソリューショ
ンの主要機能を取り上げます。
ユーザー認証: このユーザーは誰か
ユーザー認証はセキュリティの主要素ですから、プライバシーにおいても一定の役割を果たしています。HIPAA 準拠の
一環として、正確さの確保と情報開示目的で、患者が自己の医療記録を確認することを認めている医療機関を考えます。
Oracle Database 10g: プライバシーの取り扱い
11
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
まず、当然ながら、ユーザーは自分が誰であるかを証明して、そのユーザーが、他のユーザーの医療記録ではなく自分自
身の医療記録を確認（および更新）しようとしていることを保証する必要があります。
システム・セキュリティの基本は、厳密なユーザー識別と認可にあります。ユーザーが誰なのかが確実にわからなければ、
ユーザーが自分に必要なデータだけにアクセスして、それ以上にはできないようになっていることを保証することは難し
くなります。同様にユーザー識別が確実でなければ、ユーザーに自分の行為に対する責任を負わせることはできなくなり
ます。ユーザーは、認証方式によって識別され、その資格証明の有効性が検証されます。
認証は、ユーザーが誰なのかを確定する最初の主要ステップであり、それによって次にそのユーザーがアクセスを許可さ
れるデータが決定されます。また、認証によってユーザーの資格証明が検証されなければ、無許可ユーザーが権限のない
データやリソースにアクセスできる可能性が生じます。
Oracle RDBMS では、さまざまなユーザー認証方式をサポートしています。最も一般的な方法は、ユーザー・パスワード
です。脆弱なパスワードは、そこを入り口にハッカーに簡単に侵入されますので、Oracle では、内蔵パスワード管理機能
によって、管理者が最短パスワードの指定、パスワードの複雑性の確保、および簡単に推測されるパスワードの禁止を行
うことができます。Oracle では、ホスト・ベースの認証をサポートすることにより、ユーザーの認証にベースとなってい
るオペレーティング・システムを代替使用することもできるようになっています。
厳格な認証およびシングル・サインオン
厳格な認証とは、パスワードより厳格な認証方式を指しています。厳格な認証方式は、ユーザーにとっては簡便（パスワー
ドと同程度の場合が多い）で、かつセキュリティが高いため、そうした方式を配備することは組織に有利です。
厳格な認証の利点は、基本的なパスワード認証よりも不正解読が難しく、ユーザーが正しいユーザーであることを保証す
る機能がより高いことにあります。したがって、そうした方式を使用すれば、PII を含む資産を確実に保護することがで
きます。
Kerberos などのネットワーク認証サービス、およびインターネット標準の RADIUS（Remote Authentication Dial-In User
Service）は厳格なユーザー認証を提供しています。2 つの要素による認証は、ユーザーが所持しているもの（スマート・
カードなど）とユーザーが知っているもの（個人識別番号（PIN））とに基づいてユーザーを証明するもので、これも広
く普及している厳格なユーザー認証の方式の 1 つです。Oracle では、Oracle Advanced Security オプションの一部として厳
格な認証を提供しています。また、このデータベース・オプションでは、厳格な認証として業界標準の X.509 デジタル証
明書を使用する公開鍵基盤（PKI）もサポートしています。
シングル・サインオン（SSO）は、ログイン操作を 1 度だけ行えば、単一認証の資格証明を使用して複数のサーバーまた
はアプリケーションにアクセスできる仕組みです。ユーザーは、単一のエンタープライズ・ユーザー名とパスワードを使
用して、複数のデータベース・アプリケーションに接続します。
単一のパスワードを使用するユーザーは、覚えておくパスワードが 1 つだけですから、より良質の、不正解読が困難なパ
スワードを使用する傾向が高いと言えます。
シングル・サインオンの業務上の利点としては、パスワードの紛失や失念による顧客サポートへの問合せが減ること、
およびセキュリティの向上が挙げられます。
Oracle では、Kerberos、デジタル証明書、およびエンタープライズ・ユーザー・セキュリティ（後述）をサポートしてお
り、これによってユーザーはシングル・サインオンを利用することができます。シングル・サインオンでは、ユーザーに
利便性がある一方、分散システムに対する権限を認証し、管理するインフラストラクチャが必要となります。
このシングル・サインオンは、使いやすさと管理面、セキュリティ面での利点がすべてそろっていることからオールマイ
ティなセキュリティと考える人もいます。オラクル社の顧客は、セキュリティおよびプライバシー・ソリューションの一
Oracle Database 10g: プライバシーの取り扱い
12
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
部として、データベースおよび Oracle Advanced Security 認証、シングル・サインオン方式、さらに Oracle Application Server
http セキュリティ、Java セキュリティ、および Web ベース・アプリケーション用 Single Sign-On を使用できます。
認可: このユーザーは何ができるのか
認証によってユーザーが誰かが確定したら、そのユーザーがアクセスし、操作を許可された対象資産を決定する必要があ
ります。ユーザーがどのようなデータにアクセスし、それらのオブジェクトに対してどのような操作ができるかは、認可
（ロールと権限）によって決まります。ユーザーは、管理者または別のユーザーが特定の操作を許可した場合に限って、
データベース・リソースまたはオブジェクトに対してその操作を実行することができます。
認証ソリューションと同様、認可はプライバシー保護機能の配備の基本的な要素の 1 つです。たとえば、870 万人の受益
者をかかえる米国国防総省の医療管理システムは、国防総省の既存の医療データ・プライバシー規則、および現在では
HIPAA 要件に準拠する必要があります。プライバシーおよびセキュリティ対策の基本部分として、国防総省の医療管理
システム、米国軍健康管理システム（MHS）と呼ばれていますが、このシステムでは、データ・アクセスを許可ユーザー
に限定するロール・ベースのセキュリティを Oracle データベースに依存しています。8
権限は、特定の操作を行うための認可です。明示的に付与された権限がなければ、ユーザーはデータベース内のいかなる
情報にもアクセスできません。データ・セキュリティを確保するため、ユーザーには職務上実行する必要のある権限のみ
を与え、それ以上の権限は与えないようにする必要があります。これは、「最小権限」の原理と呼ばれています。
Oracle データベースでは個別の権限をロール にまとめることができます。たとえば、受注表の SELECT 権限、アカウン
ト表の SELECT および INSERT 権限、および地域受注ビューの DELETE 権限をすべて集めて、「販売」ロールとするこ
とができます。管理者は、上記の権限でオブジェクトにアクセスする権利を持つ必要があるすべてのユーザーにこの販売
ロールを付与します。次のセクションでは、オブジェクト内におけるアクセス制御をさらに説明します。
Oracle の権限管理は、LDAP（Lightweight Directory Access Protocol）準拠のディレクトリ・サービスである Oracle Internet
Directory（OID）を利用することによって、複数のデータベースにわたるユーザーとその権限を一元集中管理するように
拡張できます。一元集中管理の基盤としての Oracle Internet Directory については、識別管理のセクションで詳述します。
権限の一元集中管理には、ユーザー権限を 1 箇所から一貫した、簡便な管理ができるという利点があります。
さらに、セキュリティと拡張性、および総所有コスト（TCO）が軽減されます。
アクセス制御: このユーザーは何にアクセスできるのか
前述の例では、ユーザーがアクセスできるデータベース・オブジェクトを指定する、オブジェクト・レベルの権限を説明
しました。Oracle データベースは、高度に細分化されたアクセス制御を提供しており、他のいかなるベンダーのアクセス
制御ソリューションよりも優れています。したがって、オラクル社の顧客は、このようなソリューションを使用する結果、
より高いセキュリティ、プライバシー本位のシステム配備の構築、および TCO が軽減されるといった利益を享受できま
す。
ビューによるアクセス制御
ユーザーが特定のオブジェクト内でアクセスできるデータをさらに制限するのに、ビューを使用できます。
ビューは 1 つ以上の表またはビューのサブセットです。たとえば、管理者が顧客表の自分の部署の顧客に該当する情報だ
けを表示できるビューを定義できます。そして、このビューには、基となる顧客表の顧客名、地域、販売担当および連絡
先などの限られた列だけが含まれるようにします。このように、ビューによって、個人データが保管されている列に対す
8
http://www.iw.com/magazine.php?inc=100102/10.01.02bizlab.html
Oracle Database 10g: プライバシーの取り扱い
13
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
るアクセスを、そのデータにアクセスすべきではないユーザーに対して制限することができます。また、従業員表の部署
10 に指定された従業員のレコードを含むビューなど、ビューによって、基となる表でアクセスできる行のサブセットを
制限することもできます。
しかし、ビューには、オブジェクト内の一定レベルのアクセス制御を行う機能がある一方、細分化されたアクセス制御と
しては実際的でない限界もあります。
まず、ビューには、セキュリティおよびプライバシー・ポリシーを施行する場合に拡張性がありません。たとえば、ある
学校区の学校が 12 あるとして、学校別学生記録に対するアクセスを制限するのにビューを使用することは可能です。
この場合、12 のビューを作成することになります。
しかし、複数の学校区の間でデータを共有する必要がある場合、ビューを使ってアクセスを制限するのは実際的ではない
と思われます。何千ものビューは、それ自体がオブジェクトでもあり、各学校、各学校区でそれらを管理するのは事務処
理上、大きな負担になります。
第 2 に、複雑なアクセス制御ポリシーはビューには向かない、ということがあります。たとえば、「給与計算アプリケー
ションを使用して従業員表にアクセスする給与計算担当者のユーザーは、社会保障番号などの PII を含む、すべての従業
員情報を参照する許可が与えられなければならないが、それはその担当者の部署の従業員に限られる」というアクセス制
御ポリシーを考えます。このようなポリシーは、ビューで表現するのは不可能だと思われます。そのユーザーがどのよう
なアプリケーションを使用しているか、ビューの作成時には判断のしようがないからです。
第 3 に、ビューの基になる表に対するアクセス権を持つユーザーは、そのビューに規定されたセキュリティを逃れること
ができ、したがって、基になる表に PII が含まれる場合、プライバシー・ポリシーの侵害になる可能性があります。アプ
リケーション・レベルでは、ビューによってセキュリティを規定できても、アプリケーション・ユーザーは基になるビュー
のレポートを実行する必要がある場合があります。結局、基になるビューに対するアクセス権のあるユーザーは、ビュー
によって規定されたセキュリティを逃れることができるわけです。これは、データベース機構に対してではなく、アプリ
ケーションに対してセキュリティを組み込む場合の一般的な問題ですが、セキュリティがデータ自体ではなく、ビューで
規定されている場合はさらに問題になります。ビューの基となる表に PII が含まれる場合、プライバシーに対する影響は
甚大です。
最後に、ビューをセキュリティに使用すると、セキュリティ・ポリシーの管理が複雑になる可能性があります。
セキュリティ管理者には、ビュー定義が論理的なオブジェクト定義に基づくのか、セキュリティ施行のためなのか区別す
ることはできません。セキュリティ・ポリシーが追加、変更、または削除される場合、何がそれぞれのビューに関係する
のか正確に判別するのは困難です。管理者は、ビューを変更または削除することによりセキュリティ・ポリシーを変更す
るつもりが、アプリケーションを壊していることになっているかもしれませんが、それを知ることができません。
オラクル社は、データベース内に細分化したアクセス制御を施行する方法として、拡張性、安全性が高く、軽量の優れた
方法を開発しました。
仮想プライベート・データベース
仮想プライベート・データベース（VPD）は、個別のデータベース内に、ユーザーごとまたはグループごとにデータ分離
を保証したデータ・アクセスを可能にします。VPD は、サーバー規定のファイングレイン・アクセス制御と保護された
アプリケーション・コンテキストを Oracle データベースに集積したものです。VPD は、透過性、パフォーマンス、拡張
性、そして何よりもセキュリティを目的として設計されています。このソリューションは、他のどのベンダーよりも優れ
ており、透過的な行レベルの粒度によって、理想的なプライバシー本位のアプリケーションが実現します。
Oracle Database 10g: プライバシーの取り扱い
14
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
述語（where 句）のある SQL 文を動的に追加することにより、VPD では行レベルでデータ・アクセスを制限し、セキュ
リティ・ポリシーと表（またはビューないしシノニム）自体を結び付けます。データベース単位でセキュリティが規定さ
れていますので、セキュリティはより厳格になります。ユーザーがどのようにしてデータにアクセスしようと、問合せツー
ルを実行するユーザーまたはレポート・ライターはこのセキュリティを回避することはできません。回避不可能なセキュ
リティによって、データ自体にプライバシー・ポリシーを規定でき、これは PII 機密を保持するためには決定的に重要と
なります。
幅広い業界を代表するオラクル社の多くの顧客は、仮想プライベート・データベース機能を使用して、顧客別、組織単位
別、地域別などにデータを独立させています。各企業は、VPD をプライバシー規制および企業ポリシー準拠に使用して
います。VPD は、従業員の個人情報、医療記録、学生記録の機密保持が必要な業務ポリシーを施行する手段として使用
されています。
この機能により、オラクル社の顧客は、何十という個別インスタンスを稼動させることなく、データ分離が保証された状
態で、データを 1 つの巨大なデータベースに統合することができるため、所有コストを軽減することができます。
1 つの中央データベースにセキュリティを構築する別の利点としては、国際的なプライバシー・ポリシーを施行できるこ
とが挙げられます。この手法によれば、1 つの国の国民の PII 保護を、他の国民の PII 保護と同じレベルで、1 箇所から行
うことができます。顧客は、セキュリティを 1 度データベースに構築し、そのデータベースで主要なセキュリティ・コー
ドを認定しさえすれば、複数のアプリケーションに対して同様の処理をする必要はありません。
プライバシーが本質的に重要な場合、仮想プライベート・データベースは不可欠です。たとえば、アジアの消費者銀行が、
顧客がオンライン取引を実行し、口座残高を確認できるオンライン・バンキング・サービスを提供する、といったことを
考えるとします。この場合、ユーザーが参照するのが自分の口座残高で、他の顧客の口座情報にはアクセスできない、と
いうことが決定的に重要です。仮想プライベート・データベースを使用する銀行は、何万というユーザー規模に簡単に拡
張することができます。その場合、ユーザーは、1 つの巨大データベースにアクセスしますが、データ分離は完全に保証
され、さらに簡便なデータベース管理による利益も享受できます。また別の機能として、このバンキング・アプリケーショ
ンでは、ユーザーの銀行口座から他の銀行に直接資金を振り替える（クレジット・カード請求の支払いなど）ことができ
ます。VPD を備えることにより、提携先銀行では、口座残高や残高履歴などの個人情報の共有はせずに、必要なデータ
だけを共有できます。
仮想プライベート・データベースの配備は、オラクル社の顧客に実装したセキュリティおよびプライバシー・システムの
中でも高い評価を得ています。
VPD の利便性は、金融サービスだけに留まらず、アプリケーション・サービス・プロバイダ業界、医療機関、世界中の
政府機関、およびデータ・ウェアハウスにおいても優れた適応性を示しています。VPD は、小売から教育市場に及ぶ
Web ベースの E-Commerce アプリケーションにとってまさに牽引力となります。
列レベル仮想プライベート・データベースのプライバシー機能
Oracle Database 10g では、列レベルの仮想プライベート・データベースにより、革新的なプライバシー保護を導入しまし
た。
この新製品では、VPD ポリシーを、ユーザーの問合せまたは DML 文で特定の列または列の組合せがアクセスされた場合
に限って適用することができるようになりました。これは、ユーザーがオブジェクト自体に対するアクセス権がある
（オブジェクト・レベル権限）場合に、VPD がそのユーザーのアクセスしている列がセキュリティまたはプライバシーに
該当する場合に限って、返す行を制限することができる、ということです。
Oracle Database 10g: プライバシーの取り扱い
15
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
たとえば、何百万という入院記録を格納する表がある医療記録のデータベースに、社会保障番号と診断列を
「relevant_columns（該当列）」とする VPD ポリシーを適用できます。ここで、医者が患者名と入院日を問い合せた場合、
Oracle データベースではその医者にすべての患者データを表示します。患者名と入院日は、この表の SELECT 権限を持
つ医者についてはセキュリティ面で秘匿性が高いとはみなされていないためです。この問合せの場合、VPD では where
句を伴う SQL 文を追加することはありません。しかし、この医者が患者名と診断記録の問合せをした場合、VPD では動
的にこの問合せを書き換え、「where physician_name = 'pat_levine」という述語を添付して、この医者に対して自分の患者
の診断記録だけが表示されるようにします。
このように、列レベル VPD では、列に保管されたデータのうち、セキュリティまたはプライバシー面で特に秘匿性が高
いものに管理者がフラグを付けることにより、データデータベースに対してセキュリティとプライバシー管理機能を追加
できます。
ラベル・ベースのアクセス制御
Oracle Label Security は、VPD の最上位に構築され、行レベルのセキュリティにラベル・ベースのアクセス制御を規定し
ます。Oracle Label Security は、Oracle データベースのセキュリティ・オプションで、特定データの機密性ラベルとアプリ
ケーション・ユーザーに設定されたラベル認可とを比較することにより、データに対するアクセスを仲介します。
このようなアクセス仲介機能を使用すれば、1 つのデータベース内のデータを異なる機密性に分類することができます。
Oracle Label Security は、拡張性、安全性が高く、プライバシー配慮を重視している民間の顧客の間で高い評価を得ていま
す。
ラベルは、民間および政府組織で広く使用されています。
ラベルの例としては、「internal（社内）」、「confidential（極秘）」、「sensitive::human resources（機密::人事）」、「internal::Acme
California（社内::Acme カリフォルニア-カリフォルニア支社がある Acme 社用）」などがあります。
Oracle Label Security では、Oracle で提供されているセキュリティ・パッケージを使用して、データ行に対するアクセスを
仲介しており、PL/SQL ソフトウェア開発が不要なため、使用と管理がしやすくなっています。
ラベル・ベースのアクセス制御は、おそらく、Oracle のセキュリティ・ソリューション・セットの他のどの要素よりもプ
ライバシー管理に役立ちます。Oracle Label Security があれば、適切な許可条件を満たす（特定のラベルのあるデータへの
アクセス権）ユーザーだけが、プライバシー機密性の高いデータにアクセスまたは変更できます。この技術は、階層によ
るアクセス制御の必要性から開発されました。Oracle Label Security の機能は、プライバシーに配慮した実装システム、た
とえば、患者の診断記録が「confidential::physician（極秘::医者）」とラベルが付けられている医療アプリケーションなど
でその効力が発揮されます。このラベルがあるため、極秘レベルで認可され、かつ医者グループに属するユーザーだけが
患者の診断記録にアクセスできます。
Oracle Label Security がプライバシー管理に役立つもう 1 つの例としては、教育部門があります。学生の全州テストの成績
は、各学校の管理者は自校の成績を参照できるが、その学校区内の他校の成績は参照できないように保護する必要があり
ます。階層的な要件がある場合、問題は複雑化します。たとえば、その学校区の校区長は学校区全体にわたってアクセス
する必要があるためです。学生レコードは、たとえば「sensitive:testscore:JFK High（機密:テスト成績:JFK 高校）」とラベ
ル設定されます。唯一学生レコード・セット全体のアクセス権を持つユーザーは、校区長です。JFK 高校の校長は、自校
のテスト結果を参照しますが、他校の結果は参照できません。同様に、他校の校長は、JFK 高校のテスト結果へのアクセ
スを制限されます。学生のプライバシーは保たれ、教員と管理者はそれぞれ効率的に自分の職務を遂行でき、データベー
ス管理者のセキュリティ・メンテナンスの手間は低く保たれます。
Oracle Database 10g: プライバシーの取り扱い
16
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
保護アプリケーション・ロール
長年のセキュリティ問題の結果、ユーザーはアプリケーション論理を迂回してデータに直接アクセスできないようにして
います。特に、Web ベースのアプリケーションでは、ユーザーに直接データにアクセスさせるのは好ましくありません。
現在まで、このセキュリティ問題は、どのアプリケーションを使用してデータにアクセスしているかを確実に検証する方
法がなかったため、非常に解決が難しい問題でした。すなわち、悪意を持ったユーザーに、実際は正当でないが、見かけ
上、正当な人事アプリケーションであるかのようなプログラムを作成される可能性があるということです。
Oracle データベースは、保護アプリケーション・ロールという、パッケージによってロールを実装する方式でこの問題に
対処しています。
従来、保護アプリケーション・ロールがなかった環境では、開発者は、データベースにアクセスするアプリケーションに
パスワードをハードコーディングする、あるいは、データベース情報を隠して、直接アクセスするユーザーが意味のある
データにするためには、個々のデータを集めて組み合わせなければならなくする、という方法を考案してきました。
セキュリティ規定では、このどちらの方法も推奨していません。
保護アプリケーション・ロールを設定したパッケージでは、適切な条件が満たされていることを保証するために必要など
のような検証でも実行することができ、検証で正当性が確認されるまでユーザーがロールに付与された権限をデータベー
スで行使できないように設定できます。したがって、この方法の場合、アドレス、現行ユーザー、プロキシ・ユーザー、
外部名、地域など、アクセス制御の判別要素としてさまざまな事前定義の属性を使用できます。データベースでは、適切
なアクセス条件を判別するのは、ロールを実装するこのパッケージに限られるようにします。保護アプリケーション・ロー
ルがない場合、プライバシーに該当する個人データは、ユーザーがアプリケーションを迂回してデータベース自体にアク
セスする方法を見つけられた場合、常に危険にさらされることになります。
たとえば、どの国でもかまいませんが、税務官が納税者の PII を含むデータベース保管の税レコードに直接アクセスする
ことを禁止するアプリケーション・ロールを使用する政府機関を考えます。税務署の職員が自分の税務官権限を使用する
には、Web ベースの所得税処理アプリケーションによってデータベースに接続する以外の方法はありません。
このアプリケーションでは、アプリケーションが所有するパッケージを介してしか実装できない保護アプリケーション・
ロールである「tax_clerk（税務官）」ロールが関連付けられており、これを使用しています。したがって、税務署の職員
は、この適正なアプリケーションを通じてアクセスする以外、住民のレコードにアクセスすることは決してできません。
保護アプリケーション・ロールによって、システム固有の認証やファイングレイン・アクセス制御を拡張し、正しいアク
セス条件が満たされない限り、ユーザーにいかなる権限も与えないようにすることができます。この機能により、非常に
困難なセキュリティおよびプライバシーの問題が解決され、安全な Web ベースのアプリケーション・データ・アクセス
がサポートされるようになりました。
保護アプリケーション・ロールは、セキュリティが改善され、セキュリティの施行を特定のアプリケーションに結び付け
るという独自の機能が利用できる点で優れています。保護アプリケーション・ロールを使用すれば、ユーザーがアプリケー
ションを迂回できないことが保証された安全な 3 層環境を運営することができます。このソリューションは、PII がデー
タベースに保管されている場合に Oracle Database 10g で PII を保護するのに利用できる別の方法を示しています。
Oracle Database 10g: プライバシーの取り扱い
17
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
識別管理
オラクル社では、Oracle 10g プラットフォームで統合識別管理インフラストラクチャを提供しています。
このインフラストラクチャでは、集中的な識別設定、および企業全体にわたる、アプリケーションに対するアクセス管理
と執行サービスが可能です。Oracle Identity Management は、一連の Oracle 保護技術を利用しています。その結果、高い信
頼性、拡張性、セキュリティ、パフォーマンス、およびプライバシーの基盤が提供されます。
Oracle Identity Management は、さまざまなサービスを高度に組み合わせた統合サービスで、Oracle データベース、Oracle
Application Server、Oracle Collaboration Suite および E-Business Suite などすべての Oracle 製品が独創的に利用されています。
これによって、Oracle Identity Management インフラストラクチャを含む Oracle 製品を、異質なシステムを統合する場合に
伴う費用および複雑な作業なしで企業内にすばやく配備できます。
Oracle Identity Management インフラストラクチャは、消費者の機密情報を保護するプライバシー制御とセキュリティ管理
機能を提供することにより、企業の規制順守対策を支援します。このインフラストラクチャでは、企業全体にわたるセキュ
リティ管理を一元集中化して、管理を簡素化し、管理オーバーヘッドを軽減します。このため、セキュリティは強化され、
かつ管理コストは減少します。
この方式による一元集中化は、企業全体にわたってユーザーの認可および作業環境を追跡し、管理する場合のキーとなり
ます。一元集中化により、プライバシー設定を管理し、PII にアクセスを許可されたユーザーに対して集中管理を行使で
きます。
識別管理のインフラストラクチャは、プライバシーのインフラストラクチャを構築する場合の不可欠な部分です。これに
よって、ユーザーの共通概念がある場合に、プライバシー設定が施行されていることがはるかに簡単に保証されます。
プライバシー・ポリシーが変更になった場合、アクセス権を集中管理でき、これによって、プライバシー・ポリシーの進
化に対応した権限の変更が簡単に行えます。また、セルフ・サービスおよび連結管理によるコストの節約も得られます。
例として、収集する個人データのプライバシー保護に取り組んでいる 2 つの保険会社を想定し、どちらも個別の顧客デー
タを含む多数の異種アプリケーションおよびデータベースを稼動しているとします。A 社では DBA とアプリケーション
管理者を雇って、顧客の PII を保護するべく毎日のように認可の割り当て、管理、および取り消しをしています。
どの管理者もこの処理を繰り返し、自分のシステム用にカスタマイズしています。これは、分散認可管理とアクセス制御
によってプライバシーを保護する管理集約型の方式を示しています。B 社は、識別管理ソリューションを採用しています。
管理者は、識別管理インフラストラクチャの中で、ユーザーの識別を構成し、アクセス権および認可を施行、管理してい
ます。B 社の企業全体の識別および認可管理によって、データベースおよびアプリケーション固有のロールがそれぞれの
データベースおよびアプリケーションにマップされます。B 社のほうが、低い管理コストで済み、企業全体にわたって保
管されている PII へのアクセス制御をより効果的に行うことができると思われます。
Oracle Database 10g: プライバシーの取り扱い
18
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
転送中データの保護
従来からのセキュリティ問題に対処するためのソリューションとしては、まず暗号化が挙げられます。機密データを取り
扱う場合、ネットワークおよびインターネットを流れるパケット、およびデータベース内の特に機密性の高いデータを暗
号化することが重要です。
データベース内の暗号化
個人情報を保護するための規制手段があるにもかかわらずクレジット・カード番号の使用が広く普及しているため、多く
の組織では、データベースに保管された極秘データ、および機密性が特に高いデータ（国民 ID 番号、クレジット・カー
ド番号など）を保護する手段をさらに追加しようと考えるようになりました。規制によっては、暗号化されたフォーマッ
トで保管されたデータに特に配慮しています。他のセキュリティ機構もさることながら、データベースに保管する前に選
択的に機密データを暗号化することにより、セキュリティの追加手段とすることができます。
オラクル社では、データベース・サーバーの特に機密性の高いデータを暗号化するための柔軟なインタフェースを提供し
ています。オラクル社では、長年にわたりデータベースの暗号化ソリューションを拡充し、トリプル DES 暗号および MD5
暗号チェックサムを導入しました。また、乱数ジェネレータも提供しています。DES（56 ビット）およびトリプル DES
（112 および 168 ビット）を暗号化ツールキット・パッケージに入れて提供しており、これによってアプリケーションで
データベース内のデータを暗号化することができます。この暗号化パッケージは、データベース表内の列に保管されてい
るデータを暗号化（および復号化）します。オラクル社の顧客の多くが、規制順守および倫理的理由のため、特に機密性
の高いデータ、および個人データを効率的に保護する目的でこれらの暗号化インタフェースによってデータを保護してい
ます。
ネットワークの暗号化
ネットワークを流れるデータを暗号化することは、データベース内のようにアクセス制御、認可、およびその他のセキュ
リティ管理によってデータが保護されていないだけに、おそらくさらに重要です。データがネットワークによって送信さ
れるときに、そのデータをだれからも閲覧、改ざん、または盗まれないようにするためにネットワーク通信を暗号化する
ことは重要なことです。
Oracle Advanced Security は、Oracle データベースに関わる通信をすべて保護します。ネットワーク・トラフィックを暗号
化するため、インターネット標準である SSL（Secure Sockets Layer）を提供しています。Oracle Advanced Security では、
また、Net8 に「固有の暗号方式」として、AES（Advanced Encryption Standard）、DES、トリプル DES、および RC4 も提
供しています。
これらの暗号モジュールの多くが厳しい認証プロセスを経て FIPS 140-1 レベル 2 準拠資格を取得し、実装から鍵生成の
ランダム性までを確実に保証しています。
伝送中のデータの改ざんや再生を防止するため、Oracle では各ネットワーク・パケットに MD5 または SHA-1 メッセージ・
ダイジェストを組み込んで使用しています。Oracle の暗号化およびデータ整合性機能は、Oracle クライアント、および
Net8、Net8/SSL、IIOP/SSL およびセキュア Thin Java Database Connectivity（JDBC）クライアントで通信している中間層サー
バーを保護します。すなわち、Oracle は、あらゆるデータベース通信に関するあらゆるプロトコルによる通信を暗号化す
るさまざまな方法を提供しています。データベースが稼動しているどのような場所でも、ネットワーク・トラフィックは
暗号化によって保護できます。
機密性の高いデータがネットワーク経由で送信される場合、Oracle なら常にそのデータを保護できます。
Oracle Database 10g: プライバシーの取り扱い
19
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
監査: 監視およびアカウンタビリティ
監査は、重要ですが受動的なセキュリティ機能で、適切なプライバシー保護の主要素の 1 つです。どのようなプライバ
シー・ポリシーでも決定的に重要なことは、システム・アクティビティのレコードを維持管理して、ユーザーに対してそ
の行為に関する責任を問えるようにしておくことです。この要件に対処するため、Oracle Database 10g では広範な監査機
能を提供しています。
Oracle では、データベース・アクティビティを、操作の成功、不成功にかかわらず、文、システム権限の使用、オブジェ
クト、およびユーザー別に監査します。監査レコードは、データベース表に保管し、任意問合せや適切なアプリケーショ
ンまたはツールにより、あるいは、特定のオペレーティング・システムのオペレーティング・システム監査証跡と併用し
て保管された情報をセキュリティおよび管理上の確認のために表示できるようにすることができます。Oracle では、監査
機能を効率的に実装しており、文の解析は、実行、監査とも 1 度だけです。DBA のアカウンタビリティについては、オ
ペレーティング・システムに対する SYS 操作をすべて監査し、セキュリティ管理者または監査人が参照できるようになっ
ています。
さらに、Oracle ではデータベース・ログを利用して、管理者および各ユーザーが行った操作を捕捉しています。
Oracle では、データベースに対するあらゆる変更を捕捉しており、それらは LogMiner ユーティリティを使用して問い合
せることができます。したがって、余分なオーバーヘッドなしに監査できます。データベースはリカバリ可能でなければ
なりませんので、ログは常に使用可能になっています。Oracle では、どのようなデータベース変更のレコードでも削除す
ることはありません。監査機能は、さまざまな監査オプションを備え、サーバー自体に実装されており、顧客は一般的な
監査機能の場合に伴うパフォーマンス・オーバーヘッドを生じさせることなく特定のデータベース・アクティビティを記
録することができます。
監査は、調査目的にも使用されます。たとえば、ある医者が、自分の担当していない患者のカルテを見ようとする、といっ
たことが考えられます。この医者が実際にレコードを取得できる、できないにかかわらず、Oracle データベースでは、患
者のレコードへの成功アクセスおよび不成功アクセスを監査し、この医者の行動を詳細に追跡できます。
ファイングレイン監査
一般的に、莫大な量の監査ログの中から不審なアクティビティを検出するのは、効果的に探さないと気が遠くなるような
作業になる可能性があります。監査人およびセキュリティ管理者は、ログされるデータの量を減らしながら、該当するデー
タはすべて捕捉しようと考えます。細分化された監査では、捕捉されるデータの量を大幅に削減し、監査しなければなら
ない注意を要するデータを逃さないようにします。Oracle Database 10g では、上記の監査機能を、業界でもユニークなファ
イングレイン監査という方式で拡張しています。
ファイングレイン監査では、組織が監査ポリシーを定義して、監査イベントを起動するデータ・アクセス条件を指定でき
ます。監査ログを小さくすることにより、不審なアクティビティを突き止めることができます。管理者は、柔軟なイベン
ト・ハンドラを使用して、トリガー・イベントの発生を通知させることができます。このイベント・ハンドラでは、トリ
ガー監査イベントが特別な追加分析用の監査表に書き込まれるように設定したり、セキュリティ管理者のページャを起動
することができます。したがって、ファイングレイン監査機能は、調査ツールとしても使用できます。
一般に、監査では、監査ログが大きくなりすぎるため、ユーザーに返されたデータを捕捉しないことがあります。
Oracle の標準監査およびファイングレイン監査機能では、監査対象の文の SQL テキストを正確に捕捉でき、Oracle フラッ
シュバック・クエリー機能と併用すれば、ユーザーに返されたレコードを正確に再生成できます。この併用によれば、問
合せの意図を隠すような発覚しにくい問合せを発行して監査機構を破壊しようとするユーザーに対しても防御すること
ができます。
Oracle Database 10g: プライバシーの取り扱い
20
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
プライバシー該当列の監査
ファイングレイン監査では、「該当列」監査を採用し、国民 ID 番号や医療診断記録など、特に機密性の高い列を企業ポ
リシーでプライバシー該当列と指定して、これらの列を見逃さないようにできます。アクセス制御ポリシーによって、
従業員が他の従業員のレコードを見ないように保護し、監査によって、特にユーザーがプライバシー該当データのある列
のデータにアクセスしようとする場合にアクセス制御が適切に実装されているか監視することができます。
一部のプライバシー規制で課せられている特に複雑で難しい規定は、消費者に自分の個人情報に影響するセキュリティの
侵害があった場合にそれを通知する、というものです。興味深いことですが、多くの組織が苦労しているのは、データに
対する侵害や不正アクセスがあったかどうかを知ることができないという、単純な理由であることです。監査ソリュー
ションを配備しない場合、システムに対する異変を検知し、追跡することは困難です。
Oracle Database 10g に組み込まれている監査機能の範囲と粒度は、プライバシー対応環境のキーとなります。
過大なオーバーヘッドをかけずにデータベース・アクセスをログに記録し、検査する必要がある顧客、企業で監査を規定
している顧客、および業界の規制（医療機関における HIPAA など）がある顧客は、オラクル社によって独創的に開発さ
れたこうした優れた監査機能を使用しています。
機能のまとめ
オラクル社では、広範な従業員のアクセスがあることによる PII に対する脅威、ハッカーによる侵入の脅威、および単純
なデータの取扱いミスに関する顧客の不安を解消する先進的な機能を作り出しています。行レベル・セキュリティ、ファ
イングレイン監査、および一元集中管理を含む、これらの先進的な機能は、顧客のプライバシー要件に十二分に対応しま
す。プライバシー保護に必要なポリシーと操作手続きを調整するとともに、これらのソリューションをシステムに実装す
ることにより、プライバシー要件の準拠を達成することができます。
結論
プライバシー保護は単純にプライバシー対応ソフトウェアを装備するだけの問題ではありませんし、安全な製品を選択す
ることは効果的なプライバシー管理の第一歩にすぎません。運営上、組織上、およびポリシー面での決定が、プライバシー
保護の質に大きく影響します。プライバシー規制に準拠することは、効率的なビジネスを行おうとする目的の妨げになる
負担であるかのように思われますが、実は、業界規制、または各国それぞれの規制に準拠するために保護機能を実装する
ことは、企業の評価を高くし、高い顧客満足を得るのに貢献します。そのような保護対策により、厳重でより安全な IT
インフラストラクチャを運営することができます。企業側は、より高いセキュリティ、拡張性の高いユーザー・アクセス
管理、そして低い所有コストによる利益を得る一方、顧客側も個人データがしっかりと保護されるという安心を手に入れ
ることができます。
Oracle Database 10g: プライバシーの取り扱い
21
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved
セキュリティ管理と識別管理
参考資料となるオラクル論文
•
Identity Management for Database Applications（データベース・アプリケーションにおける識別管理）
•
Oracle Platform Security（Oracle プラットフォーム・セキュリティ）:
Solving Real-World Problems（現実の問題を解決する）
•
Ask the Security Expert（セキュリティの専門家に聞く）
•
Security and the Data Warehouse（セキュリティとデータ・ウェアハウス）
•
Unbreakable（侵入を許さない）: What We Learned（我々が学んだこと）
•
Securing J2EE Applications with Oracle Identity Management
（Oracle Identity Management による J2EE アプリケーションの保護）
•
Planning Your Oracle Identity Management Deployment（Oracle Identity Management の配備計画）
•
Oracle and Thor（Oracle と Thor）: Identity Management Provisioning（Identity Management の準備）
•
Improving Information Assurance of Linux（Linux の情報保証の改善）
Oracle Database 10g: プライバシーの取り扱い
22
Paper # 40124
Oracle Corporation 発行「ORACLE DATABASE 10G: PRIVACY SOLUTIONS」の翻訳版です。
Copyright © 2003 Oracle Corporation, All rights reserved