データベース管理者としての役割を常に学んでいると言っても過言ではありません。確かに、SQLサーバーの監視に関しては多くのことが重要ですが、今では一般データ保護規則(GDPR)についても心配する必要があります。
GDPRコンプライアンスについてできる限りのことを学ぶことは、会社とそのデータベースにとって非常に重要です。 GDPRには、法律家がぎっしり詰まっています。GDPRは、DBAとして、オンプレミスのデータセンターでもクラウドサービス内でも、あらゆる情報へのアクセスと保護に責任があることを明確にしています。詳しく見てみましょう。
GDPRとは何ですか?
GDPRは、2018年5月25日に施行されたヨーロッパのプライバシー法です。その基本的な目的は、個人データの管理方法と保護方法に関するグローバルなプライバシー要件を確立しながら、個人のプライバシー権を保護することです。
これは欧州連合の市民を保護することを目的とした法律ですが、データベースにEU市民が含まれている企業は、GDPR要件に準拠する必要があります。個人データには、生年月日、クレジットカードの詳細、メールアドレス、IPアドレス、写真、国民識別番号などが含まれます。
DBAとして、個人データが違法なアクセスから保護されていることを確認するだけでなく、ユーザーが自分の個人データのコピーにアクセスして取得できるようにする必要があります。
GDPR規制に従わないと、重大な結果が生じます。組織は、世界の収益の最大4%または最大2,000万ポンドの罰金を科されるため、GDPR要件が完全に施行されるまでに、企業は直ちに行動を起こし、完全に準拠することが不可欠です。
では、SQLサーバーの監視の次は何ですか?
5月25日の期限が過ぎたので、リスク評価が完了していることを願っています。たとえば、保存している情報にはEUの企業や個人が関係しているのでしょうか、それとも将来的にはそうなるのでしょうか?
答えが「はい」の場合、個人情報を保存する場所、情報の用途、情報を保存していることをユーザーに明確にするかどうか、情報を保持する期間など、さまざまな質問を検討する必要があります。 、誰がそれにアクセスできるかなど。
理想的には、SQLサーバー上のすべてのデータを検索して、「SSN」や「Birthdate」などの列名を探すことができますが、列には、あいまいでわかりにくい名前が付けられていることがよくあります。つまり、すべてのテーブルを手動で調査するために時間を費やす必要があるかもしれません。データにアクセスできる人を特定することも難しい場合があります。
組織のGDPRの準備状況の一般的な評価が必要な場合は、この調査が役立ちます。
(山の)情報をふるいにかける
残念ながら、GDPRコンプライアンスについて知っておくべきことをすべて学ぶには、何時間もの読書と調査が必要です。 GDPR情報のウェブサイトには99の記事と11の章があり、全体を調査するには数日かかる場合があります。
そうは言っても、SQLサーバーの監視に関してDBAとして最も関係があると思われる記事がいくつかあります。
第25条
第25条では、設計とデフォルトによるデータ保護について説明しています。つまり、個人データにアクセスできるユーザーと、情報の保存、処理、アクセス方法を制御します。
- 設計によるデータプライバシーとは、個人データのセキュリティとプライバシーを確保するための適切な組織的および技術的対策が、組織の製品、サービス、アプリケーション、およびビジネスと技術のライフサイクル全体に組み込まれていることを意味します。手順。技術的対策には、仮名化とデータ最小化が含まれますが、これらに限定されません。
- デフォルトでは、データのプライバシーとは、(a)必要な個人データのみが収集、保存、または処理され、(b)個人データに無期限にアクセスできないことを意味します。
また、第25条では、第42条で指定されている承認済みの認証を使用して、設計によるプライバシーとデフォルトの要件のプライバシーへの準拠を実証できることを指定しています。
第30条
この記事では、すべての記録と個人データの適切な監査について説明します。第30条の要件は、記事の適用範囲が広いため、ほとんどの企業に適用される可能性があります。第30条に準拠する準備をしている企業は、データが存在する場所だけでなく、データが各ビジネスプロセスをどのように移動するかを確認する必要があります。言い換えれば、「データをフォローする」ということです。
第30条では、企業が「処理活動の記録」を作成することを義務付けています。これにより、規制当局は、企業がGDPRに準拠していることを確認できます。
第32条
第32条は、データが暗号化されるという要件をカバーしています。 DBAは、個人データの処理によってもたらされるリスクのレベルに適したレベルのデータセキュリティを確保するための技術的および組織的な対策を実装する必要があります。
データセキュリティ対策では、少なくとも次のことを許可する必要があります。
- 個人データの偽装または暗号化。
- 処理システムとサービスの継続的な機密性、整合性、可用性、アクセス、および復元力を維持します。
- 物理的または技術的なセキュリティ違反が発生した場合に、個人データの可用性とアクセスを復元します。
- 技術的および組織的対策の有効性をテストおよび評価します。
第35条
この記事では、すべてのデータ保護方法論とその必要性および影響に関する適切なドキュメントの概要を説明します。すべての組織は、リスクを分析し、GDPRへの準拠を実証する必要があります。
データの処理が高いリスクを生み出す可能性がある場合は、データ保護影響評価(DPIA)を実行する必要があると規定されています。 DPIAは、企業がデータの処理に関連する可能性のあるリスクを調査し、GDPRコンプライアンスを念頭に置いて手順を確認する方法を可能にする演習です。
この記事はまた、監督当局がDPIAを必要とするデータ処理活動の独自のリストを作成して公開することを求めています。
GDPRコンプライアンスの準備をするのは簡単な作業ではありません。まだ行っていない場合は、利用可能なすべての情報と調査を利用して、できるだけ早くコンプライアンスに準拠するのに役立ててください。
SQLServerの監視を改善するためにさらにアクションを実行します。無料ガイドを使用して、データベースの将来を保証し始めましょう。