データインテグリティについて考えるうえで、高度なシステムを導入したとしても本質的にシステムを活用して情報保全を実行するユーザー自身にリスクがあれば、適切なデータインテグリティ対応は困難です。そのため、データインテグリティ対応を進めようとする場合、まずはユーザー自身がセキュリティ対策や情報の適正化に関する意識を向上させて、それぞれのデータについてユーザー管理を厳格化していくことが大切です。
このページでは、データインテグリティ対応におけるユーザー管理についてまとめていますので参考にしてください。
製品や工程の信頼性を担保して、適正な製造ラインを構築し品質の維持向上に努めていると客観的に証明しようとする際、データインテグリティ対応に関する体制がきちんと構築されているかどうかは非常に重要なポイントです。そのため、医薬品製造業界などでは積極的にデータインテグリティ対応システムを導入して、各国の条例や規格、基準に則ったデータインテグリティの確保を追求しています。
一方、データインテグリティ対応のシステムを導入したとしても、データへアクセスするユーザーの選定や情報を収集・管理するユーザー自身に問題があれば、信用する情報保全隊性を確立することはできません。
データの改ざんや虚偽データの使用、恣意的な文書の偽造などデータインテグリティ対応においてリスクとされる要因は様々であり、ユーザー管理を厳正にしてきちんとしたマネジメント体制を構築することが重要です。
データインテグリティ対応において、ユーザーによるデータ管理を厳正化したり、そもそもデータにアクセスできるユーザー自身を選定して権限を認めたりする作業は、情報保全の基盤を固める作業として欠かすことができません。
ここではデータインテグリティ対応におけるユーザー管理として、注意すべきポイントをまとめています。
まず、誰がどのようなタイミングでどの情報へアクセスしたのか個別管理を徹底するために、ユーザーごとにユーザーID(UID)を設定することがポイントです。また、UIDは他人が悪用したり利用したりできないよう厳しく管理して、不正アクセスを行いにくい環境を整えなければなりません。
UIDの管理を厳格化して情報アクセス履歴を残すようにすることで、そもそも不正アクセスを行いにくい環境を作れます。
ユーザーIDの運用を適正化したり情報保護の精度を高めたりするうえで、パスワードの運用管理も重要なポイントです。
パスワードは他者から想定されないような内容を設定したうえで、それぞれのユーザー自身が忘れないように注意しなければなりません。そのため、社内全体でパスワードに関してポリシーを設定し、きちんとしたパスワード管理を徹底することが重要です。
かつての常識として、同じパスワードを使い続けることで他人に知られるリスクが高まるため、定期的にパスワードを変更して管理することが一般的なルールとして語られることも少なくありませんでした。しかしパスワードを定期的に管理することで、逆に忘れないようパスワードを簡素化したり、何かしらのルールに則ってパスワードを変更したりするリスクが高まります。
そのため現在ではパスワードの定期的な変更は推奨されておらず、複数の認証を併用するといった多段階認証でセキュリティ対策をとることが大切です。
情報管理においてユーザーのIDを設定するだけでなく、どのような権限をどのユーザーIDへ付与するのか考えることも重要です。
また、権限のレベルを段階的に設定することで、アクセスできる情報のレベルに差を設けておくこともポイントとなります。これにより、たとえば情報が不正に改ざんされた際に、そもそも情報を書き換えたり変更したりできるようなアクセス権限を有するユーザーによって実行されたと推察できるようになります。
ユーザー権限を適正化して、情報へアクセスできるユーザーの人数を制限しておくだけでなく、データインテグリティ対応システムを管理するユーザーとして「管理者」を設定しておくことも大切です。
システム管理者はシステム上において高度な権限を有するユーザーであり、セキュリティ対策やデータ管理について重要な役目を担います。
ユーザー管理が適正化されていない場合、データインテグリティ対応について信頼性を確保することができません。
たとえば、データを保管するコンピュータが社内できちんと管理されておらず、誰でもパソコンやデータへアクセスできるようになっている場合、情報漏洩やデータ改ざんといった不正を予防することが困難です。
また、システム管理者が欠勤したり休職したりした際に混乱しないよう、社内でパスワードを共有してしまっているような場合、そもそもパスワード管理を行う意味がありません。
管理業務とユーザー業務は本質的に異なるものであり、各作業の目的や意図に応じて権限付与やパスワード管理といったユーザー管理をきちんと実行することが肝要です。
あらゆる業種業界において、仕事をするうえで発生したデータを入力したり、必要なパラメータを設定したりといった作業は日常的に行われています。しかし、それらのデータがきちんと管理されていなければデータインテグリティ対応を進めることはできません。
また、データそのものが正しく保存されたとしても、後からユーザーが任意に内容を書き換えたり情報を盗んだりするリスクを放置することは危険です。
パスワードの設定や多段階認証による管理、ユーザーごとのアクセス権限の設定など適切なユーザー管理を実行するようにしてください。