コード日進月歩

しんくうの技術的な小話、メモ、つれづれ、など

ログの保持期間の目安についてまとめられている資料があるので2023年2月時点で照らし合わせる

Twitterでみて書き留めておきたかったので残す

出典

IPAが2016年に出した「企業における情報システムのログ管理に関する実態調査」があり、こちらに法令やガイドラインと絡めてまとめられている。

記載のあるログ保存期間の目安と対応するガイドライン

改めて出典資料から2022年アクセス可能な情報で照らし合わせる

保存期間 法令、ガイドラインなど
1ヶ月間 刑事訴訟法 - 第百九十七条の3
3ヶ月間 サイバー犯罪に関する条約(略称:サイバー犯罪条約)(通称:ブダペスト条約)- 第十六条 2
12ヶ月間(1年間) PCIDSS v4.0 - 10.5.1
Successful SIEM and Log Management Strategies for Audit and Compliance - Discussion
36ヶ月間(3年間) 不正アクセス行為の禁止等に関する法律の時効に合わせて
60ヶ月間(5年間) 金融商品取引法 - 25条の期間に合わせて
・電子計算機損壊等業務妨害罪の時効に合わせて
84ヶ月(7年間) 下記3つの時効に合わせて
・電子計算機使用詐欺罪
・詐欺罪
・窃盗罪
120ヶ月(10年間) ・『不当利得返還請求』等、2020年改正前民法上の請求権期限
商法19条(旧商法36条)

なお出典元の資料にある「平成23年度政府機関における情報システムのログ取得・管理の在り方の検討に係る調査報告書」は現在閲覧不可のため削除、「欧州連合EU)のデータ保護法」も原典にあたるものが見当たらないためで削除しました。

細かい補足は以下です。

刑事訴訟法 - 第百九十七条の3

法令を引用すると以下の通り

③ 検察官、検察事務官又は司法警察員は、差押え又は記録命令付差押えをするため必要があるときは、電気通信を行うための設備を他人の通信の用に供する事業を営む者又は自己の業務のために不特定若しくは多数の者の通信を媒介することのできる電気通信を行うための設備を設置している者に対し、その業務上記録している電気通信の送信元、送信先、通信日時その他の通信履歴の電磁的記録のうち必要なものを特定し、三十日を超えない期間を定めて、これを消去しないよう、書面で求めることができる。(後略)

上記にあるように消さないように要求される可能性がある30日間は保持しておくことが安全という解釈。

「サイバー犯罪に関する条約(略称:サイバー犯罪条約)(通称:ブダペスト条約)- 第十六条 2」について

こちらも引用すると以下のとおり

(前略)締約国は、ある者が保有し又は管理している特定の蔵置されたコンピュータ・データを保全するよう当該者に命令することによって1の規定を実施する場合には、自国の権限のある当局が当該コンピュータ・ データの開示を求めることを可能にするために必要な期間(九十日を限度とする。)、当該コンピュータ・データの完全性を保全し及び維持することを当該者に義務付けるため、必要な立法その他の措置をとる。締約国は、そのような命令を引き続き更新することができる旨定めることができる。

上記にあるように90日間を限度とする保全命令が出る可能性があるので、90日間は保持するほうがよいという解釈だと思われます。

「Payment Card Industry Data Security Standard v4.0」について

クレジットカードのセキュリティ基準であるPCIDSSでは細かい要件が定義されている。

そのうちv4.0の要件のひとつとして、監査ログの履歴を12ヶ月間保持すべきというガイドラインがあるためこちらに合わせると監査ログは12ヶ月保持すべきということになる。

「Successful SIEM and Log Management Strategies for Audit and Compliance」について

2010年頃にSIEM(Security Information and Event Management)とログの管理についてまとめた資料。

この資料内で以下の記述がある。

Sarbanes Oxley, also provides a base timeline of one year for event retention. Again, though not technology directed, actors subject to the law are required to provide annual reports, and both annual and one year appear repeatedly in the law.

いわゆるSOX法(Sarbanes Oxley)ではだいたいイベントの保持期間を1年保持としている、というところから出典資料では取り上げたのかと思われます。

各種法律の時効期限について

法律に関しては刑罰の期間に応じて時効の期間が定められている。(刑事訴訟法第250条2項6号)そのため時効になるまでは利用するタイミングがあるためその期間は保持しておくべきという解釈かと思われる。

なお今回とりあげられている法と罪と時効の対応付けは以下の通り。

法律 刑罰 時効
不正アクセス行為の禁止等に関する法律 第十一条 三年以下の懲役又は百万円以下の罰金 長期五年未満の懲役若しくは禁錮又は罰金に当たる罪については三年
刑法 第二百三十四条の二(電子計算機損壊等業務妨害 五年以下の懲役又は百万円以下の罰金 長期十年未満の懲役又は禁錮に当たる罪については五年
刑法 第二百四十六条の二(電子計算機使用詐欺) 十年以下の懲役 長期十五年未満の懲役又は禁錮に当たる罪については七年
刑法 第二百四十六条(詐欺) 十年以下の懲役 長期十五年未満の懲役又は禁錮に当たる罪については七年
刑法 第二百三十五条(窃盗) 十年以下の懲役又は五十万円以下の罰金 長期十五年未満の懲役又は禁錮に当たる罪については七年

金融商品取引法の25条について

金融商品取引法の25条では内部統制関連文書、有価証券報告書とその付属文書などの文書を必要があれば公表しないといけない旨の条文であり、ログがこちらに関わる情報の場合はこの条文での最長期間である「五年」保持するべきという解釈かと思われます。

民法上の請求権期限について

出典元の設定がかなりアバウトなのですが、2020年の改正前の民法の請求などに関わる場合おいては十年という期間が出る事が多いため、代表例として「不当利得返還請求」をあげているのかと思われます。

また、2020年以降の出来事においては期間が5年になっているケースもあるので、決済など民事に関わりがありそうなシステムログなどは留意が必要かと考えられます。

以下、参考サイトです。

民法総則改正のポイントを徹底解説(第5回)~消滅時効について①~

商法19条と旧商法36条について

商法19条の3項では以下のような記述がある

商人は、帳簿閉鎖の時から十年間、その商業帳簿及びその営業に関する重要な資料を保存しなければならない。

ということで帳簿関係の情報は10年保存が必要となり、ログがそこに関わる場合はこちらを留意する必要がある。

なお、出典元の資料では商法改正前のものだったため36条という記載があったが、現在では19条として記載があるためそちらを今回は記載した。

以下参考リンク

余談、GDPRについて

GDPRについて「ログを保持せよ」ということではなく「個人に関わる該当ログを消せる状態にせよ」という話ので今回の切り口とは別になる。

関連リンク