提出前チェックリスト
提出前チェック:個人情報(PII)のログ混入
最終更新: 2026-02-06
### このページの目的
GDPRや個人情報保護法対応で突っ込まれる「ログの中の個人情報」を確認します。
### チェックリスト
#### A. 混入リスクの確認
- [ ] **GETリクエストのパラメータにPIIを入れていないか?**
- `/[email protected]` のようなURL設計はWebサーバーログに残るためNGです。
- [ ] **エラー時のスタックトレースに生データが出ていないか?**
- DBエラーログにInsertしようとした個人情報が丸見えになっていませんか?
#### B. 対策
- [ ] **ログのアクセス権限は適切か?**
- 万が一入ってしまっても、見れる人が限定されていればリスクは下がります。
---
### 「No」の時の言い訳
- **Q. ログに個人情報は一切ありませんか?**
- A. 「原則含めない設計ですが、万一の混入に備え、アクセス権限の最小化と保存期間の自動削除によりリスク低減を図っています。」
この記事について
想定読者
BtoB SaaSの開発・運用担当者、情報システム部門
記事の目的
監査人や取引先への回答作成時間を短縮し、抜け漏れのない回答を作成する
根拠・参照情報
- •IPA 安全なウェブサイトの作り方
最終更新日
2026-02-06
免責事項: 本記事は監査対応における判断支援を目的としており、法的・監査上の最終判断を保証するものではありません。 最終的な意思決定は、必ず関連規格(PCI DSS, SOC2等)の公式文書や、貴社の法務・監査部門の判断を参照してください。