セキュリティチェックシート：ログ保持期間はどう回答する？（最低限/推奨）

### このページの目的 ログの保存期間について「なんとなく」ではなく「ポリシーとして定めている」と回答するためのテンプレートです。 ### 得られるもの - 1年、3年、7年などの期間設定の根拠 - 「要件未定」の場合の逃げ方（回答テクニック） - コストを抑えつつ「長期保存してます」と言うための構成 --- ### 回答テンプレート #### パターンA：標準的（1年〜） ```text 当社セキュリティポリシーに基づき、監査ログは最低1年間保持しています。 直近3ヶ月分は即時検索可能なホットストレージに保管し、それ以前のデータはアーカイブストレージにて厳重に保管しています。 期間終了後は、自動化されたライフサイクルポリシーにより安全に破棄されます。 ``` #### パターンB：法定保存要件重視（7年〜） ```text 関連法規（会社法、税法など）および契約上の義務に基づき、取引および財務に関連する監査証跡は7年間（または10年間）保持します。 データは暗号化されたオブジェクトストレージに保管され、データの完全性が保証されています。 ``` #### パターンC：明確な規定がない場合（スタートアップ等） ```text 現状はシステムおよびクラウドベンダーの標準仕様に基づき、無期限（または最大期間）での保持を行っております。 今後、サービスの拡大および法的要件の具体化に合わせて、詳細な保持期間ポリシー（Retention Policy）を策定・適用する予定です。 ``` ※「無期限」は聞こえは良いですが、GDPR等では不適切とされる場合があるため、Cはあくまで過渡期の回答推奨です。 --- ### 期間設定の根拠（目安） なぜその期間なのか？と突っ込まれた時のための理論武装です。 | 期間 | 根拠となる規格・法律の例 | |---|---| | **1年** | PCI DSS（クレカ業界基準）、サイバーセキュリティ経営ガイドライン（推奨） | | **3年** | 医療情報システムの安全管理ガイドライン | | **7年** | 法人税法（取引に関する帳簿書類） | | **10年** | 会社法（会計帳簿） | ### やってはいけないNG回答 - ❌ 「容量がいっぱいになるまで」（管理されていない印象を与える） - ❌ 「特に決めていません」（リスク管理不足） - ❌ 「3ヶ月」（セキュリティインシデントの平均発覚日数が200日を超える現在、短すぎると判断されるリスクあり）