データの暗号化をする場合には、どのデータを暗号化するのかを決めなくてはなりません。しかし、これはどのように決めればよいのでしょうか?
いわゆる企業内では秘密情報と呼ばれるものがそれに当たるのですが、いったい誰が、いつ決めているのか、そして、その判定基準はと言われると、すぐに答えられる人は少ないのではないかと思います。
ちなみに個人情報保護法の施行や、プライバシーマークなどの普及により、個人情報は秘密情報であるという認識は一般的に共通のものとなりつつありますが、それ以外の情報については、あまり気にかけない方も多いようです。
経済産業省は、平成28年2月に「秘密情報の保護ハンドブック ~企業価値向上に向けて~」という114ページもある冊子を発行しています。これはISMS(ISO27001)をベースにした記述になっていますが、非常にわかりやすくまとめてあるので一読されることをおすすめします。
この中で秘密情報を簡単に定義するのであれば、例として漏洩した場合に次のようなことが起こるものです。
・法令または契約違反となる
・取引先や他社に損失を与える恐れがある
・社会的な信用の毀損の恐れがある
・自社の競争力が低下する恐れがある
会社によって何が秘密情報になるのかは、上記のような基準を元に十分に話し合って決めていく必要があります。それを決めていないと何でも機密情報にしてしまったり、逆に知らずに機密情報を漏洩してしまったりするかもしれません。
このような基準が先に決まっていれば、簡単にシステム上でも何を暗号化するかを判断することが可能になります。
Linux上の暗号化でお困りではありませんか?
http://www.softagency.co.jp/products/server-general/
データを簡単に見せたくないなら、MySQLでカラム暗号化をしてみませんか?
http://www.softagency.co.jp/products/mydiamo/
MySQLの管理や監視を管理者任せにしていませんか?
http://www.softagency.co.jp/products/mysql/#Enterprise