「アクセスログ 保存期間」「ログ 保存期間」で検索しても中々スパッとした答えが出てない、その代わり期間決定に色々参考になる情報があるという事はよく分かった。
それなら自分の中で定義しよう 3ヶ月(90日)でOK。(2008年10月現在の定義)
※最少は30日から、上は各自ストレージと相談してお好きなように
結論にいたるまでは、それなりの経過がある。以降は判断までの過程なので興味なければ不要。
プロバイダ責任制限法には制限が無いらしい
関連サイトなど。
責任法の第4条では開示要求について記載されている。
「プロバイダは当局のログ提出要請に応じてネ。」という事のようだけど、じゃあどのくらい昔のログを出したらいいのかというと特に触れられていない。
外部サイト参考:「プロバイダー責任(逃れ)法可決 」 にあるように、そもそもログの取得が義務で無いため、ログが無ければ無いでよいという解釈になる。
なんでそんな事に?と思うかも知れないが、結局色々しがらみがあるんだろう。
不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)にも期間の指定は無いが…
関連サイトなど。
- 不正アクセス行為の禁止等に関する法律
http://law.e-gov.go.jp/ - 警察庁 不正アクセス対策法案に関する意見書
http://www.jisa.or.jp/opnion/990107-01.html
肝心の警察庁案が見当たらなかったが、当時についての記事1、当時についての記事2 から、警察丁案ではこちらの法律で 90日間又は30日間が義務付けられそうだった という事が分かった。
じゃあコレでいいじゃんという事で。
不正アクセスやら何やらで、当局に提出を求められる可能性があるログの類は、迷ったら3ヶ月(90日)を目安に運用すればOKだ。
(Apache・IIS等のWEBサーバアクセスログ、SMTP・POP3のメールログ、その他ログイン履歴などetc...)
そうそう、サーバ貸してる場合は、ユーザさんとはちゃんと取り決めを交わしてから消してね。
続きを書いたのでそっちもよろしく。
続・アクセスログの保存期間は3ヶ月を目安にすればいいんじゃないか
