そのうえで、秘密情報と区分された情報に関する次の2つの台帳を作成した。 (1)秘密情報管理台帳 秘密情報に該当するデータベース上のテーブル、カラムを管理する台帳。さまざまなデータベースに散在する秘密情報を集約するために作成するもので、データベース間のデータ連携時には、この台帳を確認するだけでマスク対象のカラムを判断できる。 (2)閲覧者管理台帳 秘密情報の閲覧権限を持つ人(閲覧者)を管理する台帳で、「誰が」「どのデータストアの秘密情報を閲覧可能なのか」を集約して管理するために作成するもの。 この2つの台帳をベースにして、秘密情報の取扱いルールを次の5つのステップで策定した。念頭に置いたのは、「エンジニアの運用負荷をできるだけ上げずに、秘密情報の閲覧可能者をできるだけ限定すること」(廣瀬氏)だという。 1.新しく追加されるデータの取扱い基準の設定 新たに取得する情報について「誰が」「どのよう
![ZOZOの「DB秘密情報取扱いガイドライン」とSQL Server実装例 (1/2)](https://cdn-ak-scissors.b.st-hatena.com/image/square/da3fb5c7b94be7674b701d1f902c9f4759f60d6e/height=288;version=1;width=512/https%3A%2F%2Fascii.jp%2Fimg%2F2020%2F12%2F18%2F3134591%2Fl%2Fd694b6cae2993e9f.jpg%3F20200122)