個人データセキュリティ
BioStar Xは、ユーザーCredential、バイオメトリックテンプレート、個人識別情報を保存します。 データベースが暗号化されていない場合、侵害時にこれらの情報が平文で公開され、ID盗用、法的責任、規制違反につながる可能性があります。 この文書では、個人情報データベースの暗号化を有効にし、バイオメトリック画像の保存を最小限にして、機密データを保護する方法を案内します。
個人情報データベース暗号化
すべての機密ユーザー情報とCredential情報を暗号化して保存するには、データベース上の個人データの暗号化を有効にします。
暗号化データの範囲
データベース上の個人データの暗号化を有効にすると、次の項目がデータベースに保存される際に暗号化されます。
-
プロフィール画像
-
ユーザーID、名前、電話番号、ユーザーIPアドレス、メールアドレス
-
ログインIDおよびログインパスワード
-
顔テンプレート、指紋テンプレート
-
カードID、スマートカードレイアウトキー
-
ユーザーおよび訪問者のカスタム情報
-
イメージログファイル
個人情報DB暗号化キー
-
データベース上の個人データの暗号化を使用に設定すると構成できます。
-
キーは、文字、数字、記号を組み合わせた32文字で構成する必要があります。
-
キーを変更すると、既存データがすべて再暗号化されます。
ベストプラクティス
安全な乱数生成器を使用してキーを生成し、Password Vaultに保存します。 定期的に変更するか、侵害が疑われる場合は直ちに暗号化キーを変更します。
手順
-
管理者アカウントでBioStar Xにログインします。
-
設定 → システム → セキュリティに移動します。
-
データベース上の個人データの暗号化を使用に設定します。
-
必要に応じて、個人データ暗号化キーで変更ボタンをクリックし、新しい暗号化キーを32文字入力します。
暗号化キーを変更すると、既存のすべての個人データが再暗号化されます。 保守期間中に変更作業を予約します。 暗号化キーを紛失すると、暗号化されたデータを復旧できません。
顔画像の保存
顔画像の保持が必要な厳格な運用要件がない限り、顔画像を保存機能を無効にします。
-
テンプレート vs 画像: テンプレートはバイオメトリックデータの数学的表現であり、逆追跡で顔を特定しにくくなります。
-
GDPR、PDPAなど、多くの個人情報保護規制では、バイオメトリック画像を非常に機密性の高いデータとして扱います。
-
画像を不要に保存すると、法的リスクと攻撃の可能性が高まります。
手順
-
設定 → サーバー → サーバーに移動します。
-
ユーザー更新イベントの破棄 (登録/更新/削除)を使用に設定します。
-
上級者設定で顔画像を保存を設定します。
-
既定値: 使用
-
推奨設定: 未使用
-
ベストプラクティス
-
バイオメトリック認証には、画像ではなくテンプレートのみを保存します。
-
監査目的で画像が必要な場合は、厳格なアクセス制御と短い保存期間(30~60日)を適用し、別のセキュアストレージに保存します。
-
アップグレード後、設定が既定値に戻っていないか定期的に確認します。