預かっているデータやそのシステムでの説明責任を果たすためのデータは、法律で義務付けられている限り保持し、維持しなければなりません。組織としては、法律や規制と照らして、データの種類ごとに保管する期間を確認しておく必要があります。しかしながら、あなたが適切な保管期間をインターネットで調べたとき、おそらく混乱するでしょう。例えば、PCIDSS v4.0では、問題解決したいだけなので1年間。刑事訴訟法 第197条では、30日を超えない期間。不正アクセス禁止法では3年間。電子計算機使用詐欺罪では7年間。色々ありますね。

そこで、システム管理者としては、即時分析できるデータベースと、長期保存し監査できるデータベースの2タイプのストレージを運用するといいでしょう。分析用のデータベースはオンラインにし、常に利用ができる状態にします。監査用のデータベースはオフラインにし、必要になったら立ち上げられる状態にしておきます。分析用のデータベースは概ね1年間保管します。1年が過ぎたら、以前の履歴は削除します。その代わり、監査用のデータベースに以前の監査履歴も含め、すべての監査履歴を保管するようにします。監査用のデータベースの保管期間は可能なかぎり長期にすることで、説明責任を果たせるでしょう。

ここで、鋭い人はこうも考えたはずです。分析用のデータベースからデータを削除せずに、そのまま持っておけば監査用データベースとしても使えるのではないか？とても良い着眼点です。ただ、実際に運用してみたときには中々うまくいきません。容量の多いデータベースがオンラインになればそれだけ保存期間にかかるコストの増加や、データ増大による検索能力の劣化につながります。数年前の監査証跡は常に必要になるわけではありませんので、オフラインで長期保存した方がよさそうです。いつか使うからという理由で、引っ越しの時にしか開かない段ボールで、家が埋め尽くされているような状態になったら嫌ですね。そのため、同じに見えるデータであっても、分析と監査という目的ごとにストレージを分けるほうが、監査の期間が長期で大量になることを鑑みると合理的です。