個人データをクラウドのキーバリューデータベースに保存する企業に対して、削除リクエストを適切に処理させ、その完了を確認させるためのアプローチがあります。しかし、データが本当に削除されたこと、および削除記録が正当なものであることを確認する手段は、リクエストを行う当事者や監督する規制当局にとって、これまで限られていました。
ミュンヘン工科大学とリスボン大学の研究者が開発したミドルウェアシステム「GDPRuler」は、アプリケーションと変更不要のキーバリューデータベースの間に位置し、データが通過する際にプライバシールールを適用します。このシステムが対処する弱点は、構造的なものです。クラウド事業者やその管理者、そして侵害されたハイパーバイザーは、保存データや適法な処理を記録するための監査ログを読み取ったり改ざんしたりすることが可能です。
GDPRulerシステムの詳細図(出典:研究論文)
封鎖環境内での適用強制
GDPRulerは、その適用ロジックを機密仮想マシン(Confidential Virtual Machine)内で実行します。これはAMD SEV-SNP、Intel TDX、ARM CCAがサポートするハードウェア分離環境です。この分離により、クラウドプロバイダーやその他の特権ソフトウェアがシステムのメモリを読み取ったり、処理の判断を改ざんしたりすることができません。リモートアテステーションによって、データ交換を開始する前に外部の関係者がデプロイメントの正当性と期待されるコードの実行を確認できます。
システムはすべてのデータベース操作を傍受します。各キーバリューペアにコンプライアンスメタデータを付与し、データオーナー、許可された目的、共有権限、保持期間、禁止された用途を記録します。データプロセッサーがレコードを要求すると、モニターはプロセッサーが申告した目的をオーナーの保存済みポリシーおよびオーナーの異議申し立てと照合します。オーナーが異議を申し立てた目的によるリクエストは拒否され、ログに記録されます。
監査担当者向けの改ざん検知記録
監査証跡は、検証を目的として構築された部分です。コンプライアンスに関連する操作ごとにログエントリが生成されます。エントリはバッチ処理され、暗号化されたうえで、機密仮想マシン内で保持されるメッセージ認証コードとカウンターによって保護されます。カウンターはバッチごとに増加します。監査の際、登録済み鍵を持つ規制当局はログを取得でき、システムは整合性コードとカウンターのシーケンスを検証します。ギャップや改ざんされた値は、不正操作やロールバックの試みを示すものです。
研究チームは、Dolev-Yaoの攻撃者モデルの下でTamarin Proverを使用してアテステーションとロギングのプロトコルを検証しました。これはネットワークを制御し、ストレージ内のログエントリを追加・削除・変更できる攻撃者を想定した設定です。この分析により、検証済みのログには含まれるべきすべてのエントリが過不足なく含まれており、正規のエントリのみで構成されることが確認されました。
法的規則のコードへの変換
GDPRulerには、GDPRの義務をランタイムチェックにコンパイルするポリシー言語が含まれています。データオーナーとプロセッサーは、クエリに付与された述語としてポリシーを表現します。
この言語は、第5条の目的制限と保存制限、第15条のアクセス権、第17条の忘れられる権利、第21条の異議申し立て権、第30条の処理活動の記録に対応しています。侵害通知など、アプリケーションスタックの上位で処理される条項は、データベースのスコープ外となります。
性能と制約
研究チームは変更不要のRedisとRocksDB向けにプロトタイプを構築し、AMD SEV-SNPサーバー上でYCSBベンチマークとGDPR固有のワークロードを使用してテストを実施しました。GDPRulerは平均でネイティブデータベーススループットの約61パーセントを達成しました。このオーバーヘッドの大部分は機密仮想マシンによるもので28〜32パーセントを占め、残りはコンプライアンス層と暗号化によるものです。改ざん検知ロギングによるスループット低下は約2パーセントにとどまりました。これは、書き込みがメインパスから外れてバッチ処理されるためです。
ストレージメタデータはデータベースのフットプリントをRedisで8.9パーセント、RocksDBで19.8パーセント増加させました。GDPR固有のクエリでは最大の改善が見られました。特定の人物のデータをすべて取得するような操作は、通常であればストア全体をスキャンするところ、GDPRulerがメタデータをインデックス化することで13〜182倍高速化されました。
システムには明確な境界が存在します。新鮮さのチェックによって、ロールバックから監査ログを保護します。一方、基盤となるデータベースデータのロールバックはスコープ外です。これはデータベースのレコード保存方法との互換性を維持するための設計上の決定です。サイドチャネル攻撃やサービス拒否攻撃も対象外となります。プロトタイプは範囲クエリを省略しており、評価では元データが入手できなかったため、規制当局を代表する1つのベンチマークワークロードが除外されています。
その結果、信頼できない事業者が管理するクラウドインフラ上で動作しながら、プライバシールールを強制し、規制当局が確認可能な証拠を生成するストレージ層が実現しました。同じメタデータフィールドと適用フックは、カリフォルニア州消費者プライバシー法(CCPA)やバージニア州消費者データ保護法(VCDPA)など他のプライバシー法にも対応でき、ポリシールールの選択によって各法律の差異を吸収できます。
翻訳元: https://www.helpnetsecurity.com/2026/06/11/gdpr-compliant-cloud-storage-privacy/
