日本でもSOX対応ということでどのようにすべきか対応されているところもあると思います。
JSOXのポイントは、いままで業務フローの結果をいれるべきシステムが、業務フローそのものにならなくてはいけない。ということかと思います。
たとえばだれがどのデータをメンテナンスしたか、このタイミングでこのデータにアクセスできたのは誰か、上司の承認行為をもってデータ反映としたか、などです。
また昨今の個人情報保護法の影響でのリテラシ向上で、個人情報にアクセスした人数を絞る。アクセス証跡を押さえる。などが考えられます。
これらすべてに対して影響してくるのがログです。
よくAOPの説明で非機能要件だとか、ウェービングで十分とかそんな話を聞きますが、私はそうは思いません。(それはトレースでしょ?)
ログについては色々と考えなくてはいけないことが存在します。
ちょっとずつ考えてみましょう。