@ITの特集記事「Windowsセキュリティセミナー・レポート」を 参照いただければ何をすべきなのかというところが 見えてくるかと思います。 ご質問のIIS Serverにアクセスしたユーザのログを 記録することは可能です。OSの機能で実現できます。 なお、可能な限り個人情報をとらない仕組みを 検討することも重要だと思います。 技術的な問題解決手法については次のWebサイトが 参考になると思います。参照してみてください。 ●Microsoft　Internet Information Services (IIS) http://www.microsoft.com/japan/technet/security/prodtech/IIS.mspx ●Microsoft　Windows Server 2003 をセキュリティ保護する http://www.microsoft.com/japan/technet/security/guidance/secmod124.mspx ●Microsoft　チェックリスト: Web サーバーをセキュリティ保護する http://www.microsoft.com/japan/msdn/library/default.asp?url=/japan/msdn/library/ja/jpdnsecure/guidance/secmod104.asp <[特集]　Windowsセキュリティセミナー・レポート> ●@IT　Windows環境におけるセキュリティ強化のポイント（前編） http://www.atmarkit.co.jp/fwin2k/special/secseminar2003/wsseminar1_01.html ●@IT　IIS安全対策ガイド http://www.atmarkit.co.jp/fwin2k/operation/iissecurity/iissecurity_01.html ●@IT　IIS安全対策ガイド・インターネット編 http://www.atmarkit.co.jp/fwin2k/operation/iissecurity2/iissecurity_01.html ●@IT　個人情報保護法時代のIISセキュリティ対策（前編） http://www.atmarkit.co.jp/fwin2k/operation/iisssl01/iisssl01_01.html