SIer として取れる最善の方法って何なのか、考えてみようと思ってみたり。

• • システム設計時にできること
    • そのシステムが必要とする個人情報は何なのか、責任を持った人たちできちんと検討してもらう
    • 理由を添えた形で、収集するべき個人情報を設計書に明示する
    • 個人情報データのシステム内部での移動経路を、明確に示す
    • 例えば、入力デバイスと入力する人、出力デバイスと出力を見る人は誰であれば良いのか検討し、画面にできるだけ表示しないようにする
    • 出力デバイスは一時的なもの (ディスプレイ等) に限定する。紙類の保存が可能なものには絶対に出力させない、そういったデバイスを接続させないようにする
    • 最低でも個人情報データ、及びそれらをやり取りする通信情報は暗号化する
    • プログラミングにおいて、個人情報を扱うシステム部位のテストには、データを引き抜くことができるかどうか確認するためのテスト項目を必ず設ける
    • 当然、端末はシステム運用以外の行為を出来ないようにする

• • 運用時にできること
    • 個人情報の運用が可能な人間は、プロパーだけに限定する
    • 個人所有の端末類は持ち込まない
    • パスワード運用は厳密に行なう
    • その人が取り扱うべき個人情報は適切かどうか、常に監査しつづける
    • 個人情報を収集する内容とその理由について、誰でも判るように明示する

何か運用時にできることって、凄くあたりまえのことばっかりだなぁ・・・。