意外と法律に興味があり、ちょっとだけ詳しい、ユゲタです。
偉そうに言うわけではないですが、会社経営をする上で、学習して置かなければいけない法律って、会社法は当たり前ですが、
民法、刑法、商法・・・六法はほぼ一読しておくぐらいの方が安全かと思っています。
そして、何よりツラいのが、こうした法律って、しょっちゅう変わってしまうという事なんですが、かなりアンテナを張っていないと
知らない内に法律違反してしまっていたりするかもしれません。
いっそのこと、法律もgit管理して、プルリクアラートから、アップデート後の差分表記まで、デジタルでRSS的にお知らせしてくれればいいのに・・・
とか思うユゲタは、デジタル庁に超期待しています。
話が、法律にむいていますが 、今回はインターネットサービスと切り離せない「個人情報」についての話をしたいと思います。
これもセキュリティについて知っておくべき情報なんですね。
法律の個人情報の定義
はじめに、このブログを見ている人は既知かと思いますが、わからない人のためにお聞きすると、
「個人情報」ってどういう定義かを知っていますでしょうか?
個人情報とは、
特定の個人を識別することができるもの
参考資料 :
総務省「個人情報の定義の明確化 」
このように定義されていて、さらに、「社会通念に基づき判断され、容易照合性の要件によって、個人情報該当性が事業者ごとに判断される」とされているのですが、
少し曖昧に感じるかもしれませんが、ようするに個人が特定される状態で個人情報とみなされるようです。
この法律ができた当初は、1つだけのデータでは、個人は特定できないとされて、住所と氏名、ログインIDとパスワードなどのように、
複数のデータをセットで個人情報と定義していたのですが、メールアドレスなどは、それだけで個人が特定できるとして、最近では、1つでも個人情報のデータと判断されるのが普通になっているみたいです。
これも時代によって変動してしまう定義ではありますが、この間隔をもっておかないと、「ここまでがセーフでここまでがアウト」という線引が、世の中とズレてしまうことになります。
法律について、「それは弁護士の仕事」と割り切らずに、学習すべきスキルとして、頑張って覚えてみると、意外と面白いかもしれませんよ。
※その後調べてみてわかったんですが、総務省がgit管理した法令全データがありました。
Japanese-Law : github
認証システムにおける個人情報の扱い
認証させるために、メールアドレスをログインIDとして利用しているwebサービスはたくさんありますが、
確かに、個人判断と、世界で1つしか無いという値の為のIDとして、メールアドレスは最適のように思えます。
でも、個人情報保護法の観点から、メールアドレスを平文(暗号化していない文字列)として、データベースに保持していると、その一覧が漏れただけで個人情報漏洩になるという事を理解しておかなければいけません。
これを防御したければ、
・メールアドレスを平文ではなく、暗号化してデータ保持する(デコード可能なエンコード方式)
・一覧表示できる機能を通常アクセスできないようなセキュリティを持つ(管理者アクセスのみの表示)
というような事を考慮しなければいけませんね。
少し難しく感じる人もいるかもしれませんが、それだけ認証システムは、慎重に作らないといけないという事も肝に銘じておきましょう。
