これからのエンジニアに必要な個人情報の取り扱いに関する倫理観と基礎知識

#トレンド技術ブログ

 現代はインターネットやスマートフォンが普及し、あらゆる情報をデータ化できます。閲覧したWebサイト、カードで購入した商品、利用したサービスなどの普段の何気ない行動もデータ化され、これらの情報は「資産」として扱われています。このような高度情報化社会において、エンジニアはより一層情報の取り扱いに注意が必要になります。今回はエンジニアのデータ・情報の取り扱いに関して注意すべき点をあげてみます。

 

 

■どこまでが個人情報?

 特に注意して取り扱わなければならないのは「個人情報」です。そもそも個人情報とは「特定の個人を識別できるもの」になります。「名前」、「住所」、「電話番号」、「Eメールアドレス」も場合によっては個人を特定できてしまうので個人情報になり得ます。

しかし、そうした情報以外でも、個人情報保護法のもと、企業においては、個人に関する情報という点では「個人情報」というものをどう解釈し、どう使用するのかは、サービスや考え方によって違う部分があることも事実です。それは一度、そうしたデータ・情報が流出してしまうと一般利用者が意図しない犯罪・事故などに巻き込まれてしまうことがあるためで、企業としてサービスの信用や安全性を担保しながら運営していくことが何よりも重要であるからに他なりません。このような認識のもと、データ・情報の扱いは細心の注意を払う必要があります。

 

 

■システムエンジニアが情報を扱う上で注意すべきこと

 個人情報漏洩の一番の原因とは何でしょうか?実はシステムの不備などではなく、人為的な、過失やミスによるものが最も多く、例えば、以下のようなものがあります。

・機密情報の入った外部メディア(USBなど)を紛失してしまう

・ログインパスワードを忘れないように付箋に書いてパソコンに貼ってしまっている

・個人情報の取り扱いルールを明確にしていない(例:「仕事で個人情報を利用した後はその個人情報を消去する」など)

そのため、第三者が個人情報にたどり着きやすい環境を作らないことが第一です。これはシステムに関わる人そうでない人関係なく注意する必要があります。

 ではシステム関係者が注意すべきことは何でしょうか?プログラマーやSEが開発している多くのソフトウェアは、個人情報など重要なデータを扱うことになります。そのため、ソフトウェアの開発者になるのであれば、自身が開発するシステムにセキュリティ上の欠陥が無いかどうか確認できるようになることが求められます。このシステムにおけるセキュリティ上の欠陥は「脆弱性」と呼ばれています。脆弱性があると、外部の人間がシステムから重要な情報を盗み出したりすることができるようになってしまいます。

 

■代表的な脆弱性

 脆弱性の種類は数多くあり、かつ今後も種類は増えていくので、すべてを理解することは難しいでしょう。また、企業が開発したソフトウェアの脆弱性は、セキュリティ専門の業者やチームによってテストされるので、一般的なシステムエンジニアを目指すのであれば、そこまで深く脆弱性の種類や対策を理解する必要はありませんが、必要最低限は知っておくべきでしょう。システムの設計やインフラの構築など上流の工程を任されるようになれば、セキュリティの知識も必要になってきます。代表的な脆弱性としては以下のようなものがあります。他にも様々な種類があるので、必要に応じて調べてみると良いでしょう。

 

1. SQLインジェクション

 システム内で開発者の意図しないSQLが実行されてしまう脆弱性です。データベースを外部の人間に操作されてしまう可能性があります。個人情報が盗み出されてしまう可能性だけでなく、情報を改ざんされたり削除されたりすることもあります。たとえば、ユーザーがシステムに入力した値をそのまま利用してSQLを作成し実行するようなロジックになっていると発生します。

 

2.クロスサイトスクリプティング

 Webサイトに悪意のある人間が用意した悪さをするスクリプトを挿入し、そのWebサイトを閲覧したユーザーがその仕掛けられたスクリプトを実行してしまう脆弱性です。この脆弱性の対策はサイトの運営者にもユーザーにも求められます。サイトの運営者(開発者・管理者)は、「セキュリティソフトの導入」や「自分のサイトからの不正サイトへのアクセスのブロック」などの対策が求められます。

 

 

■まとめ

 AIの発展、IoT技術によるデータ収集の容易化、ネットワークの高速化など、今後ますます情報は多量化・多様化していくことが予想されます。EUではGDPR(General Data Protection Regulation)というルールが2018年5月より適用され、個人データの取り扱いに対する取り締まりが厳しくなっています。日本でもより厳格な保護基準が一般的になる可能性があるので、この分野に関しては常日頃から情報収集しておくといいでしょう。

関連する記事

To top