個人情報は完全に削除されるか
データベースのテーブルに「削除フラグ」フィールドをつけるというシステム開発に携わったことがある方はたくさんいらっしゃると思います。実は私、この仕組みが大嫌いなのですが(それだったら、退避テーブルに逃がしたほうがロジックがすっきりすると思う)、恐らく珍しくない手法でしょうからあちこちにそんなシステムがあるでしょう。
では、会員登録制のサイトで「退会」処理を行ったとき、もし、そのシステムのデータベースにこの手法が用いられていたらどうでしょうか? ユーザはすっかり個人情報が削除されたと思っていても残り続けるわけです。
私はそれが非常に怖い。しかも、その機能が「隠し機能」的にシステム屋が勝手につけたものならばさらに始末に終えません。なぜならば、運用側(運営側)が削除できないからです。つまり、「情報の漏洩があったようだ」といってたとえば、現登録人数を「流出件数」として発表したとしたら、この「削除フラグがついているだけ」というカウント対象外の情報も漏洩していたとしても数に入らなくなるわけです。
「そんなアホなことあるわけないでしょ」と言われるかもしれません。はい。確かに「アホなこと」であって欲しいです。ですが、システム屋の津々浦々までこういったことを日々念頭に置いておかなければ、どこで情報を流出するシステムを作ってしまうかわからないのではないでしょうか?
今日の提言
個人情報の扱いについての社員教育はシステムの作り方まで徹底されていますか?