Love PG , Liquor & Music

プログラマー備忘録やお酒や音楽

システムでは個人情報を持つべきではない(理想と現実)

最近作っているシステムで僕が設計した個人情報の扱い部分について痛烈にディスられたので吐き出しです。

経緯

ユーザーが持っている情報を別のユーザーに移管するときに、そのユーザーがシステム利用者であればユニークなユーザーIDをキーとして移管し、ユーザーがシステム非利用者であればメールで通知しシステム利用を促す仕組みを僕が設計。
「利用者のメールアドレスを移管担当者が知ることはナンセンスなんじゃね?」との批判を受ける。

論点

個人情報の公開範囲の問題

現実を踏まえた反論

そんなことはわかりきってます。現実問題として顧客の要望を叶えるユースケースを実現するためにはメールアドレスを移管担当者が知る必要があります。
例えば、移管のキーをワンタイムトークンにして、QRコードとかで受け渡せばメールアドレスを知る必要は全くなくなりますが、移管者の運用フローにQRコードを発行して受け渡すという手間が出てきます。
QRコードを発行するにはプリンターが必要だし、印刷の手順もわかりやすく周知しなければ行けないです。顧客側としてもiPhoneとかだとデフォルトでQRコードの読み込みが出来ないし、そもそもQRコードってなに?美味しいの?みたいな人もいる可能性だってあります。
特に今回作ってるシステムは老若男女問わずの利用される可能性があるので、QRコードを選択するほうがユーザー獲得枠を狭めてしまう可能性が大いにあります。(だってメールからリンク開くだけの方が簡単ですよね?)
システム都合でこういった損失につなげるという設計は絶対にありえないことですので、現実社会として実装するのは難しいです。

で、現実問題としてそういう基板上に今のシステムの多くは成り立っています。レンタルビデオショップしかり、携帯ショップ然りです。
多くのシステムでは個人情報を閲覧できる権限を従業員であればほぼだれでも持っています。

理想的な個人情報を扱う基板

そもそもシステムで個人情報を持つべきではない

つい先日ベネッセで2000万人の個人情報がありましたが、そもそも個人情報を各民間企業なりシステムでもつ必要があるか?と常々考えています。
企業が情報流出を行うと、信頼は地に落ちヘタすれば倒産します。また、顧客も知らないところから変な連絡が来たりとかクレジットカード勝手に使われたとか迷惑千万極まりない状態に陥ってしまいます。

もしシステムで個人情報を持たなかったら、こういう悲惨なケースってなくなりますよね。
システム屋さんだったら、今後自分が作ったシステムで万が一情報漏洩につながった時に、「あっこの問題進研ゼミでみた!」なんて後ろ指をさされることもなくなります。
企業だって個人情報の扱いに対して金と気を配らなくなるのでメリットしかなくなります。

個人情報を管理するのは実は思っている以上に莫大な金がかかってるのです。
電話回線とかの契約している顧客情報を管理しているデータベースが関東の北の方にあるんですが耐震防災最新鋭のセキュリティ完備のビル1棟建てて厳重に管理しています。場所によっては映画とかで出てくる網膜認証とかしているところもあります。個人情報を管理するってのはそんなレベルなんです。

どうやったらシステムで個人情報を持たないですむか

シンプルです。
個人情報は国が一元管理すればいいのです。
システムが個人情報を使いたいときは、利用者から閲覧許可をもらって参照させるようにすればいいのです。
例えばAmazonで何か注文してから手元に荷物が届くまでのフローはこんな感じ。

f:id:gwaan_so:20140712144213j:plain

昔のエントリーで書いたOAuthの考え方ですね。
要は個人情報を閲覧する権限の譲渡で成り立つということです。
個人情報の利用を利用者の判断でできるっていうメリットもあります。
Amazonだけでなく楽天とか色々なとこで買い物する人結構いると思いますが、各サイトで初回購入時なんかはいちいち住所入力とかめんどくさい手間も省けます。

個人情報の一元管理という点では昔に国民総背番号制度なんて糞制度が未だに頓挫気味で進行中とかですが、せっかく進めるんであれば是非こういう使い方だけして欲しいです。
この制度について「管理社会は最低だ!」とか、「人権がなんたらかんたらだ!」っていう意見も色々とあると思いますが、誰だって日本に住んでれば国籍が発行されて管理されていますし、上記に書いたようにビデオ借りようと思ったらそのビデオ屋さんに「名前・住所」、もっと言うと「何月何日にアダルとビデオ○本借りました」とかの情報まで管理されますよね。それの延長なので抵抗ある人は使わなければいいだけです。

国民総背番号制度でシステムと連動できるような便利な社会に早くなればいいなと思いますが、民間に情報提供しなかったり、利用者の承認を得ず参照とかできるような脆弱すぎる作りには決してしないで欲しいものです。