アカウント名:
パスワード:
登録業務なんかもあるからね。だから権限の問題ではなく監査の問題。誰がいつどの情報にアクセスしたのか。あとは情報の見せ方もかな。貸し出し履歴は直近以外表示する必要ないだろうし。
個人情報保護法で安全管理措置を取る義務 [e-gov.go.jp]があるので監査が有っても、アクセス制限がザルだと突っ込まれます。
法施行前にザルさで今回と似たような問題が起きたとあるシステムでは、ログインユーザーによって可能業務が切り分け可能、監査可能だけでは不足という事で、サーバー側も追加対策入れて悪用したらアラートが上がるように。全フローで、必要最低限の個人情報しか表示しないように、紛失・修正等で個人情報を閲覧する必要がある業務でも警告表示と実行キーが必要となり、フル表示の為には氏名、生年月日、電話番号等を使った多要素認証が必要になりました。
芸能人の名前とかを入れる阿呆が居るのよね。
長々と書かれているけど、
フル表示の為には氏名、生年月日、電話番号等を使った多要素認証が必要になりました。
フルアクセス可能じゃないですか。他のコメントもそうだけど、フルアクセス可能なのと好きなデータが(好きな方法好きな形式で)取得できるのは違うことだよ。
開示義務がある [e-gov.go.jp]のでフル表示は何処かに必要です。
フルアクセス可能な仕組みは何処かには必要だけど、それを店舗バイトにまで使わせる理由はないわな。
その通りで、普通は店長もしくはそれに準ずるプロパー責任者にしか権限は付与しないです
#他ポイントのシステム導入してる無関係の店舗の無関係者ですが
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
フルアクセス可能なのは仕方ない (スコア:0)
登録業務なんかもあるからね。
だから権限の問題ではなく監査の問題。
誰がいつどの情報にアクセスしたのか。
あとは情報の見せ方もかな。
貸し出し履歴は直近以外表示する必要ないだろうし。
Re: (スコア:0)
個人情報保護法で安全管理措置を取る義務 [e-gov.go.jp]があるので監査が有っても、アクセス制限がザルだと突っ込まれます。
法施行前にザルさで今回と似たような問題が起きたとあるシステムでは、
ログインユーザーによって可能業務が切り分け可能、監査可能だけでは不足という事で、
サーバー側も追加対策入れて悪用したらアラートが上がるように。
全フローで、必要最低限の個人情報しか表示しないように、
紛失・修正等で個人情報を閲覧する必要がある業務でも警告表示と実行キーが必要となり、
フル表示の為には氏名、生年月日、電話番号等を使った多要素認証が必要になりました。
芸能人の名前とかを入れる阿呆が居るのよね。
Re:フルアクセス可能なのは仕方ない (スコア:0)
長々と書かれているけど、
フル表示の為には氏名、生年月日、電話番号等を使った多要素認証が必要になりました。
フルアクセス可能じゃないですか。
他のコメントもそうだけど、フルアクセス可能なのと好きなデータが(好きな方法好きな形式で)取得できるのは違うことだよ。
Re: (スコア:0)
開示義務がある [e-gov.go.jp]のでフル表示は何処かに必要です。
Re: (スコア:0)
フルアクセス可能な仕組みは何処かには必要だけど、それを店舗バイトにまで使わせる理由はないわな。
Re: (スコア:0)
その通りで、普通は店長もしくはそれに準ずるプロパー責任者にしか権限は付与しないです
#他ポイントのシステム導入してる無関係の店舗の無関係者ですが