渡す前に決める理由
「とりあえずCSVで送る」が続くと、個人情報の持ち出し・保管期限の不明・削除漏れが起きやすくなります。
開発のスピードを落とさず安全に進めるには、渡す前に範囲とルールを決めておくことが大切です。
そのまま渡す
ルールを先に決める
渡す前のチェックリスト
次の項目を埋めてからデータを渡すと、開発会社との会話がスムーズになり、事故のリスクも下がります。
本番
原則渡さない。必要時は最小範囲・短期・契約明記
匿名化データ
開発・テストの標準。マスキング済み
ダミーデータ
構造検証用。件数・形式だけ本番に近い
- 渡すデータは匿名化・マスキング済みか(本番直渡しの場合は範囲を最小化)
- 渡す期間と、作業終了後の削除期限が決まっている
- 外注先の誰が・どの環境で触れるかが説明できる
- データの持ち出し(USB・個人PC)が禁止されている
- 作業ログと、削除完了の報告方法がある
テストデータと本番データの使い分け
「本番で試した方が早い」は事故のもとです。検証環境では匿名化データを使い、本番に近い挙動が必要な場合だけ、承認付きで限定範囲の本番データを使う設計にします。
検証・開発
- 匿名化データ
- ダミーデータ
- 定期的に再生成
- 外注アクセス可(範囲限定)
本番
- 本番データのみ
- 外注の直接アクセス原則禁止
- 承認付きの限定作業
- 作業ログ必須
よくある質問
本番の顧客データをそのまま渡してよいですか?
原則として避けてください。テスト用に匿名化・マスキングしたデータを使うのが基本です。本番データが必要な場合は、範囲・期間・削除を契約で明記します。
匿名化はどこまで必要ですか?
氏名・住所・電話・メールなど、個人を特定できる項目はマスキングまたはダミーに置き換えます。業務の検証に必要な最小限の項目だけ残す方針が安全です。
外注先に渡したデータの削除は誰の責任ですか?
発注者と受注者の双方で、削除期限と確認方法を契約に明記します。「作業終了後○日以内に削除し、報告する」といった条項を入れておくと安心です。
