ID&IT Management Conference 2013 TOkyoに参加しました。
http://nosurrender.jp/idit2013/schedule-tokyo.html 

その参加レポートをざっくり書いていきたいと思います。

 当日のつぶやきをメモしました。
http://togetter.com/li/568201
 

フェデレーションという考え方。

特にPing Federate という製品の紹介でしたが、エンタープライズ領域におけるID連携に関して学びが大きかったです。事業がゆっくりと成長する場合は問題ないのですが、M&Aで拡大する場合などにID管理ソリューションに改修を加えていくよりは、うまくフェデレーション基盤を活用した方がよいだろうなぁと感じました。IdP(Provider)とSP(Service Provider)の疎結合。という趣旨を仰っていましたが、まさにその通りで、IDのシステムアーキテクチャとしては重要になっていくのだろうと感じました。
サイオステクノロジーさんの説明にもありましたが、松・竹・梅といった形で、クラウドのアカウント管理はありそうです。 (下記では番号が若い方がコストは安いが制約が多い)
  1. 学内のディレクトリサービスと連携しない
  2. 学内のディレクトリサービスと連携
  3. LDAP ManagerによるID統合管理
様々な制約の上で、どこまでやりますか?と選択肢を提示できることが、これからの業務システムに必要なのだと思います。

 

従業員IDに潜むプライバシー問題

折田さんの話を聞きたくて申し込んだようなものなので、すごく興味深く拝聴しました。 以下、メモ。

プライバシー=個人情報保護とは必ずしも一致しない。ときにはセキュリティと相反する。
全世界で受け入れられる統一基準を作りづらい。何を以て「プライバシー侵害」と感じられるかについて国、制度、文化による違いがあり、そもそも定義すべきかすべきでないかの課題もある。

コンテキストの違いもある。 個人情報とプライバシーについて。

日本
は個人を特定できるかどうか、故人は対象外。
EUはデータ保護規則改正案2012.1 →忘れられる権利、データポータビリティ、データ主体に関するすべての情報を対象とする。
米国は、消費者プライバシー権利章典2-12.2→コンテクスト重視、透明性と選択、特定個人を特定できるすべての情報。

不要になったら捨てるということがある。

従業員証・IDを考える。
雇用契約にサインした後アサインされるユニークな番号。
IDカードや給与明細に印刷されている。
建物へのアクセス、業務システムへのアクセス、身分証明書、給与&福利厚生など。

Enteririse系IDの難しさ。
従業員の異動とIDのライフサイクルが連動する。
退職者や異動者のユーザ権限を都度更新する。IT部門の管理コストが膨大に。
組織としてのデザインが必要。

個人のデバイス持ち込み、アカウント持ち込み。

変化する従業員IDの位置づけ

SNSのEnterprise利用
たとえば、Facebookグループの業務利用
業務利用と個人利用というコンテクスト
情報開示範囲をコントロールするのは、利用者個人?
利用したくない場合にどうするのか?

個人に関するデータのライフサイクル
1.生成 データの所有権は?PIIの分類は?すべてのサイクルを管理するガバナンスは?
2.利用 データ利用は組織内外?サードパーティと共有する情報は?クラウド内の利用は、情報主体との契約において適切か?法的用件は?
3.転送 いつクラウドに転送されるかアクセスコントロール
4.変換 オリジナルの保護や利用制限クラウド
5.補完 xxx
6.アーカイブ xxx
7.破棄 今後問題になりそう

クラウドにおけるプライバシー保護の責任
サービス提供者が責任を持つのか  法的な責任は負えるが、説明責任は負えない
サービスを利用している組織が責任をもつのか
最初に情報を収集した組織として、説明責任を負う

サービス利用を決定した人の責任  法的責任は移すことはできるが、説明責任はうつせない
データは地球上のどこにでも置かれうる

本来なら組織内で使っていたものがクラウドサービス利用によって、その信用境界がぐっと広がっている

個人利用のIDと異なる難しさ  IDもデータも個人のもの、でも利用者個人が個別に決められない


その他、共通番号制度なども興味深かったのですが、割愛します。
 


私はまったくID界隈に興味があるだけで、全然詳しくない状態で行ったのですが、とても刺さる内容でした。Enterprize領域において、社内であっても、共通番号制度であっても、大きな変化が起こってアクションが起きている段階なのだと思いました。