これを正しいコミュニティに投稿したかどうかはわかりませんが、現在取り組んでいる組織では、さまざまな目的でさまざまなソースからのテーブルのbunchを含むSQL 'データウェアハウス'を現在使用しています。このデータウェアハウス(私の知る限り)には、2つまたは3つの環境があります。開発、QA、本番。
最近、開発中のソフトウェア開発プロジェクトの開発データウェアハウスSQLサーバーへのアクセスが許可されました。
このデータウェアハウスサーバーにアクセスする許可を要求する必要がありました。私は開発サーバーにのみアクセスでき、テーブルを参照してプロジェクトに必要なものを見つけていると、機密データが含まれているものに遭遇しました。気になるので、単純な「SELECT TOP 1000 ROWS」クエリを実行しました。2012-2013の機密の従業員データがプレーンテキストで返されました(国民保険番号、親族の詳細、資格の詳細、住所、電話番号、車の登録など)。
この開発サーバーには、さまざまなプロジェクトのために、私の組織(自分を含む)内の多くの開発者がアクセスします。
1)このデータを開発環境に保存する必要はないと思います(ある時点ですべてが本番サーバーからコピーされたと思います)。
2)誰もが簡単なSQLクエリで確認できるように、これらの詳細をプレーンテキストで保存するべきではないと思います。
3)私や組織内の他の開発者がこれらのテーブルに無料でアクセスできるとは思いません。
私の雇用主がこれを認識しておらず、実際にすべての情報をプレーンテキストで運用環境に保存していることは、かなり確実です。また、これはある種のプライバシーまたはGDPR法に違反していると思います。
私はこれについて上司に話しましたが、彼らはそれについてつまらなく、問題を無視している/関与したくないと思っています。
これらのテーブルを表示するために、自分で問題を起こさずにこれを報告するにはどうすればよいですか?そして、誰に報告しますか?
組織がGDPRの対象である場合、指定された データ保護担当者 が必要です。この人物は、組織内でデータ保護法が適用されるようにする責任があります。
これは、最初に報告する場所でなければなりません。