昔いた会社で開発していたシステムの話
嫌な話を自分のブログに書かないと決めてはいたのだけれど。
医療系で杜撰なシステムあったよって現実をネットの片隅に遺しておきます。
プロダクトが特定されない程度に抽象化して書く。
漏洩とか、まだ事故ってないです。まだ。
事故るのが怖すぎて俺は会社を辞めた。
プロダクト概要
電子カルテに何かのデータを受け渡すシステムです
技術面/開発体制のヤバさ
医療系じゃなければよくあるやつ。
- 開発1名
- β版以下の内部α版をそのまま売る
- 初期実装者が手に負えなくなる
- 初期実装者はビルド方法すら知らない
- 引き継ぎなし
- サービス運用経験は誰もなし
- 業務知識も誰もなし
- ドキュメントは歯抜け・間違ってる
- 大したシステムでもないのに全容が不明
- 暗号化を謳っているが、実際されてなかった
- 一時期流行った自称クラウド(実質レンタルサーバー)
- 利益が出てないままサービス提供(SIerが浪漫でwebサービスやるパターン)
プログラムの品質のヤバさ
純粋に品質が低いって話なんだけど、基本的なソフトウェア教養ないレベル。
- クライアント側からSQLインジェクション可能
- クライアントアプリ側は画面遷移のたびにメモリリーク
- 最悪処理完了前にクライアントアプリがクラッシュ
- 画面表示イベントのメソッドが3000行以上あり、その中に送受信ロジック
- コードレビューなし
当事者のセキュリティ意識のヤバさ
プライバシーマーク認定受けててこの有様。
ひろみちゅ先生に爆破していただきたい。
- 「患者氏名だけでは個人情報ではない」(゚Д゚)ハァ?
- ファイルの中身は暗号化されているが、ファイル名に平文の患者氏名が入ってる
- 暗号化のキーが社内の「いつもの7桁」みたいな奴
- サーバー側のセキュリティ対策なし
- 侵入検知なし
- 改竄検知なし
- 死活監視なし
お客様はどうすれば、こういうプロダクトの導入を避けれるか?
正直分からん(´・ω・`)
- UIのビジュアルが杜撰
- 営業が信頼できなさそう(アホそう)
- 会社が無名、他のプロダクトが無い
とかで判断するしかないんじゃないかな・・・????
正直、なんで多少は売れてたのか理解できなかった。
まあ人類のITリテラシーが向上して、「このシステムは何かがおかしい」って
ちゃんと感知できるようになってほしい。
全人類がニュータイプになろうね。
現場のプロが教える 情報漏えい対応のリアル 漏えい事故 実態調査と最新事例
- 作者:TMI総合法律事務所 弁護士 大井 哲也,株式会社エス・ピー・ネットワーク 総合研究室
- 発売日: 2019/08/29
- メディア: Kindle版