本番データをテストデータとして使用する危険性

システム開発・変更時にテストデータとして、本番環境のデータを用いている会社を見ることがあります。経産省の情報セキュリティ管理基準でも

「14.3.1.1 PII 又はその他の秘密情報を含んだ運用データは、試験目的に用いない。」

とありますので、運用データ（本番環境のデータ）をテスト環境で利用するのは好ましくありません。
社外ベンダー（協力会社）にシステム開発・変更を依頼しており、本番環境データを渡している事例をみたこともあります。
システム担当者に聞くと、
・会計関連データだから特段秘密情報はない
・協力会社（開発ベンダー）と秘密保持契約を締結しているから問題ない
と返答されることがあります。
例えば、購買品の購入金額自体は原価推定につながる可能性があり秘密情報となり得ます。また、購入先が試験的に開発し、未上市の物品について、購入先が上市までは秘密にしてほしいとNDAを締結する場合があります。当該物品を当社が仕入れ、「摘要」欄に購買品目が記載されており、このデータを外部ベンダーに渡してしまうと購入先との秘密保持義務違反になってしまいます。

いまでは、「プロセスオーナー」、「システムオーナー」、「データオーナー」という言葉も一般的になってきました。システム上の管理者権限を持つものはデータにアクセスできても、「データオーナー」ではないため、データオーナーの許可なくデータの抽出・提供を実施してはないことを今一度確認すべきと考えます。