提出前チェック：本番データと開発環境の分離状況

### このページの目的 意図しない情報漏洩の最大要因である「開発環境への本番データ持ち出し」について、統制が効いていることを確認します。 ### チェックリスト #### A. 必須要件 - [ ] **本番データのコピー（Copy to Dev）を禁止しているか？** - 「開発DBに本番ダンプをリストアしてデバッグ」はNGです。 - [ ] **開発環境はインターネットに公開されていないか？** - Basic認証やIP制限なしでアクセスできる開発環境は論外です。 - [ ] **テストデータの作成手順はあるか？** - 本番データの代わりに何を使うか（Fakerライブラリ等）が決まっていますか？ #### B. 推奨要件 - [ ] **マスキングツールの導入** - どうしても本番データが必要な場合、PIIを自動マスキングして移行するパイプラインがありますか？ - [ ] **開発者の本番アクセス権限分離** - 開発者は本番DBにRead Onlyアクセスすらできないのが理想です。 --- ### 「No」の時の言い訳（リカバリー策） - **Q. 開発環境に本番データはありますか？** - A. 「原則禁止していますが、障害調査など緊急時に限り、責任者の承認プロセス（申請記録）を経て一時的に利用する場合があります。」