サンプルとして稼動させたシステムにログインしようとして、IDとパスワードが分からなかったのでDBを直接覗いてみるとパスワードが暗号化されて格納されていました。IDは分かってもDBを見ただけではパスワードが分からないのでシステムにはログインできません。

プログラム側は画面から入力されたパスワードを暗号化して、DBに格納されている暗号化された文字列と比較を行って、同じだったらログインOKとしています(実際はもっと詳細な処理がある)。なので復号化のロジックはシステム上どこにもありません。生のパスワードを入手する手段が用意されていないのは良い方法だと思いました。確かに過去こういうパスワードの管理方法をしているシステムはありましたが、どちらかと言うと生のままパスワードを保存しているシステムの方が私の経験としては多かったです。が、最近はいろいろとあるのでこういう事もしっかりと考慮されています。画面に表示される個人情報についてもちゃんと個人情報保護法を意識して設計されています。帳票やらも印刷履歴を取ったり、不必要な印刷ができないようになっていたり、承認が必要だったり。セキュリティを考慮した部分が大きくなってきていますが、それも最近のシステム開発では当たり前かつ必須の事だと思っています。

やはり事前に書籍で得ていた個人情報保護法の知識だけではシステム開発はできず、具体的にはどうすればいいんだ？という所までつきつめて書いてある本を私はまだ読んだことがありません。実際に教えてもらったり、考えたり、調べたり。プログラマより先に設計者が詳しくなっておかないといけないことだと思いました。どこまでやればいいんだ？という疑問についても書籍では記述してありましたが、システム開発ではどこまでやればいいんだ？というのはまだ読んでいません。もっと知らなければいけないですね。