FinTechでも現実に近いデータでテストしたい――データへのアクセスとセキュリティのバランスを取る方法6選：「ID情報をマスクする」「アクセス許可の原則に従う」など

ソフトウェアテストでは実データの利用が役に立つとしても、実データのセキュリティとプライバシーを侵害しないよう注意しなければならない。本稿では、FinTechのソフトウェアテストを行う場合に中核とすべき6つの方針について説明する。

[Matt Heusser，TechTarget]

　FinTech（フィンテック）でのソフトウェアテストでは、実際の顧客データが最も強力で現実的なシナリオをもたらす。だが、規制や標準によって、あるいは自社のセキュリティチームによって、実際の顧客データの使用が許可されなかったり、アクセスを制限されたりする可能性がある。

　セキュリティ担当者の判断は間違いではなく、企業には顧客の社会保障番号、生年月日、姓名を非公開にしておく義務がある。個人を特定できる情報（PII）は誰の個人情報であっても、盗難に遭ったり、詐欺に使われたりする可能性がある。実際に使われているクレジットカード番号など、PIIに関係する機密データをテストに含めると、詐欺や悪用を助長する恐れがある。

　テスト担当者が実データを使いたいと思うことも間違いではなく、運用環境で実際に見られる状況を作り出すことが最善のテストになる。実際に使われているデータを利用すれば、テスト環境でも運用環境でもソフトウェアが一貫して動作する可能性が高まる。

　幸い、セキュリティと優れたテスト手法のバランスを取れる方法がある。本稿で示す方針の大半は、トランザクションシステム（保険金請求処理、毎月の請求、利息の計算など）を対象とするが、PIIを扱う全てのシステムに当てはまる。こうしたシステムのテストには運用データが使用される懸念がある。

FinTechのテスト向けに中核となる6つの方針