http://d.hatena.ne.jp/pacsolution/20090218
これ読んでて思ったのですが、
「学生が、成績情報まで見える管理者権限やroot権限持ってていいのか?」
最もな指摘です。
id:pacsolution 自身も書いていますが、業者なら契約で縛れても学生を契約で縛るのは難しいことです。(どうせタダ働きだろうし……)
だからといって、「信頼」だけでは心もとない、ていうかこのご時世で個人情報保護の対策をとることのできないシステム(運用する人をひっくるめた意味でのシステム)を導入するのは相当に勇気がいる決断です。
業者を雇えば金がかかる、学生使えば情報漏えいが怖い……。
これこそ、頭を使って解決すべき問題です。
例えば、データの暗号化によって解決できないでしょうか。
複合の鍵をシステム管理者以外の存在が管理できれば、純粋にシステムだけの管理をアウトソースすることができます。
まあMySQL自身はどうやって中身読むんだ、とかフロントエンドはどうやってデータ取得するんだ、とか問題山積みでしょうが、同一システムにおけるシステムの管理とデータ(別にDBに限らず)の管理の完全な分離はわりと面白いテーマなのかなと思います。
システムに詳しい学生はサーバの横に立ってるだけで、実作業は全て学校職員がやる、という二人一組での運用方法もありますがね……。
