安全と利便性のバランス

セキュリティは「使いにくさ」を生む要因になりがちですが、ユーザーの信頼を守るためには不可欠です。仕組みを理解し、適切なバランスのデザインを目指しましょう。

Authentication (認証) vs Authorization (認可)

「あなたは誰？」と「何をしていい？」

Authentication (認証: AuthN)

「ユーザーが誰であるか」を確認すること。

• ログイン（パスワード、生体認証）
• 二段階認証（SMS、アプリ）

Authorization (認可: AuthZ)

「そのユーザーに何の権限があるか」を確認・制御すること。

• 管理者権限（編集・削除ができる）
• 一般ユーザー（閲覧のみ）

デザインへの適用

• 401 vs 403 :
  • 401 (Unauthorized) : 「ログインしてください」画面へ誘導する。
  • 403 (Forbidden) : 「あなたには権限がありません」と伝える（ログインしてもダメ）。
• 機能の出し分け : 権限がないボタンは「非表示にする」か「グレーアウトする」か？（一般的には非表示の方が安全でシンプルですが、プランのアップグレードを促すなら表示もありです）

Data Privacy (データプライバシー)

「情報は誰のもの？」

概要

個人情報保護法やGDPRなど、ユーザーのデータを適切に扱うルール。

デザインへの適用

• 収集の最小化 : 必要のない情報（性別、生年月日など）をフォームで聞かない。
• 透明性 : 「なぜこの情報が必要なのか」をツールチップや注釈で説明する。
• Cookie同意 : サイト訪問時にクッキーの使用許可を求めるバナー（特にEU圏向け）。