Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Evaluating Privacy Perceptions, Experience, and Behavior of Software Development Teams

Maxwell Prybylo, Sara Haghighi|arXiv (Cornell University)|Apr 1, 2024
Software Engineering Techniques and Practices被引用数 8
ひとこと要約

大規模な混合手法調査(362名の参加者、23か国)を実施し、SDLCの役割全体にわたるプライバシー認識・実践・知識を分析。多様なプライバシー定義、PbDの採用の限界、そして役割に依存するプライバシー課題を明らかにする。

ABSTRACT

With the increase in the number of privacy regulations, small development teams are forced to make privacy decisions on their own. In this paper, we conduct a mixed-method survey study, including statistical and qualitative analysis, to evaluate the privacy perceptions, practices, and knowledge of members involved in various phases of the Software Development Life Cycle (SDLC). Our survey includes 362 participants from 23 countries, encompassing roles such as product managers, developers, and testers. Our results show diverse definitions of privacy across SDLC roles, emphasizing the need for a holistic privacy approach throughout SDLC. We find that software teams, regardless of their region, are less familiar with privacy concepts (such as anonymization), relying on self-teaching and forums. Most participants are more familiar with GDPR and HIPAA than other regulations, with multi-jurisdictional compliance being their primary concern. Our results advocate the need for role-dependent solutions to address the privacy challenges, and we highlight research directions and educational takeaways to help improve privacy-aware SDLC.

研究の動機と目的

  • SDLCの役割とデモグラフィック要因でプライバシー認識がどのように異なるかを評価する。
  • プライバシー専門家(例:CPO)へのアクセスがプライバシー認識と実践に与える影響を評価する。
  • SDLCの役割、場所、教育によってプライバシー実践と経験がどのように異なるかを調査する。
  • ソフトウェアチームの間でプライバシー概念・アプローチ・ツール・規制の認識度を定量化する。

提案手法

  • USを含む22か国を含む362名のソフトウェアチーム参加者を対象に大規模な混合手法調査を実施。
  • Prolificを経由してQualtricsを使用;役割別質問票;質問を洗練させるための事前スクリーニングとプレ pilot 研究。
  • 自由回答には質的オープンコーディングを適用し、Soloveのプライバシー分類法への主題マッピングを行う。
  • カイ二乗検定やクラスカル・ワリス検定をボンフェローニ補正とともに実行する等、定量分析を行う。
  • CPOの存在とプライバシー実践、PIA、PETとの関係を分析する。
  • 潜在的バイアスをスクリーニングし、自由回答項目でのAI生成回答を緩和する。

実験結果

リサーチクエスチョン

  • RQ1RQ1:教育、企業規模、所在地などのデモグラフィックや役割間でプライバシー認識に差があるか。
  • RQ2RQ2:プライバシー専門家(例:最高プライバシー責任者)へのアクセスはプライバシー認識や実践に影響を与えるか。
  • RQ3RQ3:SDLCの役割、場所、その他のデモグラフィック要因に応じてプライバシー実践と経験はどのように変化するか。
  • RQ4RQ4:異なる役割のプライバシー概念・アプローチ・ツール・規制に対する認識の程度はどれくらいか。

主な発見

  • 参加者は多様なプライバシーの定義を示し、役割はSoloveの分類法の「Disclosure(開示)」「Increased Accessibility(アクセス性の向上)」「Security/Insecurity(安全性/不安)」などの概念に対応している。
  • PbDの採用とPETsおよびPIAsの活用はSDLCチーム全体で限られている。
  • QAメンバーはデータ保護のために法務/プライバシー専門家により依存し、他の役割と比較してプライバシー知識が低い。
  • 多くの respondents は自己学習でプライバシーを学んでおり、USの規制(CCPAやCOPPAなど)への精通度は高くない。
  • CPOの存在は企業規模と相関する。大企業はCPOを有する可能性が高いが、補正後はPIA作成、PETの使用、違反件数とCPOの存在との強い相関はみられない。
  • PIAは稀で、PIAを作成したと回答した人は14%、多くのPIAはSDLCの後半で発生する。PIAの作成に関与する役割は多様で、 ownership が分散していることを示す。
  • プライバシーポリシーは法務専門家とテンプレートによって形成されることが多く、ポリシーとアプリの内容が一致しない可能性がある。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。