改善要望 あるいは リコメンド
それぞれ定義ははっきりしないが何とか一纏めに括ると、改善要望とかリコメンドとかの、こう言う感じになる。方法論として改善の余地アリとやる訳だ。方法論の改善をどういう観点から捉えるかで、見え方は変わる。合理性、経済性などはどちらかといえば品質の問題。セキュリティでは確実性の観点が重要。品質とセキュリティでは守備範囲は自ずと違ってくる。混同した説明に出くわすことがあるが、口を挟むことはしない。らしい。
では、確実性に問題、あるいは不安がある場合は?。これなら普通の不適合か普通の観察事項になる。直接、セキュリティに関わらないところが改善要望として残るのかな。経済合理性の部分は、ある意味では、余計なお世話になりかねません。
岡目八目。コンサルも審査員もいろいろ見ているうちに知恵が付いてくる。だから、コメント(口頭)するくらいはできる。コメントは構わないでしょうが、経済合理性の改善を示唆するのは時として筋違いになる。
.*.
改善要望とかグッドポイントとか、気付いたことをコメントするのは構いませんし、貴重な情報であることにも変わりありません。が、クライアント(あるいは認証制度そのもの)が、本来的な意味合いで求めているメッセージではありません。多分、きっと。その筈です。
改善要望あるいはリコメンドについては、不適合・観察事項とかとは別途に纏めて提示して欲しいものです。例のグッドポイントも同じで不適合・観察事項とは別にして欲しい。