セキュリティ に対して利便性より厳しい目をもちたい
コミュニティマネージャーとして数多くのコミュニティサイトを運営している。
その中で、イベント告知サイトも複数扱っている。
2011年、サイトのシステム立上げ時より、弊社が携わり、現在も管理運営を行っているサイトがある。
長きに渡り、オーナーより弊社に全幅の信頼を置いていただいている理由は、顧客視点での運営管理に、日々、心と技術を砕いているからであろう。
このイベントサイトは、非常にシンプルであり、イベントを告知したい人、イベントを探し参加したい人の単純明快なプラットフォームだ。
日本全国では、日々、様々なイベントが(海外でのコンサートが登録されることも)開催されている。
掲載基準は、日本を元気にするイベント掲載!だ。
登録の際にSNSのアカウントを用いる場合と、メールアドレスでの登録が可能だ。
パスワードは登録者が管理し、システム管理者は顧客のパスワードは分からない。
イベントに参加申込があった場合、イベント主催者に直接連絡がいくため、主催者情報明記を義務づけている。
法的に問題のあるイベントや、出会い系イベントによる犯罪等、参加利用者のリスクを減らすための措置である。
人数だけ集めれば(集まれば)いいというよりもイベント内容を理解して参加してもらうためにも、主催者側にも、主催者情報を明記するメリットは高い。
参加チケットは、無料の場合、手数料なし。
有料チケットの場合は、チケット代の8%が手数料として差し引かれ支払がなされる。
参加者は、参加確認メールをプリントアウトして当日会場でチケットで受付をするという、非常に分かりやすくシンプルなものだ。
このイベントサイトの中で、Peatixというイベントサイトへの誘導をするイベントがあった。
興味あるイベントであったので申し込んでみると、様々なSNSアカウントでログイン可能であり(弊社のイベントサイトでも同様のサービスである)、facebookでログインをした。
すると、
—-
〇〇のお申し込みありがとうございました。
申込時のアカウントはFacebookです。
* 本メールはチケットではありません
次のステップ:
1. アプリ(無料)をダウンロードしてください。アプリでアカウントにログインすると、チケットが表示されます。
—
行きたいと思うイベントに参加するためだけのことなのに、Peatixのアプリを強制ダウンロードさせられるのだ。
ダウンロードしなければ、チケットが手に入らないとは、
一体、誰のためのイベントサイトなのだろう?
と、疑問に思う。
イベント告知サイトを運営しているコミュニティマネージャーとしては、すでに、イベント参加者の見込みがある(いわゆる仲間内イベント)場合は、有効なツールであろうと分析する。
しかし、純粋にイベント告知によって、参加をしてもらいたいと思う主催者にとって、自分のイベントのために、自分の個人情報を、わけもわからぬアプリに吸い取られるのは、非常にリスクの高いことになる。
実際、facebookという実名登録が基本のアカウントで、イベント参加を表明しているにも関わらず、アプリを強制ダウンロードせねばならないのは、Peatixの都合であり、ビッグデータを集めることが目的のように感じる。
「なぜチケットを表示するためのだけに強制インストールさせるのか?」
「なぜ端末やカード上の画像・動画までアクセス権限を求めるのか。」
「ログインしようとするとフィルタリングがかかっている。危ないアプリじゃないですよね?」
「購入したチケットが提示できない。支払の済んだ客に不安を与えるのはやめて欲しい」
ネット上でも、上記のような声が多数上がっている。
ビッグデータ・・・
すなわち、個人情報の収集は、21世紀のマーケティングには欠かせないものだと言われている。
この個人情報を集めるために、企業は必死になっている。
コミュニティマネージャーとしては、コミュニティは、
「できる人が できることを できる時にする」
ということが重要で、コミュニティマネージャーは、
「必要なものを 必要としている人に 最適に手渡す」
という心構えをもって仕事をしている。
昨日、タレントのベッキーのLINEの内容が流出し、既婚者との不倫騒動を謝罪する会見があった。
他人の色恋沙汰は、どうでもいいことだが、なぜ、LINEの内容が漏えいしたのであろう。
おそらくスマホで撮ったであろう二人だけの秘密の写真までも漏えいした。
Peatixのアプリダウンロードの際にも、端末やカード内の画像や動画へのアクセス権限を求めている。
LINEは、人とつながることを目的とし、端末内のすべての情報へアクセスできる権限をもち、端末所有者の自分には見えない、自分を誰よりもしっているアプリであるともいえる。
総務省「社会課題解決のための新たなICTサービス・技術への人々の意識に関する調査研究」(平成27年)によれば、SNS利用のうち、LINEは、その手軽さや利便性から、学校等のお知らせなどに使用している者も多く、利用者は年々増加し、若者だけでなく高齢者にも広がっている。
セキュリティ の SECOMでは、「情報漏洩の約8割は内部犯によるもの」と訴えている。
2014年に起きたベネッセの個人情報漏えい事件(3504万件とベネッセ側からの公表)をはじめ、内部・外注先がそれを売るという事件は多い。
LINE乗っ取りの事例も多く、LINEアカウントをID検索できないように設定していたアイドルのトップ画像をファンが 、Instagram に掲載するという、なんとも不気味な事件も起きている。
防衛省や警察、マイナンバー、Facebookその他多くの大企業と取引があるセキュリティ会社 F-Secure(エフセキュア)社員(現在退職)が、私情からフェイスブックで個人情報(非公開含む)を集め、ネット上に晒した事件もある。
プロのセキュリティ専門家が、このようなことを行い、政府や大企業のセキュリティ業務を担うとは、非常に恐ろしいことだ。
橋下徹元大阪市長時代、戸籍業務を担当する大正区役所の男女職員が、それぞれ橋下徹市長を含む複数の戸籍情報を業務とは関係なく興味本位で不正に閲覧していたと発表した事件も記憶に新しい。
個人情報を扱う仕事をする人間は、その個人情報を利用しようという考えを決して持ってはならない。
Peatixのやり方に違和感を感じたのは、イベントサイトを運営するコミュニティマネージャーとして、顧客を守るという感覚に対して真逆の行動を目にしたためであったからだと自分を分析する。
「それがビジネスである」
と豪語する社会であるが、私には、その視点をビジネスとは呼べないと考える。
純粋にイベントを応援したいというキャッチコピーを使うならば、他の方法(イベント開催において有益なサービスや商品を売ること等)で収益を上げ、個人情報を抜き取るビジネスなどしなくてもいい、誰もが心地よいビジネスモデルを創造するのが、ビジネスの醍醐味といえよう。
ビジネスプロデューサーが、そうした心地良いビジネスモデルをもったプロジェクトを立上げていくことで、
コミュニティマネージャーは、純粋に任務を遂行できるのである。
《LINEの乗っ取りを防ぐための予防策》
そうはいっても、上記のように、個人情報を抜き取る方法を知っている専門家や、個人情報を扱う企業内部で、よからぬことをする人間は後を絶たない。
そこで、自分でできる予防策を記しておきたい。
LINEへの不正ログインは「リスト型攻撃」によるといわれる。リスト型攻撃とは、他のインターネットサービスから流出したユーザーID(メールアドレス)やパスワードを利用し、別のサービスに不正ログインするものだ。
- パスワードは、強固なものにしておくこと。
- 本人確認の「PINコード」認証を推測しにくいものにすること。
- メールアドレスを登録しないこと。
- Facebookとの同期をやめること。
- プロフィールで、画像変更通知を解除すること。
- 未使用の連動アプリを 削除 すること。
- タイムラインの公開設定を詳細に設定すること。
- 「ログイン許可」の設定を オフ にすること。
- 公共のWi-Fiに 接続しないこと。
- 人の目に触れて後悔するような写真を撮らないこと。
結果、リスクマネジメントとして、タイムラインの使用をやめるということと、見知らぬ他人LINEでつながらないということが、最大の防御ともいえる。
自分の身は自分で守る! という精神を養うことが重要といえる。
LINEは、元々、無料通話のアプリとして始まった。
個人情報提供覚悟で、シンプルに、その機能だけを利用する分には、リスクは低くなるだろう。