「7Pay」事件の様相が少しずつ明らかになってきて、7&iホールディングスのスタンスに批判が集まるとともに、社会全体が対応を注視している。本人認証のハードルを上げること、1日あたりのチャージ上限を下げることは以前推測した通りの対策だが、セキュリティの専門組織を立ち上げるというのもあった。
これまでそのような組織・機能が無かったとしたら、それはそれで問題である。あくまで推定だが、明確にそう名乗らなくてもセキュリティを考え、統括する機能はあったと思う。というのは、1カ月ほど前に同社の人から、7&iグループ全体でのデータ活用について話を聞いていたからだ。
言うまでもなく同社グループは巨大で多様な業態を持っている。コンビニ・総合スーパー・百貨店・銀行・ITサービスを手掛けていて、通販サイトもある。これらのどのサービスを使っても、利用者にはIDが付く。これをグループ全体で統合した「7ID」というものを開発し整備してきたと説明を受けた。
あくまで利用者個人の同意を得てだが、利用者の嗜好などを加味して新しい提案につなげるわけだ。よくGAFAが個人情報を活用して・・・と騒がれるが、実際日本の消費者としてはこのグループの方に多くの個人情報を提供しているのではなかろうか。それゆえ、同社の説明はプライバシー保護についてとても篤かった(熱かった?)。IDの保護や活用制限、社内教育の話などは評価できた。
ところが今回の事件で見せた対応(例:二段階認証のことを責任者が知らなかった)は、上記と比べると大きなギャップがある。これを僕なりに考えると、プライバシー保護は十分認識していながらその上位概念であるサイバーセキュリティには思いが至っていなかったのではなかろうか。利用者などのプライバシー保護に加えて自社のサービスを止めないこと、サービス品質を保つことなどビジネス全体を守るのが(サイバー)セキュリティと僕は思っている。
某省のレポートでも、サイバーセキュリティの被害事例が個人情報漏洩に偏っていたので、有識者の先生が文句を言ったことがある。これまで日本では個人情報漏洩以外のサイバーセキュリティ被害が少なかったしメディアも大きく取り上げてこなかったからだろう。社会全体が、プライバシーとセキュリティの位置関係を正しく認識できていなかったようだ。災い転じて福となす・・・個人情報漏洩だけではなくサイバーセキュリティへの社会の認識が高揚してくれることを祈ります。
