毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。
当記事で取り上げるのは以下の配信です。
- 配信日:2021年7月15日
- タイトル:セブン-イレブン キャンペーンから考えるPIA
- 発表者:データサイン代表取締役社長 太田祐一
ソーシャルログインを用いるキャンペーンが中止に
セブン-イレブン・ジャパン(以下、セブン-イレブン)が社名にちなんで2021年7月11日に実施したプレゼントキャンペーンが翌12日、中止になりました。きっかけは、キャンペーン応募者個人のツイッターアカウントと連携する外部アプリ(セブン-イレブン提供)が応募者に求める権限が過大ではないか、という有識者からの指摘です。こうした問題を防ぐにはどうすればよいでしょうか。データサイン代表取締役社長 太田祐一は、PIA(プライバシー影響評価)の活用を提案しました。
「セブン-イレブンの日無料クーポンプレゼントキャンペーン」は、当選すると飲料やビールなどの商品と交換できる無料引換券がスマホ画面に表示されます。一方、キャンペーンに応募するユーザーが外部アプリから許可するように要求された権限には、「このアカウントでプロフィールとアカウントの設定を変更する」「このアカウントでダイレクトメッセージを送信、確認、管理、削除する」などが含まれていました。
「要求された権限の大半はプレゼントキャンペーンに直接関係のないものでした。仮にこれらの権限が実行されると、ユーザーのツイッターアカウントをセブン-イレブン側が乗っ取るに等しい状態になってしまう、という指摘や不安がネット上で拡散しました」(太田)
PIA(プライバシー影響評価)を適切に行っていたらどうなった?
ソーシャルログインは、ユーザーが利用するツイッターなど認証連携するサービスを通じてアクセストークンを発行し、外部アプリにおけるユーザーの認証・権限認可を実行する仕組みです。ユーザーはID、パスワードを何度も入力したり複数管理したりする煩わしさがありません。この仕組みを用いたキャンペーンは、多くの企業がユーザー像を把握して商品開発などに生かすマーケティングの一環で活用しています。ただ、よくみるとセブン-イレブンと同様、不適切な権限を要求しているケースは少なくありません。応募するユーザーはあまりよく認識しないうちに応募につられて過剰な権限付与を許可している可能性があります。
「企業も不適切なアプリ連携を行わないようにするには、リリース前にPIA(プライバシー影響評価)を実施することがよいと考えています」(太田)
2021年6月30日に行われた第177回 個人情報保護委員会では、「PIAの取組の促進について -PIAの意義と実施手順に沿った留意点-」という資料が配布されました。
こちらの資料によるとPIA(Privacy Impact Assessment)とは、「個人情報等の収集を伴う事業の開始や変更の際に、プライバシー等の個人の権利利益の侵害リスクを低減・回避するために、事前に影響を評価するリスク管理手法」とあります。
PIAにおけるリスク評価では、影響度と発生可能性をそれぞれ4段階、16パターンに分けたリスクマップのどこに当該サービス事業が位置づけられるかをプロットします。これを見てリスク対応の方針を定め、対応策を講じます。
「セブン-イレブンの例でいうと、アカウント乗っ取りの可能性があるので影響度は3(重大)、現時点で乗っ取りがあったかどうか不明なので発生可能性は1(非常に低い)とします。そうすると、『適切な対策を実施することでリスクを低減』する対策の必要性が示されます」(太田)
ただし、影響度が2(限定的)と設定すると、対応方針は「リスク保有」に変わります。追加的な対策や特段の見直しを行わない放置状態となるため、ネット上でのユーザーの指摘をきっかけに炎上案件と化すかもしれません。評価表でのプロットはユーザーから取得するデータの特徴によっても変化します。評価判断の信頼性を高めるには第三者機関によるチェックも有効です。
企業のトラストを守るユーザー視点の対応
「認証連携を行うサービスによっても厳しさは異なります。フェイスブックは、ケンブリッジアナリティカ事件以降、外部アプリとの認証連携におけるデータの利用目的などのチェックが厳しくなりました。いままた緩くなった、という意見もありますが・・・。それから、認証連携サービスと外部アプリをつなぐツール側でとにかく集められる権限は集めておけ、といった強引な初期設定になっていないか、いちど確認したほうが良いでしょう」(太田)
PIAは国際規格ISO/IEC29134として、また日本語ではJIS規格化もされています。ISO/IEC29134のドキュメントは数千円程度で購入可能です。
プライバシー影響評価の取り組みは「保険」のようなもの。想定したリスク事象が発生しなければ、企業はコストを支払うだけのように見えるかもしれません。しかし、もしもユーザーに多大な不利益が与えてしまうと、企業の信用失墜による顧客離れ、将来にわたる経済的損失など大きなダメージを受けるでしょう。
「言い換えればきちんと対応し続けることで、企業に対するトラストを守ることにつながります」(太田)
事業の企画・設計段階から個人情報等の保護の観点を考慮するプロセスを、全社事業のライフサイクルに組み込むことがおすすめです。