2020年、「ドコモ口座」の不正出金問題をきっかけに、スマートフォンを使った決済サービスの不正利用事案が相次いで発覚したことは記憶に新しい所です。
2021年3月、ソフトバンクの販売店に勤務する販売員がユーザーの氏名、住所、電話番号、預貯金口座の情報などを不正に「保存」していたというニュースがありました。不正に保存された情報の一部は、先述の決済サービスの不正出金事案で利用されていたことも分かっています。
このようなことがあると、販売店がどのくらいの個人情報を、どのくらいの期間に渡って保存するのか気になる人も少なくないでしょう。そこで今回の「元ベテラン店員が教える『そこんとこ』」では、携帯電話の販売代理店がユーザーの個人情報をどこまで利用できるのか、解説していきます。
個人ユーザーを対象とする携帯電話の販売店は、大きく分けると「キャリアショップ」と「その他の販売店」(家電量販店、キャリアショップではない専売店、併売店など)に分けられます。
料金収納、端末の故障時のサポートなど、キャリアショップはキャリアを“代理”して行う業務が多岐に渡ります。そのため、キャリアショップで勤務するスタッフには、より多くの顧客情報を閲覧したり修正したりする権限が与えられています。
これだけ聞くと「キャリアショップの方が情報漏えいリスクが大きいの?」と思うかもしれませんが、キャリアのルールに従って情報を扱う限りにおいて、その他の販売店とリスクは同等です。
販売店のスタッフは2つ以上の“個人情報”を提供してもらわないと契約情報を検索できません。例えば以下のような感じです。
例えば「自分と同姓同名(あるいは同じ誕生日)の契約者はどのくらいいるのかな?」といって、1つの情報だけを入力して検索をかけることはできません。
2つ以上の個人情報の提供を受けないと、契約情報を検索できない――このことは、少し言い方を変えてしまえば個人情報を2つ以上知っていれば、その場に本人がいなくても検索できてしまうということです。
ただし、キャリアもそんなことは百も承知しています。契約情報を勝手に検索することを抑止するために、各キャリアの顧客管理システムは契約手続き用端末で行った操作の履歴を保存します。「いつ」「どの端末で」「どのスタッフが」「どんな操作をした(手続きを行った)」のか、“完全に”トラッキングできるのです。
加えて、なりすまし対策として、多くのキャリアでは端末やシステムへのログイン時に生体認証(指紋または指静脈)を必須としています。ログイン中でも重要な操作をする度に生体認証を求めるキャリアもあります。
端末の操作履歴に明らかな不審点がある場合は、キャリアの担当者や販売店を管轄する代理店の管理者にアラートが発出されます。それをきっかけにしてキャリアや代理店が調査を実施することもあります。調査の結果によっては解雇を含む懲戒処分の対象になりますし、法令に抵触したりキャリアや代理店に損害を与えたりする行為が確認された場合は刑事告発されたり民事訴訟を提起されたりすることもあります。
このように、ユーザー情報を不正に検索することはリスクしかありません。スタッフ本人としては「面白半分」であったとしても、今後の人生に悪い意味で大きな影響しか与えないのです。
キャリアや代理店は人的教育にも注力しており、半年〜1年に1回のペースでスタッフに「コンプライアンス研修」の履修を義務付けています。その際には、他社を含めたケーススタディも行われ、情報漏えいが発生した場合に負うリスクの大きさを徹底的にたたき込まれます。
普通に考えれば、ここまでやっているのですから、我が身を滅ぼしかねない不正操作をスタッフが“率先して”やるとは考えづらいものです。
Copyright © ITmedia, Inc. All Rights Reserved.