データ保護となると決まって、被る必要のないトラブルを自ら招いている中小企業をよく見ます。そういう中小企業たちはクライアントや見込み客から、膨大な分野に及ぶ大量のデータを過剰に収集し、管理しきれなくなってしまうことがあるのです。

ナショナルサイバーセキュリティ月間の一環として、Sticky Password ディレクターの一人、Peter 氏が寄稿したエントリ、「そのデータ、本当に必要? - 収集する前に - (元題:Are You Really Going to Use That?360°サイバーセキュリティブログ に掲載されました。本日はそのエントリをここでもご紹介いたします。

中小企業の社長と話していると、顧客と自分は同等ではなく自分の方がやや立場が上、などと勘違いしている社長が居ることに驚きます。データに関して言うと、「顧客のデータを多く所有すればする程、顧客をコントロールすることが可能になる!」というような見解です。 これは、顧客 (とそのお金!) がインターネットという目に見えないバーチャル世界の向こうに存在するオンラインビジネスの世界では、もしかして真実かもしれません。 (インターネットは現在匿名とは程遠い世界になっているため、今回「匿名」という言葉は故意に使用しませんでした。) より多くのデータと情報に含まれる、顧客のコンタクト先すべてをマネタイズするような機会に繋げたい、というような発想なのでしょう。

データを利益に直結させたい、という欲望は理解できますが、許可制マーケティングが流行している今日のオンラインワールドでも、それって効果があるでしょうか。
(許可制マーケティング(またはパーミッション・マーケティング)とは、顧客と見込み客が好きなサイトからのメルマガやお知らせだけにサインアップし、今後チェックしたくないブランドや団体からのメールを最小限に抑えるマーケティング手法)

個人的には、自分の住所と生年月日が、ブログのアップデートのお知らせ等という、メールの受信に値する対価だとは到底思えません。 特定のオンラインサイトからの最新ニュースと特別オファーを受信するだけなら、メールアドレスだけで十分でしょう。しかも確認のためにメールアドレスは2回も入力するんです。なぜ住所まで要求されるのでしょうか。

今日顧客が選択可能なオプションすべてを考慮に入れても、なぜ「見込み客にまでパスワード入力が必要なアカウントを作成してもらおう!」と当然に思っている中小企業が未だにあるのでしょうか。
たかだかブログを読むためだけに?
同時に非常に興味深いことに、ブログでシェアされた情報はセンシティブな記事だったりするので、その記事を読むためだけにまたパスワードが必要なアカウントを作成する場合がある・・・?
これは仮説に基づいた質問ではありません。 あなたのブログの中にある情報に、なんらかのコストが請求できる程の価値があるんです。例えば、あなたが取り扱っている製品そのものです。是非とも、プライベートで使用しているアカウントにも、製品関連付けさせてください。 しかしブログを既にマーケティングツールとして使用しているなら、結び付ける必要はありません。

少々面倒な手順ではありますが、セキュリティ面から見ると恩恵は大きいです。

大企業を標的にして頻繁に起こるサイバー攻撃のニュースが報道される度に、すべての企業は、収集した顧客データ管理の最終責任は企業自身にあることを肝に命じています。 ビジネスマンは時々、中小企業に対して迫りくる脅威を軽視し、インターネットセキュリティの重要な面を無視してしまうことがあります。中小企業のビジネスはハッカーに狙われにくいと思っているからです。
実際にはハッカーのレーダーに引っかかっていない企業など、現在はありません。


それではここで、顧客のデータを上手に取り扱う 5 つの方法をご紹介しましょう:

1.プライバシーポリシーを設ける

顧客に、データ管理についての信頼性を十分に開示する他にも、プライバシーポリシーを作成する過程に置いて、どのデータが必要なのか詳細まで詰めることは将来を見据えても役立ちます。

例え顧客が情報収集に同意しても、その特定のデータが本当に必要かどうか立ち止まって熟考しましょう。 実際に使用する具体的なプランがない限り、情報は収集しないようにしましょう。 メールアドレスで十分なら、住所や電話番号は収集しないようにするとベストです。

2.データへのアクセスを制限

「知る必要があるとされる」従業員だけが、顧客のデータにアクセスできるようにしましょう。 例外を作ってはいけません。

3.一見さんはパスワード入力が必要なアカウントを作成しなくても良いようにする

そのウェブサイトには厳重なパスワードは必要ないと認識した顧客は、どうでもいいようなパスワードを設定したり、パスワードの使い回しをする傾向にあります。

パスワード設定が必要なウェブサイトが溢れる中で、強力で長いパスワードを設定するのがめんどくさくなるユーザーもたくさんいます。 しかしこれだと、顧客のアカウントをリスクに晒すだけでなく、セキュリティ面における脆弱性にも繋がります。

もしも本当にパスワードを設定してウェブサイトへのアクセスをきっちりと制限したいのなら、顧客にとって簡単でわかり易い方法ですぐにパスワード設定できるようページ上でナビゲートするべきです。

次のようなことができるパスワード自動システムを実装しましょう:

  • 明らかにそれとわかる、123456、クワーティ、"Princess" 等の辞書言葉
  • 最低 8 文字以上
  • 文字、数字および特殊記号を含む
  • 顧客へプレインテキストでパスワードをメール送信しないこと
  • ログインに失敗するとアカウントをロックする回数を設定
  • 異様と思われる行為を報告
  • 自動パスワードのリセット

例えビジネス全体のオーナーであったとしても、顧客のパスワードを直接訊くような場面があってはいけません。 そうすることで、パスワードとデータセキュリティに真剣に取り組んでいると顧客にアピールすることができます。

4.セキュリティに関する問い合わせがいつでも可能な状態にし、顧客からの質問には素早く答える

5.ひとりですべて解決しようとしない

オンラインセキュリティ業界出身でない限り、顧客の個人情報セキュリティの話題になった時、前知識なく行動しない方が良いです。 これは、パソコンが得意な近所の学生を数ドルで安く雇って対応するような、そういう分野ではありません。 そうするにはあまりにもリスクが大きすぎます。 何か問題が起きた時でもカバーしてくれる、実績のあるサービスを必ず利用しましょう。

この記事の著者:

Peter Lipa 氏。Sticky Password 北米地域担当ディレクター。パスワードマネージャー。

どんな組み合わせも自在な強力パスワードを無限に設定できるパスワード管理ツール、Sticky Password のダウンロードはこちらから。