久しぶりのブログですが、GWが明けたばかりの昨日、 「ウケトル」という荷物追跡アプリが話題になっていた ので思うところを書きました。 中身はタイトルの通りなのですが、なぜこんなことを書くかというと、Twitterを見てるとこのような意見が散見されるからです。
「ウケトル」が話題のようだけど、みんなMoneyForwardはどう考えているのかな。後者はECサイトどころか、銀行や証券会社のパスワードを業者のサーバに保管しているんだけど。
— yasu (HIRATA Yasuyuki)@アスカネット (@hirayasu) May 7, 2019
今回のヤマトみたいな感じで、銀行等がユーザーに対してMoneyForwardを使う危険性の注意喚起してる例あるのかな
— なくうかん (@nacookan) May 7, 2019
ウケトルが話題になってるけど、これって家計簿アプリ全般にも言えるよね。全部が全部APIを公開しているのではないでしょ。https://t.co/PJD2cv5rxa
— noxi515 (@noxi515) May 7, 2019
ウケトルの問題ってそもそも何?
簡単にまとめれば、この一文になるかと思います。
ヤマト運輸は「再配達を改善するアプリ「ウケトル」とは正式に提携していないため、このアプリを利用するとID/パスワードが流出し第三者に利用される危険性がある」と注意喚起した。
詳しくは、昨日書かれた以下の2記事をご覧ください。
問題は「ID/パスワードの第三者提供」なのか?
もちろん、情報セキュリティを考える上で「ID/パスワードの第三者提供」 は危険なことなので注意した方が絶対いいです。
ただ冒頭で紹介したように、みなさんご存知の MoneyForward や Freee でも、ウケトルと同じ「ID/パスワードの第三者提供」でサービスが提供されているんですよね。
これはいったい何が違うのでしょうか。
大事なのは「正式に提携していない」という部分かと個人的に考えています。
この部分は、情報セキュリティと同じくらいプラットフォーム・サービスを設計する上で押さえて置くべき大事なことだと思います。
結論:MoneyForwardやFreeeは正式に提携している
各社のwebサイトにしっかりと明記されています。
MoneyForward社:銀行法等に基づく銀行等との契約内容
株式会社マネーフォワード…は、電子決済等代行業者等として、…銀行等との電子決済等代行業等に係る契約内容の一部を公表いたします。
1. 利用者に生じた損害賠償責任の分担について
2. …利用者情報の適正な取扱い…を行わない場合に銀行等が行うことができる措置について
3. …API接続を行う場合における…適正な取扱い…を行わない場合に銀行等が行える措置について
Freee社:電子決済等代行業について
三 電子決済等代行業者の損害賠償に関する事項
なお、連携先金融機関との損害賠償に関する契約内容は、連携先金融機関との契約締結後速やかに開示致します。六 契約内容の公表
三菱UFJ銀行とのAPI契約内容はこちらです。…
平たくいえば、銀行と各サービス会社との間に契約があるので問題ないんですね。
三者間取引になるケースに注意
MoneyForward社もFreee社も、契約の中でしっかりと銀行に対して自社の責任を明確にしています。
MoneyForward社:「利用者に損害が発生した場合、当社が、利用者に対して、損害を賠償又は補償を行います。」
Freee社:「不正アクセスや事故等に起因して利用者に損害が発生した場合、フリー株式会社が利用者への対応窓口となり損害を補償します。」
一方で、ユーザーがウケトル社と契約しても、ウケトル社とヤマト運輸の間には何も契約はありません。
ウケトル社に瑕疵がありユーザーに被害が生じたとしても、契約がなければユーザーへの補償責任を誰も負えません。
ヤマト運輸が注意喚起するのは、自社の契約相手であるユーザーを守るための当然の行為です。
プラットフォームサービス設計をする上でよく誤解される部分だと思うのですが、取引の片側だけと契約して勝手に相手方の代理人として振る舞うことは(基本的に)できません。 取引の両側としっかり契約(規約)を結び、三者間の取引になることを意識してサービスを設計する必要があります。
問題を対立構造に矮小化しない
先程の記事を書いたハフポスト記者の高橋史弥さんが、Twitterでこのように書いています。
個人情報が「流出する危険性がある」と「そもそも保有していない」。ヤマト運輸と荷物追跡アプリ「ウケトル」の主張は対立しています。『可能性』があるかないかの議論は悪魔の証明にもなり兼ねませんが、どちらかの主張に軍配が上がるようであれば続報を書きたいと思います。https://t.co/Hhz17jGSaW
— 高橋史弥/ハフポスト記者 (@TakahashiFumiy3) 2019年5月7日
このように問題を「個人情報の流出」に着目して双方を対立構造に据える態度は、両者を平等に取り扱うような素振りに見えますが、この問題の背景を矮小化していると感じます。
問題は情報が流出する可能性ではなく、誰が何の責任を取るのかといった責任区分=契約の問題であることを議論の射程にちゃんと入れて、不用意にユーザーを危険に曝さないプラットフォーム・サービスがちゃんと提供される世の中になればいいなと思います。