うっかり個人情報が…


ここに初めての方は以下のエントリーをまずご覧になってから読み進めて頂けると良いかと思います。
うっかり適当なメールアドレスを作る人たち
うっかり適当なメールアドレスを作る人たち(2)

事例2:SEIYUドットコム

メール受信日:2017年4月13日
クレーム開始:2017年4月13日
クレーム終了:2017年4月22日

私の「普段使っていないメールアドレス」に覚えのないメールが届きました。
こんな内容です。


SEIYUドットコムにご登録頂きありがとうございます
長いので途中の関係ない案内などの部分は省略しています。
差出人は「SEIYUドットコム」というところからです。このメールには差出人の情報表示があり、カスタマーサポートへの問い合わせリンクが二か所にあります。「覚えの無いメール」についての記述が無いのが気になりますが、問い合わせることはできるようです。
と、同時にもう一通別のメールが届きました。
こんな内容です。
[SEIYUネットID]登録完了のお知らせ
題名が「[SEIYUネットID]登録完了のお知らせ」でこちらが何もしていないうちに「私のメールアドレス」で登録が完了してしまったようです。これはちょっとまずいですね。
差出人は「SEIYUネットID info」と微妙に変わっています。メールのフッタには「株式会社 ディー・エヌ・エー」とあり別会社からです。
ともあれ、これは「めんどくさい」とは言ってられないのでクレームすることにします。今回も例によって「送信専用のメール」になってますが、ちゃんと問い合わせ先の案内があるのでそこから連絡することにしましょう、と思っていたところ(先のメールから7分後)に別のメールがまた届きました。
こんな内容です。

うっかり個人情報が…

[ご注文確認]SEIYUドットコム
なんと!「ご注文確認」のメールですよ。このメールを読むと、メールが顧客に届かなくても買い物はできてしまうことも分かります。
長いので途中省略しています。赤印の部分に注目してください。住所氏名電話番号が記載されています。何を何個注文したかなども当然全部メールに書かれています。

これは非常にまずい状態ですね。

さっそく、カスタマーサポートにクレームを入れることにしました。

お問い合わせ

「お問い合わせ」というページで必要事項を記入して、問い合わせ内容を記入し、「確認画面へ」をクリックし、その次の画面で「送信」すればクレームは完了です。
お問い合わせ
ところが、「お問い合わせ件名」の選択肢の中には「覚えの無いメール」に類する件名が用意されていないんですよね。それから、覚えの無いメールを受け取った側としては「こちらの個人情報を積極的には提供しない」という方針があるので、「氏名」「フリガナ」の記入欄が「必須」というのは納得がいかないですね。
お問い合わせ 送信完了
納得がいかないので当然こういう風に「氏名」には「匿名」と記入して問い合わせることにします。件名は「会員登録について」を選択しました。
「ご注文確認メール」が届いたのが4月13日10時27分。クレームを入れたのが13時39分でした。それに対する返事が14時6分に届きました。

お問合せの件につきまして/SEIYUドットコム

この中で、いくつか注目すべき点があります。

現在、お電話にて登録者様へご連絡を試みております。
ご連絡取れ次第、メールアドレスの確認、変更をご依頼致します。

この対応はなかなか理にかなった対応ですね。あくまでも顧客から預かった情報が間違っているという立場で間違えた責任は顧客にあるので顧客に確認してから対処するということですから。
「SEIYUドットコム」にしてみれば、Webからの見知らぬ匿名の問い合わせに対して、最初に送るメールの内容としては適切なものでしょう。
皮肉なことに、「SEIYUドットコム」は最初に送ったメールに対して返ってくるメールの内容を確認するまでは、「メールアドレスの正当な持ち主が誰か分からない」のですから。
疑えば、問い合わせフォームを使ったイタズラの可能性もありますからね。もちろんメールアドレスが顧客本人のもので、これがイタズラだとしたら顧客にメールが届くことになり、イタズラが発覚します。そういう可能性も含めると、もうちょっと文面は改善の余地がありそうですね。

また、この度ご登録された方への連絡が取れず、メールアドレスの変更が
迅速に行って頂けない場合は、弊社にて強制退会のお手続きをさせて頂きますので、
大変ご不便をお掛けし誠に申し訳ございませんが、今しばらくお待ち頂きますよう
よろしくお願い申し上げます。

これも現実的な対応でしょう。「うっかり適当なメールアドレスを作る人」が迅速に対応するとはあまり思えませんからね。

重ね、本件につきましては、メールアドレスの誤入力が原因かと存じます。
不正利用などにつきましては、確認が取れておりませんので、
ご安心頂ければと存じます。

どこもそうなのですが、あくまでも「誤入力」ということにしたいみたいです。まあ、本人ではないので分からないのは確かなのですが、「覚えの無いメール」を受け取った方からすると、「原因はメールアドレスの正当性を確認しなかったアンタでしょ」と。とてもじゃないけど、「ご安心」はできませんよ。

これに対する私の返信がこちらです。
(今読んだら誤字がありました。「個人情報後」→「個人情報保護」)
Re: お問合せの件につきまして/SEIYUドットコム
このメールが「SEIYUドットコム」に届くことで初めて、当該メールアドレスが彼らの「顧客」のものではなく「お問い合わせをしてきた匿名の人物」のものだということが確定します。
確定した以上は、「SEIYUドットコム」が私のメールアドレスを削除しない理由はありません。ですので、私は「待つ気はありません」と書いています。

その後、同日21時57分に途中経過のメールが届きました。(残業ですね)
抜粋で紹介します。

本日、終日ご登録者様へご連絡を試みましたが、
以前ご連絡がつかない状況でございます。

引き続き明日もご連絡を試みると共に、
担当部署へ連動し、早急にご対応を検討させて頂きます。

おやおや、どうやら電話番号も「誤入力」だったようですね。それとも留守電で居留守ですかね。

また、この度は弊社システムによりご迷惑をお掛けし、誠に申し訳ございません。

即時の対応は出来かねますが、
今回お客様より頂戴致しましたお声につきましては、
当窓口より各担当部署にお声を伝え、今後の改善の為に検討を致します。

この部分は、私が指摘した「個人情報漏れの危険性のあるシステムの瑕疵」についての回答ですね。

次の日の4月14日18時16分に、途中経過の報告メールが届きました。

以下、抜粋です。

本日も引き続きお電話にて、ご連絡を試みると共に、
封書にて、変更依頼のご案内を郵送させて頂きました。

期限を記載しております為、ご連絡がない場合は、
期限超過後、速やかに退会処理を行わせて頂く所存でございます。

電話で連絡がつかないので、ついに今度は郵便で連絡をとるようです。

退会完了

4月21日11時33分に「SEIYUドットコム退会完了のお知らせ」という自動送信メールが届きました。
SEIYUドットコム退会完了のお知らせ
それに引き続き、同日12時1分にもメールが届きました。
こちらはカスタマーズセンターから。
抜粋です。

以前より、お申し出を頂いておりました、
弊社ご利用者様のメールアドレス誤登録により
ご登録を頂いていないご連絡者様へ、
ご案内のメールを差し上げております件につきまして、
本日4月21日をもって誤登録メールアドレスの抹消と
アカウントの強制退会の手配をさせて頂きました。

なんか、すごく持って回った書き方ですね。

弊社ご利用者様のメールアドレス誤登録によりご登録を頂いていないご連絡者様へ

すごく気を遣って書いたのでしょうね。
ついに強制退会ですよ。「うっかり誤入力の顧客」への回答期限は一週間だったようですね。
私としては、匿名の私がメールアドレスの正当な持ち主であると確定したにもかかわらず、即座にメールアドレスの登録削除をされることなく長い間待たされた、という点が納得いかないのでこんな風な返事をしました。

このメールを送ったのが4月22日(土曜日)の9時49分です。返事は同日13時57分にありました。
メールはこれで最後です。

即時の対応は難しい状況でございますが、
今回お客様より頂戴致しましたお声につきましては、
当窓口より各担当部署にお声を伝え、
今後の改善の為に検討を致します。

「改善します」ではなく「今後の改善の為に検討を致します」というところが煮え切らないんですが、カスタマーサポートという立ち位置だとここまでしか言えないんでしょうね。
一応、この件はここで矛を収めました。

メールアドレスって必要なの?

結構長くなってしまいました。ここまで読んで下さった方、お疲れ様でした。
あと、もう少しです。

今回の私のメールアドレスも前回のとは違いますが独自ドメイン名のメールアドレスでした。ユーザー名部分はtdk77という何か適当な感じの文字列ですね。ドメイン名部分もほぼ何かと間違えて書くような種類の文字列ではありませんがとても短い文字列なので、本当に適当に創った可能性が高いです。しかも、メールアドレスだけでなく電話番号も「うっかり適当な人」だったようで、それでもクレジットカードで欲しいものは手に入れたみたいですけど。これで分かることは、欲しいものが届きさえすればあとはどうでもいい、という人が一定数はいることです。
そして、それを許してしまっているサービスプロバイダ(あるいはその中のシステム設計者)とそのシステムが存在しているということだと思います。要するに売れれば何でもいい。

つまり、そもそもの原因は、

メールアドレスが正しくなくても買い物ができる

もっと正確に書くと、

メールアドレスが無くても買い物ができる

ように作られているのに、メールアドレスを記入必須事項にしていることです。
今回のケースのようにメールアドレスを必須事項として顧客から提供させる以上は、その正当性を確認しておかないとメールを出す際に個人情報の流出を引き起こすリスクが常にあることを認識すべきです。

最後に、今回のケースは2017年の4月の出来事でした。今はもう丸一年以上経過している訳ですが、今現在のサイトは果たして「今後の改善」がすでに行われているのでしょうか?
私の所には改善報告なんてものは届いていませんから、私には分かりませんけどね。
もし、「今のシステムは改善されていてもう個人情報の漏れることは無いし、覚えの無いメールを受け取る人もいない」というご報告を頂けるのであれば、喜んでここに追記させて頂きますのでよろしくお願いしますね。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です