顧客情報流出事件から考える、タブレットPOS導入時の5つの不安
ベネッセ・コーポレーションの顧客情報流出が世間を賑わしています。最大2070万人の情報が流出した可能性があるといい、社会に与えたインパクトは計り知れません。
何を行うにしてもデータが必要な今の世の中においては、企業も個人も改めて身を引き締めなければいけませんね。
これとは別に、最近POS端末のウイルス感染がすこし話題になりました。
・POS:ウイルスまん延 レジと一体、カード情報危険に
(http://mainichi.jp/select/news/20140630k0000e040189000c.html)
東芝テックとNECインフロンティアの2社が感染事例を確認しているといい、端末が動かなくなるなどの被害があったようです。情報流出は確認されていないようですが、こちらも注意が必要です。
タブレットPOSの導入を進めていると、当然ながらお客様からセキュリティや個人情報等の扱い方について、ご質問を頂くことが多々あります。
- 「タブレットPOSのセキュリティは大丈夫なの?」
- 「タブレットが盗難にあったらどうすれば良いの?」
今回は良い機会ですので、タブレットを導入する企業が感じる不安点をまとめてみたいと思います。
1.セキュリティは大丈夫なのか?
セキュリティは今回の流出問題を受けて、一番関心が高まっているものでしょう。タブレットPOSサービスを提供する各社のセキュリティについての記載を確認してみました。
【タブレットPOS企業のセキュリティに関する記載】
★セキュリティについて(スマレジ:株式会社プラグラム)
http://smaregi.jp/pdf/security_20120301.pdf
★ユビレジ ヘルプ(ユビレジ:株式会社ユビレジ)
https://support.ubiregi.com/archives/91
★EC-Orange POSが選ばれる7つのポイント(EC-Orange POS:株式会社エスキュービズム)
各社の記載をみてみると、いくつかのポイントにまとめることができます。
サーバの端末に分かれた構成
タブレットPOSシステムは、一般的にサーバとクライアント(端末)に分かれています。端末で操作したデータをサーバ側に蓄積しています。オフラインでの会計を行うために、商品情報は端末側にデータを保持している場合があります。
端末に顧客情報は保持しない
顧客情報は、端末には保持しない、あるいは限定した情報のみを保持する方式が一般的です。端末にデータが入っていた場合、端末が盗まれてしまうとそのまま顧客情報も流出してしまうことになりますので、リスクを考えて設計されています。
サーバとの通信はSSLによる暗号化
基本的にどのサービスでもサーバとのデータの送受信時には、SSL通信により暗号化を行っています。SSL通信によって、データを送信している途中で、第三者にデータを盗み見られることを防ぐことができます。
しかし、SSL自体にも脆弱性が発覚することがあります。
・OpenSSL 1.0.1/1.0.2系に脆弱性、秘密鍵漏えいの恐れも(2014年4月)
http://www.atmarkit.co.jp/ait/articles/1404/08/news134.html
・OpenSSLに再び脆弱性、MITM攻撃につながる恐れ(2014年6月)
このOpen SSLはオープンソースであり、広く利用されているのですが、突然こうした脆弱性が発覚する場合もあります。こうした緊急時の対応についても、各社にしっかりと確認しておきたいところですね。
2.タブレットが盗難にあったらどうするんだ!
タブレットの利便性として、「持ち運びができる」という点がありますが、この利便性の反面、盗難しやすいという危険が伴います。こうした盗難の可能性を軽減するためには、アクセサリが有用です。いくつかご紹介します。
鍵付きワイヤーで盗難防止ができるiPadセキュリティケース:サンワサプライ株式会社
鍵を使ってチェーンを外せば持ち運びも可能
(http://direct.sanwa.co.jp/ItemPage/SLE-17SIP3)
タブレットを筐体へ入れて利用するiPadフロアスタンド:サンワサプライ株式会社
タブレットのスマートさが残ってスタイリッシュなイメージ
(http://direct.sanwa.co.jp/ItemPage/CR-LASTIP13)
金庫に一括保管できるiPad・タブレット収納キャビネット:サンワサプライ株式会社
充電も一括ででき、飲食店で複数台端末を利用する場合に最適
(http://ergs.jp//products/detail.php?product_id=934)
また、万が一盗難にあった場合でも、端末ごとにパスワード設定が行えますし、システムへのログイン時にもパスワードが必要になるサービスが一般的です。適切に設定を行うことで、店舗の情報が流出する可能性を低くすることができます。
3.タブレットが壊れちゃったらどうするんだ!
「持ち運びができる」ことは、落下により破損する可能性もあります。例えば飲食店のオーダーハンディ端末などは、ハードな環境化でも耐えることができるように頑丈な設計がされています。iPadやタブレット端末はそうした専門端末に比べると、耐久性に劣ってしまいます。そうした場合も、やはりアクセサリが有用です。
Griffin Technology Survivor for iPad 2:Griffin Technology
アメリカ国防総省の規格810Fに準拠した、高い衝撃吸収性能もつケース
(http://www.amazon.co.jp/Griffin-Technology-Survivor-iPad-GRF-SRVVR-BK-PAD2/dp/B004SPVZKW/)
タブレットをベルトで装着するタブウエスト:トマトランド株式会社
ベルトに備え付ければ、落下の防止にもなりますね
(http://www.tomatoland.jp/signage/sign_302.html)
また、破損した場合に備えて、予備の端末を用意する企業もあります。タブレット端末はたくさんの新機種が発表されています。破損して、いざ買おうと思ったら生産終了になっていた、ということもありえますので、多店舗へ大量に導入する場合は注意が必要です。
4.スタッフが遊んでしまったらどうするんだ!
タブレットは専用端末ではありません。インターネットはもちろん、様々な資料を電子化するなど、利用方法は多岐にわたります。これは店舗に大きなメリットなのですが、管理者の立場からすると、スタッフや社員がインターネットやゲームで遊んでしまうのではないか、という不安もあるようです。汎用端末であるがゆえの悩みですね。
こうした場合、MDMというサービスを利用して端末の操作を制御したり、管理することができます。
MDMとは
MDM(Mobile Device Management)とは、スマートフォンやタブレット端末を情報セキュリティの観点から管理を行うためのソフトウェアを指します。一般に端末情報をバックアップや、資料の複数台一斉配布、紛失時の遠隔ロック、アプリの配布、削除、起動制御などが可能です。
タブレットと言えども、PCと比較してもほぼ同様のことが実行できますので、こうした管理が必要とされているのです。
利用する場合の費用
当然ながら、こうしたサービスを利用する場合は費用発生します。基本的には、初期設定費用と端末毎に月額費用が発生します。導入台数にもよりますが、1台あたり300円~1000円くらいが一般的です。
このようにMDMのサービスを利用することで、特定のアプリを操作させないなど、業務以外の利用を制限する方法があります。とはいえ、せっかくの汎用端末ですので、どうすればそのメリットを活かせるかをしっかり考えた上で、検討するのが良いと思います。
5.OSがアップデートしてしまったらどうするんだ!
最後に、タブレットのOSについてです。これは特にiPadに言えることなのですが、AppleがOSアップデートを発表することにより、利用していたアプリが動かなくなってしまう、ということが起こりえます。
いくら利用するスタッフに注意しておいても、アップデートしてしまうことがあります。
アプリやシステムは、OSが新しくなることで、不具合が生じる可能性もあります。これにより業務に支障がでることは避けなければいけません。サービスを提供する側の早期対応も必要ですが、企業、店舗側でも注意する必要があります。
6.タブレットPOS導入時の不安と解決策のまとめ
今回はタブレットPOSの導入企業が感じる不安と、その解決策をまとめてきましたが、いかがだったでしょうか。
これからの小売業では、売上データや顧客データを利用できない企業は、他社と対等な勝負ができないでしょう。また、せっかく長い年月をかけて自社のファンになってもらっても、こうした事件によって簡単に顧客は離れてしまいます。各企業は、より一層管理体制を厳格化する必要があります。
今回の事件によって、データの取り扱いへの不安は高まると思います。危険だから使わない、という選択肢も当然ありますが、「どう使えば、安全に利用できるのか」という考え方持っていただくのが良いのかもしれません。
この記事を書いた人
大工 峻平
エスキュービズム・テクノロジー ソリューション事業部開発部にて、タブレットPOSシステム導入を担当。タブレットPOS、Handyシステムの導入営業からはじまり、納品・教育・保守まで幅広い業務領域に携わっています。