ソフトバンクが提供するサービスに、「かざして募金」がある。NPOや慈善団体への寄付が簡単に行え、多くの人に社会貢献が広がるサービスなのだが、この取り組みにちょっとしたトラブルが発生した。この問題は、昨今の情報セキュリティを考える上で示唆に富んだ事例でもある。
かざして募金で覚えのない寄付が
この問題が、どのようにセキュリティとかかわるのか。PCのみならずスマホやIoTなどといった時代になると、セキュリティの範囲はIT領域に限らず、企業コンプライアンスや経営戦略とも密接にかかわるため、顧客とのトラブル対応やネットでの炎上対応もその範疇といえるが、情報セキュリティ技術の基本的な考え方のひとつである、セグメント化やドメインの分離の良い事例でもある。
まず、騒動の概要について解説したい。
かざして募金では、募金や寄付を募るポスターの専用QRコードをソフトバンクが提供する専用アプリで読み込むと、日本盲導犬協会や東日本大震災復興支援財団などいくつかの団体の募金ページへつながり、寄付ができる。寄付した金額は、ソフトバンクの通信料といっしょに自動的に決済されるので、面倒な送金処理が必要ない。
問題が発覚したのは、ユーザーからのSNSへの書き込みがきっかけだ。自分では(正確にはその人の奥さん)募金した覚えがないのに、日本ユニセフへ募金したことになっていたというのだ。すると「自分もだ」「毎月1万円ずつ寄付する設定になっていた」といった類似の反響があり、問題が拡大していった。
募金を増やすための施策が裏目に
原因は、処理を簡単にして寄付を促そうというメールと、そのユーザーインタフェース(UI)にあったようだ。
まず、募金ページ。なるべく操作を減らすため、決済までのステップを極力減らしていた。画面遷移によるが、3ステップ程度だった。これはサービス名が示すように、ユーザーが募金ポスターの前で思い立ったらすぐに募金できるように、というコンセプトを実現したものだろう。
しかし、SNSへ書き込みした人の多くは、ポスターの前でアプリを起動したのではなく、日本ユニセフ協会募金サイトへメールで誘導されたユーザーだった。これが問題の原因のひとつだったことは間違いない。
ポスターを見てQRコードを読み取っているなら、寄付の意志があることは明確だ。だが、メール誘導の場合は、意志がない人もその意識がないまま画面を進めていったり、画面を閉じたつもりで別のボタンをタッチしてしまったりといったことが起こっていたと考えられる。