ここまでマッチングサービスのシステムや、運営手法等について解説してきましたが、どちらの分野でも重要な点が一つあります。
それはマッチングサービスの『セキュリティ』です。
ビジネスマッチングであれ、恋愛系のマッチングサービスであれ、取り扱うのはとても重要な秘密です。
もし流出したとすれば、そのサービスの信用は地に落ちてしまい、せっかく獲得したユーザーは離れてしまうでしょう。それどころか、損害賠償請求等を起こされる可能性もあるのです。
よってマッチングサービスを運営するのであれば、他の事業よりも厳重なセキュリティ体制を築くべきです。今回はその点について解説します。
セキュリティで守るべき情報
まずマッチングサービスを運営するに当たり、どのような情報を守らなければ行けないのか、その点について理解を深めましょう。
『個人情報』及び『要配慮個人情報』
個人情報は、守るべき一番基本となる情報です。氏名やメールアドレス、年齢・性別・住所等がこれに当たります。
これらの情報は『外部に漏らさない』というだけでなく、『個人情報保護法』に沿った形で用いる必要があります。
いずれ別記事で詳しく説明しますが、『利用目的を通知する』『通知した用途以外では使用しない』『第三者(委託先)等へ勝手に渡さない』といった制約が定められています。
また『個人情報保護法』では、特に慎重な取り扱いが求められる情報を『要配慮個人情報』と定義したうえで、厳格な規定を定めています。
『要配慮個人情報』に該当する情報
- 人種
- 信条
- 社会的身分
- 病歴
- 犯罪の経歴
- 犯罪により害を被った事実
- その他本人に対する不当な差別
- 偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの
これら『要配慮個人情報』を取得する際には『本人の同意』が必要となり、更に『第三者提供』は禁じられています。
マッチングサービスを作るにあたって、これらの項目を登録させるのは基本的に避けたほうが無難です。ましてや表示したり、検索できるようにしたり……といったことも避けるべきです。
クレジットカードなどの決済情報
クレジットカード情報や、各種決済手段の情報も取り扱いに注意が必要です。
なお月額利用料を取るとしても、取引を仲介するとしても、現在クレジットカード情報の非保持化が法律で定められています。(改正割賦販売法)
なので守る・守らない以前にカード番号等の情報は『保有しない設計』としなければなりません。
基本的に『決済代行会社』と契約を結ぶ形となると思いますので、『決済代行会社』及び『システム会社』にこの点は詳しく聞きてください。
マッチングサービス固有の情報
また他のサービスと違って、マッチングサービスだからこそバレたくない情報というのも存在します。
例えば『転職マッチングサービス』であれば、多くのユーザーが”登録していること自体”を『今の会社にバレたくない』と思っています。
そこで多くの転職マッチングサービスでは、『現在働いている会社のマッチング画面に出てこないようブロックする機能』や『個人情報非公開機能』といったものを用意しています。
また恋愛系マッチングサービスでは、『近くにいる人』をマッチングする機能が備えてあります。
ただしこれも精密に調べられるようにしてはいけません。何箇所かで計測することにより、自宅住所や職場等を特定できるようになってしまうからです。
マイナンバー情報
そして念の為触れて置きたい点として『マイナンバー情報』が挙げられます。
この『マイナンバー情報』ですが、仲介型のマッチングサイトであっても、基本的には取得が必要ない情報です。
しかしながら、クラウドソーシング等でユーザー同士が仕事のやり取りをする際、支払調書等でマイナンバー情報の取得が必要になることはあります。
その際、サービス内のチャットでマイナンバー番号等をやり取りしてしまうと、サービス運営側に責任が課せられる可能性もないとは言えません。
よってマイナンバーをやり取りする際は、直接やり取りをしてもらう等の案内が必要となります。
また、最近ではマイナンバーカードを利用した『本人確認』『年収証明』といったシステムも推進されるようになってきました。
大手サービスも導入が始まっているため、今後あらゆるサービスで使われるようになるかもしれません。
基本的にマイナンバー情報を直接保持する形にはなっていませんが、適切な運用・システムの構築に努めてください。
セキュリティを強化するための対策
ではここまで取り上げたような情報を守るためには、どのような対策が必要でしょうか?
信頼できるサービスを使う
サービスの構築を依頼するシステム会社や、パッケージソフトがどの程度セキュリティを意識しているのか、外部から調べるのはとても難しいです。
しかし実際に打ち合わせを行う際、その点を聞いてみることはできるでしょう。
例えば以下のような質問を投げかけることができます。
- 個人情報保護方針はどのようなものですか?
- 他要素認証には対応していますか?
- ユーザー権限の管理方法は?
- サードパーティライブラリの脆弱性チェック方法は?
- 外部サービスとの連携におけるセキュリティ対策は?
またこれらの質問と同時に、導入実績についても聞いてみて下さい。
大手企業は自社で導入するシステムに関して、厳重なセキュリティ基準を敷いていることが多いです。
もし大手企業でも採用されているサービスであれば、それらの基準をクリアしているかもしれません。
ブラウザなどのクロール対策
まず外部に公開される情報についても、第三者に利用されないよう対策が必要です。
特にビジネスマッチングや求職マッチングサービスに関しては、スクレイピングを行うことで営業名簿を作られてしまうことも多々あります。
そこから営業されてしまうと『個人情報を売りさばいているのではないか』という疑念を持たれてしまうこともあるでしょう。
対策としては、まず利用規約で『スクレイピング』を禁止することが必要です。(万一訴訟等になった際、規約は大きな意味を持ちます。大手のマッチングサービスでも、ほとんどスクレイピング禁止が規約に入っています)
また、『レート制限』『CAPTCHAの実装』『ロボット排除規約』等の設定によって、スクレイピングからデータを保護することもできます。このあたりはシステム会社の方に相談してみてください。
外部製品の脆弱性対策
また、直接的なシステム部分だけでなく、外部製品を使う際の脆弱性対策も必要です。
例えば決済部分を実装する際、決済代行会社からシステムが提供されることはよくありますが、これらのサービスも日々状況に合わせてセキュリティアップデートが行われます。
それらアップデートは自動で反映される訳ではないので、度々更新を確認し、必要な作業を行うことが肝要です。
また、認証サービスや通知サービス、CDN・FaaS・チャットサービス等、外部サービスを使うケースは多々あることでしょう。
それら全てを適切な形で接続し、日々アップデートし続けなければ、脆弱性をシステムに抱えることとなります。
セキュリティ体制及びプロセスの構築と実行
そしてセキュリティの漏洩元は、システムだけとは限りません。
マッチングサービスに登録された情報というのは、とても価値があります。
なので従業員や関連会社等がその情報を盗み出し、外部に販売するといった事件が過去に幾度か起きています。
そういった事態を避けるため、情報の管理は徹底しなければなりません。
誰にでも管理者権限を渡すのではなく、権限のある人物を限定し、その人物のみアクセスできるような仕組みづくりが必要です。
また、セキュリティガイドラインの作成、社内教育と確認テストの実施、インシデント発生時の適切な対応手順と訓練等も行った方が良いでしょう。
更にサービスが大規模になってきた際は、セキュリティ部門の作成や、コンサルへの依頼、監査の実施等を視野に入れることができます。
マッチングサービスの情報漏洩は、信頼問題へ直結し、事業の継続を脅かします。
『きっと大丈夫だ』と楽観視するのではなく、最初から力を入れて取り組まれてください。
