急成長を遂げ、現在月間2300万人のユーザーが利用するフリマアプリ「メルカリ」。そのメルカリが今取り組んでいるのが「お客さま体験を損なわず、従業員の負荷も軽減するセキュリティ環境」の構築だ。毎日大量に行われる個人間取引では不正取引や個人情報漏洩などさまざまなリスクがあるが、巧妙化する犯罪から顧客情報をどのように守っているのか。執行役員 CISO(最高情報セキュリティ責任者/Chief Information Security Officer)の市原尚久氏に聞いた。
「快適かつ、安心・安全に使い続けられるサービス」を目指す
──メルカリでは多くの利用者の個人情報を扱っていますが、セキュリティやプライバシーを守る上で大切にしていることは何ですか。
市原尚久氏(以下敬省略) 私たちのミッションは「セキュリティとプライバシーへの対策を通じて、メルカリに関わる全ての人々からサービスへの信頼を得ること」です。
中でもメルカリでは「お客さま体験」を最も大切に考えています。ただ、アプリの安全性と操作性はトレードオフの関係にあります。例えば、決済時に追加認証機能を加えれば不正アクセスを防げますが、ユーザー体験としては購入までの手順が増えます。セキュリティの強化で、顧客に不便を強いるのでは本末転倒です。
私たちはユーザーが特別な操作をすることなくセキュリティやプライバシーが自然と守られ、サービスを安心して使い続けられる状態を目指しています。そのため、開発段階からセキュリティとプライバシーが確保できる仕組みづくりを心掛けています。
──開発段階からセキュリティとプライバシーを確保する仕組みとはどのような仕組みですか。
市原 現在の仕組みは、セキュリティ&プライバシーの行動指針「Security and privacy by design, by default, and at scale」を基に作られています。セキュリティやプライバシーチェックは多くの場合、新しい機能が完成した段階で行います。しかし、この段階で脆弱性(安全上の欠陥)が見つかると、時間をかけて作り上げた機能を一から作り直す必要が出てくる場合があります。そうなると開発に必要な時間とコストが想定以上にかかってしまい、新しいサービスをお客さまに届けるのが遅くなってしまいます。
そこで新しい機能やプロダクトを開発するときには、セキュリティチームが企画や設計の段階から携わるようにしています。「新しい機能がセキュリティやプライバシーに配慮されているか」「ユーザー体験が損なわれないデザインになっているか」を「セキュアデザイン&セキュアプログラミング」と「プライバシーバイデザイン」の方針に則って、現場と確認しながら進めるのです。
このように開発の初期段階からセキュリティやプライバシーの観点に配慮した開発や設計を行えば、手戻りなく安全性と操作性を両立させることができます。