- 会員限定
- 2021/09/06 掲載
なぜトヨタディーラーによる顧客情報「無断登録」は起きたのか? 問題の本質とは
トヨタが起こしたID情報の不適切な扱い
トヨタの発表によれば、全国のトヨタ販売会社9社において、車両の注文書やアンケートに記載された個人情報(名前、生年月日、性別、住所、電話番号、契約車両の所有情報)が、ユーザーに無断で「TOYOTA/LEXUS共通ID」(以下「共通ID」)に登録されたという。共通IDとは、トヨタが提供するコネクテッドサービス、レンタカーやシェアリングカーサービス、アプリサービスを受けるために必要な会員IDだ。トヨタ車両のオーナーであるかは関係なく登録することができる。このような会員IDは、量販店やサービスプロバイダーでは一般的な存在だ。「dアカウント」「au ID」のようなグループやパートナー企業のサービスを横断的にカバーする会員IDと思えばいいだろう。プラットフォームビジネスでは、顧客エンゲージメントやサービスエコシステムのインフラとも言える。
ID登録にまつわる不適切処理。言ってしまえば、登録した覚えのない会員登録なのだが、外部への個人情報の漏えいに比較すれば、ことさら大きく取り上げる問題ではないかもしれない。今回の場合、担当者と顔なじみの自動車ディーラーでのアンケート、ましてや購入契約においてなら、会員ID登録がセットになっていても悪用を心配する顧客は少ないとも言えるだろう(それも考えようによっては問題だが)。
トヨタの対応も素早く、必要な情報公開もそつなくされている。原因の分析、背景、対策、被害者への対応の記載があり、特に原因の一部にトヨタ本体の責任に関する記述さえある。インシデント対応の第一報としては下手なIT企業よりも評価できる。
垂直統合モデルでは避けられないガバナンスチェーンの問題
しかし、販売台数で世界1位2位を争うトヨタにおいて発生したという点は注意が必要だ。個人情報の目的外利用、提携先・提供先をあいまいにした取得は、IT業界ではもはや常識以前の問題のはずだ。改正個人情報保護法では、匿名データ、仮名データという利用促進の手段を残す反面、個人情報提供者への告知方法がより厳密になり、第三者提供や委託処理についての制限も厳格化された。GDPRなど海外の規制とも整合させる必要もある中、個人情報のずさんな管理は、グローバル規模のトヨタとしては、あってはならない問題だ。もちろんその認識があるからこそ、トヨタも素早い対応とリリースによる公表に踏み切ったと言える。
トヨタと言えば、2018年以降、コネクテッドカーを意識したECUアーキテクチャーの刷新を進めており、ゲートウェイによるCANバスとクラウドの分離など、セキュリティ対策にぬかりのないOEMの1つだ。
サプライチェーンを通じたセキュリティレベルの維持、教育・リテラシーの向上は、規模が大きいほど簡単ではないが、販売会社への情報リテラシー教育はどうだったのか。個人情報保護ポリシーやガバナンスの運用は適切だったのか。販売会社の不手際とはいえ個人情報のイロハのような問題を起こしてしまった責任は重い。
事実、トヨタはリリースで、問題の原因の1つとして「ID登録数増のプレッシャー」について言及している。類似の問題は、車検整備の不正問題でも指摘されている。責任を真摯に認めている点は評価すべきだが、トヨタは、自ら「モビリティカンパニー」を標ぼうし独自のMSPFというクラウド基盤を構築し、グループ企業や業界への利用を呼びかけている会社だ。業界構造の変革にもOEMを頂点とした垂直統合モデルでソフトランディングを目指している。そのトヨタに「販売代理店の問題」「子会社がやったこと」といった言い訳は通用しない。
【次ページ】自動車業界はデータビジネスの認識アップデートを
関連コンテンツ
関連コンテンツ
PR
PR
PR