最近、私のメインのメールアドレスに覚えのないサイト登録完了メールがよく届きます。
「登録完了しました」と簡素な内容ならまだしも、中には名前、電話番号等フォーム入力された内容が丁寧に記載されて届くものもあります。
メールアドレスの記入ミスで自分の情報が知らない人に漏れるってまずくないですか?(まあ、登録者の自業自得といえばそれまでですが。)
昨今、個人情報の取り扱いについてはどこも意識して対応していて、特にフォーム入力画面はSSL暗号通信化していたりしますが、最後のオチがこれだと意味ないですよね。
これまでの経験からサイト管理者は以下のような対応にすべきだと思います。
・フォーム入力において登録完了等のメール送信する際は、最低限の情報だけメールに記載する
・会員登録であれば、仮登録メールを送信し、本登録に進むようなフローにする
当たり前のような事ですが、たったこれだけやっただけでも、登録本人も誤送信先の人もサイト運営者も安心できると思いますけどね。
完了メールの簡素化
何度も言いますが、会員登録に限らず、何かしらのフォーム入力を求め、完了メールを送る場合は、最低限の情報のみ記載して送信するべきです。
全ての人が、完璧にできるわけではなく、間違いを起こす事を前提に考える必要はあると思います。
また情報セキュリティとは、常に性悪説に基づいて対策する必要があります。
これまで届いたメールにはこんな個人情報がありました。
- フルネーム
- 年齢
- 会社名、大学名
- 購入商品名
- 年収
- 住所
- 生年月日
- 電話番号(殆ど携帯番号)
- Webサイト
- 登録したパスワード
さすがにクレジットカード番号まで載せてくるところはなかったです。
理想的である名前だけ記載したメールはありますが、半分以上が個人を特定できそうな情報を記載したメールが届いています。
もし悪意ある人に届いていたらと思うとゾッとします。
フォーム入力する登録者もこういった業者がある事を想定して、セキュリティ意識を持つ事が必要そうです。初期登録時は最低限正しいもの、後は適当なものを入力するしか対策する方法は無さそうです。
そして、正しいメールアドレスを入力し完了メールが届いたとしても、どういった個人情報がそのメールに記載されているかを確認して、個人情報の管理が徹底されている業者なのか見極める目が必要なのかもしれません。
仮登録メールからの本登録フローの必要性
登録ボタンを押したら即登録というのは、サイト管理者も登録者も手間なく簡単で良いとは思いますが、本当にそれで良いですかね?
誤送信された方からすれば、迷惑千万です。
不要なDMは届くし、催促のメールは来るし、何度もパスワードリセットメールが来ると気分悪いです。
「仮登録メールからの本番登録」のフローとは、以下のようなフローを理想と考えています。
- フォームからのサイト登録(ここでの入力は、名前、メールアドレスのみ)
- 登録者のメールアドレスに「サイト仮登録のお知らせ」メールが届く
- 登録者は、仮登録メールに記載された本登録のためのリンクを開き、本登録処理を行う
- ユーザは本登録完了後に、サイト側が必要とする個人情報を登録する
個人情報が絡まない問い合わせだけのフォーム入力であれば4番目は不要かと思いますが、SNSやネットショップ、就職関連など後々個人情報を必要とするサイトへの登録は、上記のようなフローが理想ではないかと考えます。
まとめ ー 自分の個人情報をどう守るか
TwitterやFacebook等SNSなどの普及で今や、名前だけでも検索すればその人の情報は手に入る時代。顔写真や大学、就職先、趣味趣向などあらゆるものが入手できてしまいます。
もしfacebookやtwitter、インスタなどで個人情報をさらけだしていれば、名前を含めた情報で検索した場合、本人特定される確率は高いです。
写真についたExif情報でGPS情報や名前、趣味趣向、人との繋がりなど。パスワードや生年月日、大学名があると、リスト攻撃(パスワードをリスト化して総当たり攻撃を行う)の対象ワードになりかねない。
ここでは詳しくは書きませんが、SNSでの個人情報の公開を控えるか、全く異なるアカウントで行うかする方が良いし、何よりも登録するメールアドレスは確実に自分が使用しているアドレスを確実に入力し登録すべきですね。
コメント