ソニーの「PlayStation Network」(PSN)で起こったセキュリティシステムの障害は、米国史上2番目に大規模なデータ漏えいとなった。企業でこのような障害が発生した場合、顧客に対し具体的にどう補償を行うかについて多くの意見が出されることだろう。
ある米国の上院議員と、少なくとも1件の集団訴訟の原告団は、ソニーに対しクレジット監視サービスの無料提供を求めている。後者の場合は損害賠償もだ。しかし、法律上の義務は別としても、ソニーは同社サービスを利用する顧客の失われた時間、失われた個人情報についてどのように補償し、失われた信頼をどのように取り戻すのだろうか。
ソニーがこれまでに考え出した米国における補償は次のようなものだ。個人情報漏えい監視サービスを1年間無料で提供、既存の契約状況に応じて「PlayStation」または「Qriocity」のプレミアムサービスを1~2カ月分無料で提供、一部コンテンツの無料ダウンロード提供、一部の人気タイトルでのゲーム内特典を提供するという。コンテンツの無料提供について、ソニーは数週間前にその可能性を示唆し、米国時間5月16日に正式発表した。具体的には、「PlayStation 3」(PS3)ユーザーは5つのビデオゲームの中から2つ、「プレイステーション・ポータブル」(PSP)ユーザーは4つのゲームの中から2つを選んで無料でダウンロードできるというものだ。さらに後日、PSNのユーザーは1回の週末に「特選」映画を無料でレンタルできるという。
しかし、ソニーが顧客に埋め合わせをしなければならないものの大きさを考えると、それだけでは十分ではない。
失われたことが分かっているものは次のようなものだ。7700万人のPS3とPSPのユーザーが4週間弱の間、ゲームとビデオのハブであるPlayStation Networkと、音楽とエンターテインメントのサービスQriocityにアクセスできなかった。確かに無料のサービスではあるが、顧客が既に代金を支払ったゲームの機能を強化するものだ。ユーザーは3週続けて週末に友人と一緒にオンラインゲームをプレイしたり、映画をダウンロードして見たりすることができなかった。ゲームや映画を主な余暇の楽しみとしている人もいる。
加えて、新しいクレジットカード番号を取得するための時間と手間と不便さがある。ソニーには約1000万件のクレジットカード情報が登録されており、ソニーはクレジットカード番号が漏えいしたとは考えていないと繰り返し述べてはいるものの、顧客に注意を促してはいる。多くの人は、「備えあれば憂いなし」と考え、新しいクレジットカード番号を取得することを選ぶだろう。
このような個人情報を誰がソニーから盗んだのかは分からないが、犯人がその情報を違法な目的に使用する可能性や、違法な目的で使用する他者に売る可能性は十分考えられる。その結果、フィッシング攻撃やあからさまな詐欺行為が行われるおそれがある。
信頼についてはどうだろうか。今回、情報漏えいそのものに加え、情報漏えいについて顧客に知らせるのが遅かったことからも、ソニーのブランドはダメージを受けた。ソニーは失墜した信頼をどのように取り戻すのか。
無料のクレジット監視サービスを提供するという意思表示は、評価できるものであり、必要なことでもある。しかし、発売から6カ月から2年経っているゲームを無料で提供することがソニーにとって実際に大きな負担になるとは思えない。それに、映画は無料で所有できる形で提供されるのではなくレンタルできるだけであり、話題の新作というわけでもない。多くの新作ゲームはすぐにはデジタルダウンロード形式で提供されず、ソニーがパートナーであるゲームメーカーに協力を強いることはできないが、ソニーは自社で多くのゲーム制作スタジオを持っている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」