こんばんは。今回は予約キャンセルデータベースについて取り上げます。ねとらぼの取材に対して、高木浩光先生のツイートまとめに詳しい指摘があります。まずはこちらを御参照下さい。

togetter.com

　詳しいことは上記サイトに譲ります。気になるのが

• 登録された電話番号が本当に無断キャンセルした人のものなのか？
• 登録された電話番号データベースは適切に管理されているのか？
• 一体誰がこのデータベースを管理しているのか？
• データベースは適切に管理されているのか？
• 登録情報によって無関係の第三者が不利益を被った場合、どのように責任を取るのか？

　等々の点です。細かいことはいろいろとあるのですが、もう少し掘り下げてみます。

　その電話番号は本当に無断キャンセルした人の番号だと断言出来ますか？

　データベースに電話番号を登録する際、登録する番号がキャンセル被害を受けた飲食店主の自己申告なのでしょうか。だとすると、当該飲食店主の言い分を全面的に信頼するしかありません。番号記録ミスで間違った番号を登録してしまう可能性がありますが、それを確認する手段がありません。

　他にキャンセルした人が伝えた番号が陥れたい人の電話番号を勝手に伝えたりした可能性も拭いきれません。その場合の裏付けも取りようがありません。その上、データベースにアクセスして得られる情報は「登録されているかいないか」だけですので、間違った情報かどうかを誰も指摘出来ません。

　もし、自分の与り知らないところで勝手に電話番号を使われていたとして、予約しようとしたら「お請け出来ません」と、理由も知らされずに理不尽な断り方をされる可能性もあります。

　電話番号はずっと持ち続けているとは限りません

　他に考えられるケースとしては、登録された電話番号がすぐに解約されていて、しばらくそのままで、全く別の人が契約した電話番号として割り当てられていたとしたらどうでしょう。この場合も同様に、理不尽な断り方をされることになります。データベースに登録されていたことが分かったとして、どうやって別人であることを証明して登録抹消して貰うことが出来るのか？という問題があります。

　最近ではIP電話アプリが普及してますし、電話番号使い捨てな風潮もあります。昔と違って、電話番号は一度取得したら引っ越さない限り変わらないというものではありません。番号に対してさほど執着はないと思われます。

　これらの問題を含めて、きちんとデータベースを管理しないと役に立たないどころか、いたずらに混乱を引き起こすだけのツールに成り下がってしまいます。

　なので、「データベースの適切な管理を行うためのコスト」にまで頭が回ってないのではないかと邪推しています。

　セキュリティ面をきちんと考えておかないと拙いです

　そして、セキュリティ面の問題もあります。「電話番号はハッシュ化しているので大丈夫」というのは間違いです。他の方々も指摘されていますが、携帯電話なら11桁、固定電話なら10桁です。電話番号として使われない番号も多いので、これらを除外すればかなり絞られることになります。これだと一方向ハッシュは無意味ですね…。

　ソルトがあるのかないのかは分かりませんが、もしないとしたら、漏洩した場合に一発でやられてしまうのではないでしょうか。

　データベース管理コストは意外に高いと気づくのではないでしょうか

　他にも濡れ衣を着せられた第三者が不利益を被ったとして裁判を起こした場合どうなるのかとか、飲食業関係者のふりをして、気にくわない人の電話番号を登録依頼して登録してしたことが発覚したりとか…。いろいろ考えられます。

　もちろん、無断キャンセルによる飲食店側の被害も馬鹿にならないのは十分理解出来ます。データベース管理コストを軽く考えているように思えてなりません。情報の正確性の担保、データベースのセキュリティ対策、定期的なメンテナンス等々…。これらのことを片手間で出来るとも思えません。

　自分たちの身を守るつもりで構築したデータベースに身を滅ぼされる可能性も十分ありますので、今一度熟考しないと拙いのではないかと思えてなりません。