iPhone新規契約＠ソフトバンクで情報セキュリティ的に気になった点メモ（設定したばかりのパスワードが店員の手元にあるiPhoneに平文で送られてくる）

店員（名札にはたしか「ソフトバンクモバイル」）は、登録作業にiPadを使用しています。

手続き途中に、そのiPadを渡されて、MySoftbank*の新しいパスワードを設定するように言われました（*契約確認や契約変更などをWEB上でを行うためのサイト）。

仕方ないので、その場でパスワードを考え、誰にも見られないようにiPadに入力しました。当然入力した文字は伏せ字になります。

しかし、帰宅途中に気づいたのですが、入力したパスワードがそのまま記載されたSMSが、新しいiPhone端末に届いていました。丸見えです。

＜ソフトバンクより＞

My SoftBankのパスワードを変更しました。

■新しいパスワード：
（パスワードが全文字そのまま表示されている）

My SoftBankはこちら
https://my.softbank.jp

【総合案内】
ソフトバンク携帯電話から
Tel:157（無料）
一般電話から
Tel:0800-919-0157（無料）

・このメールへの返信は受付できません

この時点で、ソフトバンクモバイルの店員が、iPhoneを操作できる状態（購入前）なので、簡単に設定したパスワードを盗み見られてしまいます。

※メッセージアプリで個別のメッセージの受信時刻を表示するには、画面を左にスワイプします

これでは、見られないように入力したのが無駄な努力です。仮に店員を真に信用すれば、まわりに他の客が居ない限り、隠す必要は全くありません。でも隠します。それは、簡単にパスワードを盗み見られたくないからです。

これは、情報管理的にどうかな、と思いました。

パスワードの平文なんてものは、極力本人にしか見えないように扱うべきですし、情報漏洩やそういう問題を予防するには、他の情報も含め、必要最低限の範囲にしか見えないように管理すべきです。これでは、簡単に店員が盗み見ることができてしまいます。つまるところ、ソフトバンクは、ユーザーのパスワードを、店員が簡単に見ることができる状況を許していることになります。入力スペースは伏せ字で安心してたのに。

パスワードをSMSでユーザーに送っておけば、もしパスワードを忘れても、すぐ本人が確認できるので、サポートのコストが安く済む、とかそういうメリットは思い浮かびますが、さすがにそんなメリットを優先して、パスワードをこんな扱いにすることはやめてほしいなぁ、というのが自分の印象です。

とりあえずどういう意識なのかはわかりませんが、docomoやauがどうなのかはわからないものの、とりあえずソフトバンクはこういうスタイルのようです。

もちろん、契約完了後、店員の手を離れてから届くのなら、また状況の"程度"は変わってきます。

しかし、手続き中に送ってしまっては、店員はすでに手元にロックのかかっていないiPhone端末があるわけで、あとはメッセージアプリを開くだけで、パスワードを閲覧できてしまいますし、仮に既読にしてしまったとしても、お客さんは気が付かなかったり、不審に思われても操作ミスと言われたら納得してしまうかもしれません。

というわけで、この状況を厳密に嫌がるのであれば、ソフトバンクショップで入力したパスワードは、すぐに変更しておくことをおすすめします。もちろん、嫌でない人も多くいると思いますが、自分は気になりました。

開通しているかを確認するために、店員は、ようこそ画面から、ホーム画面まで続く数々の初期設定を勝手に設定していきました。

その中には、当然利用規約もあり、利用規約の同意ボタンも店員が押してしまって先に進み、それを私は受け取りました。規約に同意した覚えもありませんし、利用規約など提示されてすらいません。

もうちょっと何とかならないのかなぁ、と思ってしまいます。速くお客をさばくことを優先していて、そうしないと何時間もかかるのであれば、仕方ないことですが、なんかひっかかります。せめて、何か説明して欲しかったです。

これは、単なる自分の反省点ですが、チェックリストのコピーを貰っておけばよかったな、と思いました。

チェックリストというのは、「途中で契約変更したら月々の割引がなくなるよ、いいよね？」みたいな、同意を確認する内容たち一覧です。

うっかりしてました。ちなみに、契約終了後、手元には紙一つ渡されず、手がかりはありません。