他社のセキュリティシステム（合言葉の認証）を採用している企業の利用者に対する説明責任について

A社のネットワークサービスはB社の共同型システムで運用し、セキュリティ向上のためＢ社のセキュリティシステム（合言葉による認証）を採用しています。

顧客Ｃさん（夫）は夫婦でA社のサービスを自宅のパソコン（Windows7とWindows8の２台を夫婦で共有）から利用しています。

Ｃさんは夫婦で共有するパソコンから利用しているので、リスク評価は同レベルであり、多少の利用頻度の違いがあっても同程度の合言葉の入力要求があるなら納得できるがCさんの方に入力要求が多いのはなぜか？との質問をA社にしました。

A社はCさんの質問をB社に取り次ぎ、
Ｂ社の回答内容（IPアドレス、パソコンOS、ブラウザ等の変化を総合的に判断して、合言葉の入力を要求してる。セキュリティに関することなので詳しく開示することはできない。）を説明しました。

Cさんは納得できないと、
今度は普段使っていないWindowsＸＰから利用した。リスクは大きくなったのに夫婦とも合言葉の要求が出ないのはなぜか？と質問をしました。

このような場合
A社はB社のセキュリティシステムをどの程度説明する責任があるのでしょうか？
B社はセキュリティに関することなのでと明確な回答を行なっていませんが、B社の対応はこれ以上する必要はないのでしょうか？
もしくは、Ｃさんの説明要求が過剰なのでしょうか？

No.1 ベストアンサー 回答者： Moryouyou 回答日時： 2015/03/28 11:33

私はどちらの立場も分かります。

何も教えられないって言うと疑問がわくから、なぜなぜになって
セキュリティの情報開示とかいりくんだ話になるんです。
でもそこじゃないと思います。

私も、ある銀行のセキュリティのために取引操作ができなくて
困ってしまい、問い合わせるとセキュリテイ一時解除してくれ
の一点張り。
引っ越したり、プロバイダ変えたら再登録、追加登録も可能
とのマニュアルどおりの答え。
引っ越しもしていない、プロバイダも変えていない、
プロバイダを変えてないから、追加登録もできない。
（既に登録済となる。）
のにですよ。

しかし、どうも引っ越しもしてない、プロバイダも変えてない
のにＩＰアドレスが変わるとだめらしく、結局は回答をもらえ
ないけど、引っ越した時と同様に再登録したら、取引操作が
できるようになりました。

なんでこんな簡単なことを情報開示できないからって言うん
でしょう。だってＩＰアドレスの制限をかけてるセキュリティ
なんだから、再登録し直してくれ。って言えばいいだけです。

Ｃさんはうるさい、クレーマーだとか思えるでしょう。
分かります。散々システムの対応してきましたから。
でも、そうなったのは何も説明してないからです。

『総合的に判断して』は説明になっていません。

具体的に事象を説明すればいいんです。
Ｂ社のセキュリティシステムの仕様なんてどうでもいいんです。

ぶっちゃけ言えば、納得できそうな具体的嘘でもいいんです。
だってセキリティのテストしてるわけじゃないんでしょ。

逆にセキュリティだから虚偽が出回った方がセキュリティに
なったりするんです。（これは秘密です。A^^;)

ちょっと事象を聞いただけでなんとなく原因（言い訳）は
かなり思いつきます。

それのひとつふたつを上げて回答すればよいと思います。

マニュアルどおりのシャットアウト対応が一番なぜなぜを
エスカレートさせる、原因だと思います。

両方の気持ちが身につまされたんで、回答してしまいました。

適当な回答ですみませんでした。

この回答へのお礼

早々に,ご回答ありがとうございます。

両方の立場が分かり方からのご回答 仰る通りだと思います。

Cさんも一度はそうかと思われたようですが、説明のとおりではないためなぜなぜになっているようです。

お礼日時：2015/03/28 14:57