叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。
トップ > CSとCS > ポイントを貯めれば、特典が得られる

ポイントを貯めれば、特典が得られる

CSとCS CRM・SFA ERP(企業資源計画) 情報の完全性(改ざん検知と防止) 情報セキュリティ関連法規と事件・事故

2000年代のはじめころ、気の合うSE(システムエンジニア)同志で CRM(Customer Relationship Management) が求めるオペレーションについて、何回か話し合いをしてました。

CRMは「顧客関係管理」の意味です。企業と顧客との関係を管理する一連の戦略を指します。企業は、CRM を導入することで、自社の商品やサービスに対する顧客満足度を向上させます。顧客が企業のファンになることで、顧客の定着が期待できます。それによって好循環な経営が実現可能となります。

顧客の定着がの企業の好循環な経営をもたらす理論的根拠は「1:5の法則」と呼ばれる販売法則です。

1:5の法則とは

  • 新規顧客販売コストは既存顧客販売コストの5倍かかる。

CRMは、顧客ニーズを把握するために顧客データを収集することが必須です。顧客データには、氏名や住所などの連絡先情報や、性別、購買履歴、やり取りの記録などがあります。顧客データを一元管理することで、企業は顧客をより深く理解します。

CRMはERP(Enterprise Resources Planning)や、SCM(Supply Chain Management)と共に、IT経営革新の3種の神器として崇められています。

企業にとってCRMが戦略的に重要なのは、誰もが納得するところなのです。一方、オペレーションレベルでCRMをどう実現させるかは、意外と難しいのです。

ERPのオペレーションは標準化されてます。たとえば 仕入先に商品の商品を発注するときは、発注書を出し、入庫したら入庫処理の担当者は会計に必要な仕訳を起こします(以下は SAP MM の標準機能です)。

商品 100 / 入庫請求仮勘定 100

締日に準じて、仕入先から請求書を受領したら、支払い担当者は請求書の照合を行い、下記の仕訳を起こします。

入庫請求仮勘定 100 / 債務 100

会計は「企業会計原則(下記)」により、縛られています。この原則があるからこそ、ERPのオペレーションはルーチンワークになります。

  1. 真実性の原則
  2. 正規の簿記の原則
  3. 資本取引・損益取引区分の原則
  4. 明瞭性の原則
  5. 継続性の原則
  6. 保守主義の原則
  7. 単一性の原則

ところが、CRM には「会計原則」に基づくような標準化されたオペレーションがありません。CRMをどう実現するかは、企業の自由な裁量に委ねられています。

その分、オペレーションのルールが曖昧になります。SEの立場でみると、CRM システムの構築は「何を作るか」を決めるのが難しいのです。

同僚と、何回か「CRMに必要なオペレーションシステム」というテーマで話すうち、ある SE がこう言いました。

結局、CRMってポイントカードのシステムことじゃないですか!?顧客は再来店してポイントを貯めれば、特典が得られるし、お店はポイントで固定客を確保できるし。

ポイントシステムをCRMのオペレーションとして、定義すればいいという、彼女の意見は説得力がありました。「それなら、ポイント管理システムを作って、サービスを提供しよう!!」と、開発プロジェクトがスタートしました。

2000年代、多くの IT ベンダーがポイント管理システムを提供しました。BtoC型のビジネスを展開する企業は、こぞってシステムを採用しました。

その結果、消費者の財布のなかは、ポイントカードで溢れかえりました。固定客を確保するためのポイントシステムですが、どの店舗もポイントを導入すると、本当にポイントカードが顧客の固定化に有効なのか、疑問を持ちました。

スマホが普及したいまは、ポイントはカードからスマホに移行されてます。消費者が財布から店舗の発行するポイントカードを慌てながら探す場面も減ったと思います。

店舗ではバーコードリーダーで、顧客のかざすスマホに表示した QRコード読み取り、ポイントを加算したり、決済に使ったりします。

ただ、スマホのアプリに表示された QRコードを使ったポイント管理は手軽ですが、適切なセキュリティ対策をしなければ、第三者がなりすましをしてポイントを悪用するリスクがあります。

アプリにログインして会員番号だけで生成されたQRコードは簡単に偽造ができます。攻撃者がターゲットとなる会員のQRコードを生成して、自分のアプリに画像として張り付けるなどの被害が想定されます。

この攻撃への対策としては、メッセージ認証技術 を用います。

メッセージ認証は通信で送受信するメッセージが改ざんされていないことを検証することをいいます。検証は MAC(HMACとCMACがあります) という認証コードを使って行います。

図はHMAC値を含む QRコード を使った検証の手順です。
QRコードを生成

  1. サーバーの共通鍵を使って、会員番号、サーバーが生成した乱数、時刻からHMAC-αを計算する。
  2. 会員番号、サーバーが生成した乱数、時刻、HMAC-αの情報を含むQRコードを生成する。

QRコードを検証

  1. サーバーの共通鍵を使って、QRコードの会員番号、乱数、時刻を用いたHMAC-βを計算する。
  2. HMAC-αとHMAC-βが一致することを確認する。
HMACによるQRコードの生成と検証

HMAC-αとHMAC-βは同じ情報をもとにしているので、必ず一致するはずです。これにより通信データが改ざんされていないことを検証します。

多くの企業でポイント管理はカードからスマホに移行してます。

ただ、ポイントサービスが どの程度 CRM に寄与しているのかはいまも謎です。

ランキング参加中
知識
ランキング参加中
雑談
ランキング参加中
テクノロジー