2000年代のはじめころ、気の合うSE(システムエンジニア)同志で CRM(Customer Relationship Management) が求めるオペレーションについて、何回か話し合いをしてました。
CRMは「顧客関係管理」の意味です。企業と顧客との関係を管理する一連の戦略を指します。企業は、CRM を導入することで、自社の商品やサービスに対する顧客満足度を向上させます。顧客が企業のファンになることで、顧客の定着が期待できます。それによって好循環な経営が実現可能となります。
顧客の定着がの企業の好循環な経営をもたらす理論的根拠は「1:5の法則」と呼ばれる販売法則です。
- 新規顧客販売コストは既存顧客販売コストの5倍かかる。
CRMは、顧客ニーズを把握するために顧客データを収集することが必須です。顧客データには、氏名や住所などの連絡先情報や、性別、購買履歴、やり取りの記録などがあります。顧客データを一元管理することで、企業は顧客をより深く理解します。
CRMはERP(Enterprise Resources Planning)や、SCM(Supply Chain Management)と共に、IT経営革新の3種の神器として崇められています。
企業にとってCRMが戦略的に重要なのは、誰もが納得するところなのです。一方、オペレーションレベルでCRMをどう実現させるかは、意外と難しいのです。
ERPのオペレーションは標準化されてます。たとえば 仕入先に商品の商品を発注するときは、発注書を出し、入庫したら入庫処理の担当者は会計に必要な仕訳を起こします(以下は SAP MM の標準機能です)。
締日に準じて、仕入先から請求書を受領したら、支払い担当者は請求書の照合を行い、下記の仕訳を起こします。
会計は「企業会計原則(下記)」により、縛られています。この原則があるからこそ、ERPのオペレーションはルーチンワークになります。
- 真実性の原則
- 正規の簿記の原則
- 資本取引・損益取引区分の原則
- 明瞭性の原則
- 継続性の原則
- 保守主義の原則
- 単一性の原則
ところが、CRM には「会計原則」に基づくような標準化されたオペレーションがありません。CRMをどう実現するかは、企業の自由な裁量に委ねられています。
その分、オペレーションのルールが曖昧になります。SEの立場でみると、CRM システムの構築は「何を作るか」を決めるのが難しいのです。
同僚と、何回か「CRMに必要なオペレーションシステム」というテーマで話すうち、ある SE がこう言いました。
結局、CRMってポイントカードのシステムことじゃないですか!?顧客は再来店してポイントを貯めれば、特典が得られるし、お店はポイントで固定客を確保できるし。
ポイントシステムをCRMのオペレーションとして、定義すればいいという、彼女の意見は説得力がありました。「それなら、ポイント管理システムを作って、サービスを提供しよう!!」と、開発プロジェクトがスタートしました。
2000年代、多くの IT ベンダーがポイント管理システムを提供しました。BtoC型のビジネスを展開する企業は、こぞってシステムを採用しました。
その結果、消費者の財布のなかは、ポイントカードで溢れかえりました。固定客を確保するためのポイントシステムですが、どの店舗もポイントを導入すると、本当にポイントカードが顧客の固定化に有効なのか、疑問を持ちました。
スマホが普及したいまは、ポイントはカードからスマホに移行されてます。消費者が財布から店舗の発行するポイントカードを慌てながら探す場面も減ったと思います。
店舗ではバーコードリーダーで、顧客のかざすスマホに表示した QRコード読み取り、ポイントを加算したり、決済に使ったりします。
ただ、スマホのアプリに表示された QRコードを使ったポイント管理は手軽ですが、適切なセキュリティ対策をしなければ、第三者がなりすましをしてポイントを悪用するリスクがあります。
アプリにログインして会員番号だけで生成されたQRコードは簡単に偽造ができます。攻撃者がターゲットとなる会員のQRコードを生成して、自分のアプリに画像として張り付けるなどの被害が想定されます。
この攻撃への対策としては、メッセージ認証技術 を用います。
メッセージ認証は通信で送受信するメッセージが改ざんされていないことを検証することをいいます。検証は MAC(HMACとCMACがあります) という認証コードを使って行います。
図はHMAC値を含む QRコード を使った検証の手順です。
QRコードを生成
- サーバーの共通鍵を使って、会員番号、サーバーが生成した乱数、時刻からHMAC-αを計算する。
- 会員番号、サーバーが生成した乱数、時刻、HMAC-αの情報を含むQRコードを生成する。
QRコードを検証
- サーバーの共通鍵を使って、QRコードの会員番号、乱数、時刻を用いたHMAC-βを計算する。
- HMAC-αとHMAC-βが一致することを確認する。
HMAC-αとHMAC-βは同じ情報をもとにしているので、必ず一致するはずです。これにより通信データが改ざんされていないことを検証します。
多くの企業でポイント管理はカードからスマホに移行してます。
ただ、ポイントサービスが どの程度 CRM に寄与しているのかはいまも謎です。