【Peatix CEO原田卓氏の「無用の用」】「個人情報の収集はスタートアップの需要な成長戦略の一つだ」
Fireside Chat――ハードシングスを乗り越えた経営者をお招きし、オープンコミュニケーションでカジュアルな座談会を行うEightRoadsの「Fireside Chatシリーズ」。トークテーマは「無用の用」。「一見意味がないように思えることも、人生で大きな意味を持つ」、そんな経験をざっくばらんに語っていただき、スタートアップのエコシステムにいる方々をエンパワーします。
第二回目のゲストはPeatixの原田卓氏です。アマゾンジャパンやApple Japanを経て、Peatixを創業、大きく成長させてきました。同社は2020年11月、不正アクセスにより最大677万件のお客様情報の一部が不正に引き出される事態がおきました。そのときの心境や乗り越え方についてお話いただきました。聞き手は、2012年の立ち上げ当初からEight Roads Japanの代表およびマネージング・パートナーを務めるデービッド・ミルスタインです。
〔プロフィール〕
Peatix Inc. CEO
原田卓氏
1973年、東京都生まれ。生後間もなくニューヨークに移住。音楽家の家庭に育ち、ミュージシャンやアーティストに囲まれ世界中を旅する環境で幼少期を過ごす。イェール大学卒業後、株式会社ソニー・ミュージックエンタテインメントに入社し、海外契約業務に携わる。アマゾンジャパン合同会社、Apple Japan合同会社などを経て、Peatix Inc.の立ち上げに携わり、2011年より現職。イベントやコミュニティを支援するサービスを展開する。現在は国内外で事業を展開する。
Eight Roads Japan
Managing Partner, Head of Japan
David Milstein(デービッド・ミルスタイン)
2012年4月よりEight Roads Ventures Japanの代表を務める。 1995年、M&Aコンサルティング会社を起業し、テクノロジー、金融系企業の買収のアドバイザリを行う。 2000年、フィデリティ・ベンチャーズ日本オフィス代表として主に日本のIT企業のベンチャーキャピタル投資と 海外の投資先企業の日本市場へのエントリ支援を行う。 2003年より、コンサルタントとして、ウォルト・ディズニー・ジャパン株式会社の日本・アジアパシフィックにおける事業開発のアドバイスを行う。 2005年ウォルト・ディズニー・ジャパン入社。ディズニー・モバイルの携帯電話サービスを開始の責任者として事業計画からオペレーションまでを統括。 2010年、ディズニー・インタラクティブ・メディア・グループ ゼネラルマネージャーに就任。 米国ペンシルバニア大学卒業。ハーバードビジネススクールにてMBA取得。
ダークウェブに顧客情報が流出。寝耳に水の非常事態
David そもそも、いつか自社のサイトがハッキングされるかもしれない、という予感はありましたか?
原田 まったく思っていませんでした。コロナ禍でハッキングの被害が増えているというニュースは知っていたので、危険性は0ではないと認識していましたが、まさか自分の会社がという感じでした。
David ハッキングに気づいたのは、何がきっかけだったんですか?
原田 顧客から「ダークウェブでPeatixの顧客情報が流出しているかも知れない」と連絡をいただいたんです。まさに「寝耳に水」でしたね。そのとき僕は自宅にいたのですが、「この会社は終わった」とその場で泣き崩れました。
家族の前で30分ほど感情を全部出しきってから、すぐ家を出てオフィスに向かいました。落ち着いて対処するため、まず思い切り感情を出し切ることにしたんです。そのときの自分の感情の動きはなんだか不思議でしたね。「さあ、落ち着いていくぞ」と腹が据わり、自分でも不思議なくらい落ち着いて対処できました。
David オフィスへ着いて、まず何から対処しましたか。
原田 対策本部を立ち上げて、専門家のアドバイスを受けることからはじめました。弁護士、セキュリティファーム、危機管理のPRコンサルタントにすぐ連絡し、すぐに体制を整えました。
セキュリティコンサルタントからはその日のうちに、攻撃の種類やパターンについてアドバイスをもらい、翌日にはどんな攻撃でどんな情報にアクセスされたのか明確になりました。
サービスをすべて閉鎖することも検討しましたが、すばやくリサーチしてもらったおかげでクレジットカードの支払情報にアクセスされている形跡はないことがわかった。なんとかサイト全体の閉鎖は免れることができました。
「みなさん、お客様情報の一部が不正に引き出されたことは事実です」正直に伝えた
David 事態の全容はどれぐらいでわかったんですか。
原田 数日かかりました。公式発表まで1週間ほどだったと思います。
最初の数日間は、新しい事実が判明する瞬間が本当に嫌でしたね。「ここまではアクセスされていないはずだ」と楽観視したい気持ちもあったのですが、あらぬ方向から攻撃されていたり、予期せぬ事実が判明したりすることが相次ぎました。それまで立てていた対処方法が崩れ、生きた心地がしなかったことも多々ありました。
でも事実がすべて出揃い、対処法がはっきりしたらあとはそれをやるしかない。そうなったらこれまた不思議なことにとても落ち着いて、なぜかホッとした気持ちになりました。
David CEOとしての手腕が問われるところだと思いますが、この問題に対処する上でどういう方針を打ち出したんですか。
原田 シンプルに2つの方針を取りました。一つは透明性高くスピーディーに落ち着いて対処すること。それから、解決のためのコストを惜しまないこと。
メンバーには社外に対して以上に、透明性高く説明することを心掛けました。最初に「みなさん、聞いているかも知れないけれど、いま起こっていることは事実です。この会社は絶対に潰さない。だからオールハンズで助けてほしい」と伝えました。
あのときメンバーは寝る間も惜しんでほんとうによくがんばった。一丸となって対処したので、結束力が高まったと思います。
Davidはご存知の通り資金調達ができていたし、黒字経営もできていたので資金に余力があったのは助かりました。こういう時こそ、解決のために資金を惜しまないことが大事だと思います。
事業規模に比べて、社員数が少ないのでいかに最小限のメンバーでできるだけ多くの要望に応えることも重要でした。問い合わせが殺到したので、サイト上にFAQを掲出し、そのページを読んでいただいてできるだけ自己解決できるようにしました。人数が少なくても誠実に対応できるよう体制を組みました。
すばやく対処したことで、多くの顧客が戻ってきた
David こういうときって、ハッカーとコンタクトを取るものなんですか?
原田 今回はコンタクトしませんでした。日米の弁護士に相談したところ、今回のケースではハッカーと直接コンタクトを取るべきではないとアドバイスされたんです。被害をとにかく最小限に留め、お客さまに正しい情報をスピーディーに提供する、それに徹しました。
David お話できる範囲で、情報流出の原因をお教えいただけますか?
原田 詳しくはお話できませんが、最新の攻撃手法を使われた、ということでしょうか。セキュリティについてはできうる最大限の対応をしていましたし、パスワードの暗号化も最新にしていたつもりです。
しかしハッカーの攻撃手法は日々新しくなり、どれだけ最新のセキュリティにしていてもクラックする方法をすぐ編み出されてしまう。
正直、100%セキュアにすることは不可能だと思います。常にリスクがあることを把握し、社内体制、テクニカル面、法的側面などいろんな角度から防いでいくしかないと思います。
David ユーザーやビジネスパートナーからはどういう反応がありましたか。
原田 最初の数週間は退会依頼が殺到し、アカウントの削除に特化したチームをつくって対応しました。それからどんな情報にアクセスがあり、自分の情報は無事だったのかという問い合わせが相次ぎました。最初の2、3カ月は大幅に取り引きが落ち込みましたね。
でも意外だったのは、最終報告を出した後に多くのエンタープライズ企業が利用を再開してくれたことです。思ったよりも早く戻ってきてくれたのでありがたかったですね。
一方で、自治体の利用再開にはかなりの時間がかかりました。当時、地方創生やGoToキャンペーンを行うため多くの自治体にご利用いただいていたんです。彼らは質問もリクエストも多かった。でも、半年以上経ったいまはありがたいことにおかげさまで、みなさん戻ってきてくださいました。
David その後、どのようにセキュリティをアップデートしたんですか。
原田 数え切れないほどアップデートを行いました。いまではセキュリティ対応の専従者がいますし、顧客情報へのアクセス権限もいちから見直しました。
また、中長期的な事業戦略として、どのような情報を収集し、どのような情報は「収集しない/持たない」のかについても徹底的に議論するようになりました。
当社にはアマゾン出身者が多いので、それまで「できるだけ簡単に、できるだけ素早くアカウントがつくれること」を重視していたのですが、よりセキュアな方向へ舵をきることに決めました。その結果、アカウントはつくりにくくなり、コンバージョンは下がったかも知れないですね。
David この件に対応するために、具体的にどれぐらいの費用がかかりましたか?
原田 なかなかいいにくいですが思いきってお話すると、日米の弁護士費用、セキュリティファームのコスト、危機管理広報、そしてカスタマーサポートを合わせて数千万円かかりました。当社の場合は海外展開もしていたので、ヨーロッパではGDPR (EU一般データ保護規則)についての厳格な報告義務がありました。シンガポールも同様。国内対応だけだったら、もう少し費用は抑えられたかも知れません。
とはいえ、今後日本もGDPRを参考にした個人情報保護規制になっていくはずなので、より厳しい対応は必要になってくるでしょうね。
スタートアップが直面する「個人情報」という重要課題
David 僕は投資先に「次に資金調達ができたら、情報セキュリティを強化すべきだ」とアドバイスすることがあるんですね。でもPeatixの情報流出の件が起こるまで、そこまでの意識はなかったように思います。
原田 そうですね。保持する情報量が100万件を超えてくる頃にはセキュリティを強化すべきだと思います。感覚的には、スタートアップなら創業3~4年くらいでしょうか。
少なくともサイバーセキュリティ保険には入るべきです。それから、専門家を雇用すること。起業したてのスタートアップがセキュリティの専門家をフルタイムで雇用することは難しいでしょうから、プロジェクトベースでいいので早くからアドバイザーとして入ってもらった方がいいと思います。
とくに急成長中のベンチャーって、こうした「守り」の部分に手をかけず、ビジネスを大きくする「攻め」を重視するじゃないですか。だけどうまくいっているときほど、気をつけた方がいい。成長しているときほど、立ち止まってセキュリティを見直すことをおすすめします。
実際当社もコロナ禍でオンラインイベントのマーケットが急成長し、国内外でビジネスが拡大していたからこそ、ハッカーの目に止まったんだと思います。
David あらためて一連のできごとを振り返って、今回の「ハッキング事件」から、どんな学びがありましたか。
原田 攻撃手法のクリエイティビティの高さですね。ハッキング方法を聞いたとき「こんなやり方があるのか」と思わず膝を打ちました。それぐらいハッカーも創意工夫を凝らしているわけで、くりかえしですがこれから先、100%のセキュリティなんてありえません。
だから僕たちは、「不要な情報をできるだけ取得しない」と決断しました。
スタートアップは中長期的にどういうデータを保持し、そのデータを使ってどんなビジネスを行うのかについて真剣に考えた方がいいと思います。Appleは個人情報の取得規制をしましたし、一方FacebookやGoogleは真逆の方針を打ち出しより多くの情報を収集することでこれまで通りビジネスをスケールさせる方向へ舵を切っています。
セキュリティを堅牢にすることで生まれる信頼感と、情報取得によるビジネスのスケール。このバランスをどう取るか。ITの世界でビジネスを展開するなら、これは死活問題です。些末なこと、と思わず真剣に考えるべきときがきているのではないでしょうか。
■Eight Roads Ventures Japan
Eight Roads Venturesは大手資産運用会社のフィデリティの資金を基に投資を行うベンチャーキャピタルファンドです。ヘルスケア領域を含む革新的技術や高い成長が見込まれる企業へ、米国、欧州、アジア、イスラエルとグローバルに投資活動を行っています。業界に対する知見とグローバルなネットワークを最大限に活用し、投資先に対してハンズオンで経営を支援し続けています。
URL: https://eightroads.com/en/
Facebook Page: https://www.facebook.com/eightroadsventuresjapan