ASP票券管理システム「Gettii」の不正発券が発覚し、サービスが緊急停止されたのが10月4日深夜だった。その後10日20時にクレジットカード決済とセブンイレブン発券の組み合わせを除いたサービスが再開されたが、23日現在も完全復旧には至っていない。Gettiiを採用していた各劇場やConfettiでは、この内容でサービスを継続しているが、Bunkamuraのようにオンライン販売を中止している劇場もある。Gettiiを全面採用していた楽天チケットでは、楽天市場のシステムに切り替えた。
今回のトラブルは不正利用ということで、原因自体は同情すべきものがあるが、運営元であるリンクステーションや各劇場の対応には疑問がある。まず、原因についてはTHEATRE1010が早い段階で公式サイトに「他劇場チケット不正発券の影響のため」と明記するなど、ネット上で噂が広がっていた。それなのに、リンクステーションは公式サイトに8日まで一切リリースを出さず、多くの劇場も「システム運営会社の都合によるシステムメンテナンス」などとしか理由を明らかにしなかった。他劇場への配慮かも知れないが、これは観客不在だと思う。世田谷パブリックシアターが再開後の11日に、「不正な利用と思われる事象を確認」と書いた程度である。
私が連想したのは、4月に起こったPlayStation Networkの個人情報流出事件だ。このときも異常検知後にサービスを停止したが、事態の公表に1週間かかり、その間は「システム障害」とだけ説明していたため、ソニーの情報開示に対する姿勢が問われた。情報開示の重要性については、原発事故で誰もが頭に刻み付けられたと思う。起きてしまったことに対して、まず正確な情報を提供することが当事者の責任だと思うが、今回のGettiiのケースでそれが果たされていると言えるだろうか。
票券管理システムは、チケットという金券やクレジットカードを扱うもので、利用者はセキュリティを重視している。そこで不正発券が発覚したのなら、まずはそのことをきちんと公表すべきだ。「システムメンテナンス」と書くだけでは、情報の隠蔽ではないか。そして一部機能を停止したまま再開するのなら、安全性がどこまで確認され、脆弱性がどこに残っているのかを、リンクステーションに提供させて掲載すべきである。世田谷パブリックシアターの説明も、具体的なことはなにも書いていない。可児市文化創造センターでは、詳しい事情を説明をせずにパスワード変更を観客に要請している。
今回のトラブルでは、下記に対する具体的な説明が必要だと思うが、なぜ抽象的な内容で済ませるのか。サービスを全面再開出来ない=脆弱性が残っているわけで、それに対する観客の不安を払拭しようという姿勢に欠けるのではないか。チケット担当者の見識を問いたい。
- クレジットカード決済の一部が現在も停止されていることから、クレジットカード情報の安全性が担保されているかが最も気になる。引換票番号のみが不正使用されたのか、それとも個人情報などにもアクセスされたのかは判明しているはずなので、この点をきちんと説明すべきである。「不正使用されたのは引換票番号のみで、他の登録された情報は一切漏洩していません」という説明があれば、今回の不正が引換票番号の部分にとどまることがわかる。そうした具体的説明をなぜしないのか。
- 引換票番号が不正利用されたとしたら、セブンイレブン店頭で支払う場合の払込票番号はどうなのか。決済前とはいえ、人気公演の払込票番号は非常に価値がある。これを不正発券されてはたまらないだろう。この部分はサービス再開しているわけで、引換票番号と払込票番号の管理が異なることをきちんと説明し、払込票番号の安全性を担保すべきなのに、そうした具体的説明をなぜしないのか。
今回は全国で550以上の団体が採用するサービスが長期間停止し、しかも不正利用のため警察にも通報している。マスコミで大きく報道されても不思議ではなかった。曖昧な内容しか掲載していない劇場は、記事になって問い合わせが殺到したら、あわてて差し替えるのだろうか。
こうした危機管理のときこそ真価が問われる。青森のベンチャー企業としてリンクステーションは注目していたが、今回の対応は残念だ。日本を代表する公共ホールの数々が、「システムメンテナンス」「システム障害」としか書いていないのも残念だ。Gettiiを採用して支えてきた各劇場は、こういうときこそ観客に対してどのような情報を発信すべきか、逆にリンクステーションに強く助言すべきではなかったのか。出資しているホリプロなど特にそうだろう。神奈川芸術劇場は「Gettii運営会社のリンクステーションの指示により」と書いているが、ASPであっても採用した以上は神奈川芸術劇場のシステムだ。もっと主体的に取り組むべきだろう。