アカウント共有の自己責任【たまプラビジネス余談放談】20230123
最近は大抵のインターネットサービスはクラウドなので利用するにはログインする必要がある。つまり必ずログインのためのアカウントが必要で、アカウントはID(メールアドレスの場合もある)とパスワードで構成される。アカウントは個人のものが基本だが、例えば、家族で、あるいは部門のIDとして共通のアカウントを使うほうが利便性が高い場合が出てくる。するとメンバー間で同じアカウントを共用したくなるのはよくある話。
しかし、Googleをはじめとしてクラウドサービスの多くは、「アカウントは一人での使用が目的、共有しないように」とされている。その理由は、複数人で同一アカウントを共有すると、
1)同時ログインが発生し同時にログインできる数のログイン閾値に達する、
2)不正なアクセスと認識され本人確認(特別な質問などで)が行われる、
3)共有者の誰かがログイン失敗するとアカウントロックが発生する、
4)情報漏洩などが発生した場合の原因となったルートが不明確になる
「禁止」とはしていないのだが、「推奨しないよ」、「自己責任だよ」、としている。
本人確認は、”本人しか知り得ない情報(ペットの名前、出身地、親の旧姓など)”を追加入力する方法や電話番号、二段階認証によるものが主流になっている。携帯電話への情報送信方式になると実際にはアカウントの共有は不可能になってくる。
ある委員会で作成していた規約の中に、このアカウントに関する記述で面白い(興味深い)ものを発見した。
securing their passwords for the systems and not sharing them with anyone;
共有の制限において、「パスワードの共有」をしないように記述されていた。
最初は”パスワードじゃなくてアカウントあるいはアクセス情報の間違いではないかな”と思い指摘した。
しかし、「アカウント」とすると「アカウントとは」を定義する必要が出てきてしまいキリがない。そこで”Passwords"としたのかもしれない。パスワードの共有を禁止すれば、IDを同じものを使おうとしても、パスワード共有を制限しているので、実質的にはアカウントの共有はされなくなり目的は達せられるのだ。
なるほど。もしそうなら深いな。