近年「顧客体験(カスタマーエクスペリエンス)」という言葉をよく耳にするようになりましたが、この顧客体験に大きくかかわるCIAM(顧客向けID&アクセス管理)という分野をご存じでしょうか?
CIAMとは、顧客向けのID管理・認証・アクセス制御等を行うための技術分野です。優れた顧客体験を提供するためにはCIAMシステムの構築が必須です。本記事では顧客体験とCIAMの関係性についてご紹介します。
変化する顧客体験(カスタマーエクスペリエンス)
2010年代、スマートフォンの急速な普及により、人々はいつでもどこでもインターネットにアクセスできるようになり、企業と顧客の接点としてデジタルチャネルが広がりをみせるとともに、顧客が手にする情報量は増え、モノやサービス自体の機能・内容や価格だけでは他社との差別化を図ることが難しくなりました。
企業にとって「モノを売ること」がゴールではなくなり、モノを売る前の検討段階(SNSの口コミや広告、接客等)、モノを売った後の利用段階(アフターサポート等)も含めた一連の体験や、その体験から得られる満足感が「顧客体験(カスタマーエクスペリエンス、CX)」と呼ばれ、重要視されるようになったのです。
さらに現在では、新型コロナウイルスの流行による外出自粛等により、人々の行動は強制的にデジタルへシフトされ、デジタル利用に対するハードルは低下していると考えられます。また、「人と触れ合わない」ことに価値が見いだされ、顧客体験にも変革が起きています。顧客接点としてのデジタルチャネルの活用は、もはや企業にとって必須の要件でしょう。
しかし、企業のデジタルトランスフォーメーション(DX)が進む昨今、単にデジタルチャンネル(ECサイト等)をもっているだけでは、顧客体験の差別化は困難です。どのように顧客と接点を持ち、継続的に良質な顧客体験を提供していくか、部門を越えた企業全体としての戦略が必要です。
顧客接点の多様化
野村総合研究所が緊急事態宣言下に実施した「新型コロナウイルス感染拡大による生活の変化に関するアンケート」によると、新型コロナウイルス感染拡大以降、店舗での買い物が「以前よりも減った」と回答した人は全体の51.9%にのぼりました。一方、インターネットショッピングの回数については、「変わらない」と回答した人が61.1%と一番多いものの、「以前より増えた」人が24.5%となり、「以前より減った」人の4.7%を上回っています。また、新型コロナウイルス感染拡大が収束したあともインターネットショッピングを継続して利用したいと考える人は93.5%にもなり、デジタルシフトは定着するものとみられます。
しかし、同じ調査で店舗での買い物へのニーズも明らかになっています。緊急事態宣言に伴う外出自粛要請に対し、57.7%の人が不安を感じると回答していますが、このうち71.6%の人が、店舗での生活必需品の購入やそれに伴う外出が、不安の軽減につながると感じています。実際、人間との対話は需要が高く、2017年のPwCによるカスタマーエクスペリエンスに関する調査*では、技術が進化したとしても人間との関わりを求めている人の割合は全世界で75%にもなります。
*https://www.pwc.com/us/en/advisory-services/publications/consumer-intelligence-series/pwc-consumer-intelligence-series-customer-experience.pdf
つまり、単純にデジタルチャネルを強化し、シフトすればよいというものではなく、状況や顧客のニーズに応じて対面・非対面を効果的に使い分ける必要があります。また、企業が顧客と接点を持つチャネルは、実際の店舗や従来型のWebサイトだけでなく、スマートフォンのアプリやスマートウォッチ、スマートスピーカー、自動車など多岐にわたっており、顧客はすべてのチャネルで一貫したシームレスな顧客体験を求めています。
企業としては顧客の期待に応え、マルチチャネルで継続的に価値を提供することで、顧客の定着化をはかり、ライフタイムバリューを最大化することが期待されています。
そのためには、システムや用途ごとに実施していた従来の顧客情報管理だけでは対応することが難しく、企業として一括した顧客情報の管理が必要となっています。
これらの顧客接点の多様化や顧客情報の一括管理に対応するための技術が近年求められれており、CIAM (Consumer/Customer Identity and Access Management)と呼ばれる分野として体系化されてきています。CIAMは「顧客向けのID&アクセス管理」を実現するための技術分野であり、属性などのプロファイル・アクセス履歴・行動履歴などユーザに属するデジタルリソース(情報)の保持・管理、およびそれらへのアクセス権の管理を行います。また、ID作成から削除までのライフサイクル管理やユーザ認証機能も含めます。
CIAMシステムを導入することで、顧客情報管理における課題に対応しつつ、ライフタイムバリューを最大化するための攻めの戦略も実現することができます。
顧客情報管理における課題
急速なデジタル化のもと、各部門が個別にデジタル化を進め、顧客情報が分散してしまっている企業は数多くあります。分散した顧客情報は、企業にとっては顧客の一意な識別が出来ないという課題となり、ユーザにとってもサービス毎の個別の会員登録の手続きやログインが必要で手間がかかるという顧客体験を阻害する要因となります。
そこで、ユーザの利便性を高め、効果的なデータ分析で顧客体験をパーソナライズするために、企業内の全ての顧客情報を統合し、顧客を一意に識別可能なアイデンティティ基盤としてCIAMシステムを整備する動きが多くの企業で見られますが、実現するには留意すべき課題もあります。プライバシーとセキュリティです。これらの課題と、それに対するCIAM分野の「守り」の機能要件をご紹介します。
プライバシー
CIAMシステムでは顧客の個人情報を預かることになるため、プライバシーの問題は避けて通れません。顧客が意図して登録した属性情報だけでなく、行動履歴等のデータも容易に収集できるようになり、顧客からすると知らないうちに自分のデータが収集・悪用され被害が生じることも考えられます。そのため、近年消費者保護を目的とした法整備が各国で進められています。
日本では、個人情報保護法にて、個人情報の利用目的を明示すること、個人情報の第三者提供に関してユーザ本人の同意を取得することや第三者提供記録を保持することが求められています。
個人情報保護法は、平成15年(2003年)に成立し、平成17年(2005年)に全面施行されました。その後の情報化が急速に進んだことを受けて、平成27年(2015年)改正され、厳格化されました(平成27年改正法と呼ばれる。施行は平成29年)。
このときの平成27年改正法にて、施行から3年ごとの見直しを行う方針も定められ、実際令和2年(2020年)に令和2年改正法が成立し、令和4年(2022年)に施行されました。
なお、令和2年改正法にて、見直し基準が変更され、「施行後3年を目途とする」こととなっており、次の改正は令和6年(2025年)を目途として検討が進んでおり、注視する必要があります。
海外でも同様の法整備は進んでおり、欧州のEU一般データ保護規則(GDPR)やカリフォルニア州の消費者プライバシー法(CCPA)が代表的です。企業は、各国・地域で少しずつ異なる制度を理解し、法制度を順守したシステムを構築する必要があります。
現在、多くの法制度が存在し、内容も膨大ですが、システム化に関する項目は共通する点も多く、個人情報の収集・処理に関して、利用目的ごとに顧客に明確な同意を取得することや、あとから同意を撤回可能であること、情報を消去する権利を有すること等の機能の充足は必須です。また、類似した内容でも、個人情報保護法よりGDPRのほうがより厳格な管理を求める傾向があることは覚えておくとよいでしょう。
未成年者の保護を目的とした条項では、国や地域によって未成年者の年齢・定義が異なりますので、どこまで対応するべきなのか、自社のビジネス要件と照らし合わせて検討する必要があります。
また、これらの法制度は、各国で次々と制定・改正されていますので、変化する外部環境にどこまで追従して機能をアップデートしていけるかも重要です。しかし、個々の企業で対応することは難しい場合は、定期的に機能をアップデートしているようなパッケージ製品等を活用することで対応していくのがよいと考えられます。
セキュリティ
前述の通り、CIAMシステムには顧客の個人情報が登録されるため、厳格なセキュリティ管理が必要です。しかし、ECサイト等の顧客向けのシステムは一般に開放されており、従来のように企業内に閉じたネットワークの中だけに顧客情報をとどめておくことができなくなりました。だれでも利用できるため常に攻撃にさらされており、リスト型アカウントハッキングやなりすましログインにより個人情報が漏洩したり不正な取引をされたり、被害は相次いでいます。
このような被害の原因の1つにログインIDやパスワードの使いまわしがあげられ、ログインIDやパスワードをサービスごとに別々に設定することが有効な対策となりますが、2018年に弊社が実施した調査では、全体の8割がパスワードを複数サービスで使いまわしており、一般的な顧客のセキュリティ意識は低いことがわかります。
しかし、情報漏洩や不正アクセス被害にあったサービスを「やめたい」と感じる人は約5割となり、企業側には強くセキュリティ対策を求めている傾向が見られます。ここで、企業側でランダムなパスワードを発行したり、複雑なパスワードを要求する等の対策をとっても、IPAの調査結果*によると顧客が覚えられるパスワードは3個程度と考えられており、顧客はログインIDやパスワードを忘れると簡単にサービスの利用を諦めてしまいます。企業としては顧客が離反しては困るため、セキュリティ対策とユーザビリティのバランスをとることが大変難しい課題になっています。
*https://www.ipa.go.jp/security/fy26/reports/ninsho/index.html
図1:複数のWebサイトでパスワードを使い回しているケースが全体の8割超
図2:IDやパスワードを忘れた場合、サービスの利用をあきらめた経験は、64.7%
出所:2018年「生活者のID管理・認証セキュリティに関する実態調査」 NRIセキュア
そこで、認証セキュリティ強化の方向性として昨今注目を集めているのが、アダプティブ認証と生体認証の活用です。
認証セキュリティ強化の方向性① アダプティブ認証
強固なセキュリティを確保するため、顧客の認証手段は重要なポイントとなります。ID/パスワード認証だけでなく、スマートフォンによるワンタイムパスワード認証やSMS認証等ほかの認証手段も選択できること、またそれらを組み合わせた多要素認証を実現することでセキュリティレベルを向上することが重要です。
ただし、セキュリティレベルを向上させるためであっても、ユーザビリティが低下すると顧客は簡単にサービスから離反してしまいます。この相反した要件を実現するために、顧客のアクセス環境や振る舞い等のコンテキスト情報を分析し、高リスクアクセスの場合にのみ、追加認証を要求する仕組みをアダプティブ認証といいます。このようなリスク判定はバックエンドで処理されるため、正規の顧客には何も意識させずに、不正アクセスに対するセキュリティ強化が可能です。
図3:リスクエンジンによる継続的なユーザーの振舞い分析
認証セキュリティ強化の方向性② 生体認証
ユーザビリティを低下させない認証手段として注目を集めているのが生体情報に代表されるパスワードレス認証であり、その中でも特に注目を集めているのがパスキーです。
パスキーとはパスワードレス認証技術のひとつであるFIDO(Fast IDentity Online)の認証資格情報のことを指します。我々が普段利用しているスマートフォン等に保存し、安全性の高い認証が行える仕組みとなっています。
FIDOは公開鍵暗号を用いた認証方式で、ネットワーク上でパスワード等の秘密情報を直接やり取りする必要がなく、ドメイン毎に異なる鍵ペアを利用するため昨今多発しているフィッシングに代表される中間者攻撃にも高い耐性を持つという特徴があります。
さらに、WebブラウザでFIDO認証を行うためのWebAuthn規格が2018年に公開され、2020年頃までに主要なPC/スマホブラウザでサポートされたことで、それまで専用アプリ利用が前提であったFIDO認証がWebブラウザ上で簡単に利用できるようになりました。
顧客接点としてスマートフォン経由のモバイルチャネルの比率は年々増えつつあり、パスキーは特にモバイルチャネルでのシームレスなユーザ体験とセキュリティを両立できる技術として期待が高まっています。
パスキーについては、以下のブログも、ぜひご参照ください。
パスキーとは?|多くの企業が導入を進めるユーザ認証を最適化する仕組み
パスワードがなくならない理由と解決策|パスキー導入とID統合で安全な認証を実現
CIAMで“攻める”
CIAMに求められる機能のうち、「守り」の機能について言及しましたが、ビジネスを展開するうえで、メリットとなる「攻め」の機能の具備も重要なポイントです。
CIAMシステムの代表的なユースケースは以下の3つがあげられ、それぞれ以下のようなメリットが期待できます。
| ユースケース | メリット |
| マルチチャネルに対応した顧客ID管理・認証機能 |
ユーザの利便性向上 顧客動向の一元的な把握 |
| 外部SNSサイトとの連携 |
ユーザの利便性向上 ユーザ数増加 |
| APIの外部公開 |
サービス価値向上 ユーザ数増加 |
マルチチャネルに対応した顧客ID管理・認証機能
CIAMシステムで顧客情報を一元して管理することで、企業は顧客情報を分析しやすくなり、ドメインの異なる複数のサイトやスマートフォンアプリ等で一貫した顧客体験を提供することができます。顧客にとってはそれらをひとつのログインIDで利用できることは、利便性の向上につながります。
外部SNSサイトとの連携
GoogleやFacebook等のSNSサイトとの連携も重要なポイントです。まず会員登録の際に、SNSサイトから属性等の提供を受けることで、顧客の入力の手間を省き、簡単に会員登録をしてもらうことが可能になります。
また、ログインの際にSNSサイトのIDでログインできる「ソーシャルログイン」の機能を利用することで、顧客は新たなログインID/パスワードを覚える必要がなく、使い慣れたSNSサイトのログインIDとパスワードで、企業のサービスを利用可能になりますので、より気軽にサービスを使ってもらえるようになるでしょう。
APIの外部公開
API公開は新たな顧客体験を検討する上で、重要なポイントです。例えばX(旧Twitter)を閲覧し、書き込みを行うためのアプリはX社の公式アプリ以外にも数多くのサードパーティアプリが存在しています。X社が閲覧や書き込みのためのAPIを公開しており、各サードパーティアプリはそのAPIを利用しています。サードパーティアプリは公式アプリにはない機能を具備してユーザを獲得しています。その結果、Xの書き込みの数が増えれば、X社にとっては大きなメリットであり、自社だけでは実現できなかったサービスの広がりを見せていると言えるでしょう。
図4:コンシューマ向けの認証基盤(CIAM)の代表的なユースケース
おわりに
NRIセキュアでは、Uni-ID LibraというCIAMパッケージ製品をご提供しており、上記でご紹介したCIAMの要件を兼ね備えています。2016年にUni-ID LibraのVer.1.0をリリースしてから、2018年のFIDO対応、2019年のGDPR対応、2020年のOpenID Connect CIBA対応、2022年のFAPI(Financial-grade API)対応、2024年のデジタル庁デジタル認証アプリ連携をはじめとして、定期的に機能のアップデートを実施しています。また、2008年にUni-ID Libra の前身となるID関連事業を立ち上げておりますので、多くのCIAMシステムの構築・導入の経験やノウハウを持つメンバーがおり、お客さまのビジネス要件に合わせ、CIAMシステム導入の検討段階からご支援いたしますので、ぜひお問い合わせください。
