――ユーザー企業として、ベンダーと具体的にどのような対話をしていくべきなのでしょうか。

 ベンダーに提案を依頼する前に、ユーザー企業内で「どんな心配事があるのか」を考えておくべきです。

 まず、どこでどんな情報が発生して、どのようなやりとりを経て、最終的にどうなるのか、という情報の流れを図面にします。データフローとよばれるものです。この図ができたら、今度は自分が悪者になったつもりで、「どこが狙いやすいか」とか「どうやったらなりすませるか」を考えてみる。できればそれなりの技術的な知見を持った人も含めて、複数人でデータフローのあら探しをするのです。

――あら探しはユーザー企業内だけでやるべきなのですか。

「その情報がどれだけ大切なのか」を一番よくわかっているのが、ユーザー企業です。そのため、技術的な課題はさておき、まずはユーザー企業だけで好き勝手に妄想してみることが必要なのです。

 その後、ベンダーに提案を依頼する前の段階でいろいろな心配事をベンダーにぶつけます。できれば、複数のベンダーと話をするのがいい。そこで、セキュリティーを含めてあらゆる心配事をさらに深掘りしていくのです。

 また、実際の開発が始まってからは、「提案だけならいつでも受け取る」姿勢が重要です。例えば、開発中にセキュリティーの問題が見つかった場合。ベンダーから「追加の開発が必要だ」と言われたときに、「契約も結んだし、今さら何を言っている。そんなことできるわけない」と、聞く耳持たずではいけません。

 やはり、ベンダーは日々ITの現場にいて、知見も蓄積されています。提案するのにも、理由があるはず。最終的にやるかどうかはユーザー企業内で判断すればいいですが、ユーザー企業はベンダーからの追加提案、追加見積もり、スケジュール変更などを「聞く姿勢」をしっかり示しておくべきです。そうすれば、おのずと必要な情報は引き出せてくると思います。

 今回、セブンペイがベンダーとどのような関係を築いていたかは臆測の域を出ません。とはいえ、やはり二段階認証の話が開発中ずっと出なかったとは考えられない。ユーザー企業に必要なのは、専門的な知識よりも、謙虚で柔軟な姿勢なのだろうと思います。