オンボーディングHACKS その1

先日フラーという会社にディレクターとして入社しました。この記事は
フラーAdventカレンダー2020 15日目の記事です。

初月1ヶ月間はオンボーディング*1期間でしたが、この中で面白かったのが「ヒアリングリレー」という制度。
新人の特権を使って会社の人に30分の1on1を申込み、会社のことやその人のことを色々伺ったり、自分の自己紹介をして自分を知ってもらう機会。せっかくなのでなるべく多くの人にお願いしようと思いました。

ここでネックになってくるのが、依頼の連絡と日程調整の手間。なるべく手間を掛けずにやりたかったので、そこで考えたのが予約サービスの活用でした。you can book meというサービスを使いました。
youcanbook.me

このサービスは完全にGoogleカレンダーと連動した、予約フォームや管理システムを提供してくれるサービス。
いくつかの設定をすることで、このような自分専用の予約フォームが作成できます。

f:id:sohei:20201214221155p:plain:w400
youcanbookme

あとはこんな感じに、依頼したい相手に連絡して日程をこのフォームから登録してもらえばOK。

f:id:sohei:20201214221801p:plain:w500
Google Calendarに自動で登録される

登録されると、自分と相手にGoogleカレンダーの予約がセットされます。
これは簡単ですね!
この仕組みを使ったことで、約3週間で30人の方とヒアリングリレーさせてもらうことができました。
やりすぎた結果スケジュールがこんなことになった日も…

f:id:sohei:20201214222602p:plain:w250

このようなツールを使って、効率化できることは効率化していきたいですね!

オンボーディングHACKSはその2もあるのですが、いつか書きます。

*1:企業が新たに採用した人材を組織の一員として定着させ、戦力化させるまでの一連の受け入れプロセス

接触確認アプリCOCOAで濃厚接触と出たけど翌日PCR検査を受けて陰性でした。

f:id:sohei:20200906140110j:plain:w400

1行でまとめると

9/1夜にアプリで接触がわかり、9/2に唾液のPCR検査を受け、9/3に陰性の結果が出ました。結果的には、とてもスムーズにPCR検査を無料で受けることができました。

まとめ

接触通知のプッシュ通知は来ない(Android)。毎日COCOAアプリを開いてチェックしよう。
接触通知はあくまで可能性に過ぎないが、PCR検査を受けるかどうかは自身で判断を。
・希望してPCR検査を受けられるかどうか、どれだけスムーズに対応してもらえるかは自治体次第。
・「新しい生活様式*1」としての行動を今一度見直しを。

本文

東京に住んでいてたまに出勤や外出しているとやはり気になるので、ほぼ毎日のように接触確認アプリCOCOAを開いて確認をしていました。しかし、その時は突然やってきました。例の接触通知です。

f:id:sohei:20200905235948p:plain:w250 f:id:sohei:20200905235953p:plain:w250

接触日は8/20とのこと。肝心の接触したとされる場所ですが、その日の行動をGoogleMapsのタイムラインや撮影した写真から思い返してみました。
その日は出社していました。帰宅途中にたまたま友人とばったり会い食事をしました。
まず食事した場所を考えましたが、周りに客はほぼいなかったため、そこでの感染は考えにくく、同じ場所にいた友人に接触通知が来たか確認してみましたが、来ていないとのこと。また疑ってはいませんでしたが、その友人が陽性者ではありませんでした。
次に会社ですが、出社している人数はだいぶ減っており、特に感染者が出たという情報も出ていなかったため、会社ではないと考えました。
となると、残る可能性は通勤の電車ぐらいしか考えられません。
コロナ後は、以前のようなぎゅうぎゅうの電車に乗り合わせることはなくなりましたが、それでも混雑気味の電車に乗ることはまれにあります。接触検知される距離(1m*2)や時間を考えると、ここが接触経路の可能性はあります。


以下時系列に記載します。

9/1夜 接触通知を受ける

いつも通りアプリを開くといつもとは違う表示。接触の表示。プッシュ通知はなく、アプリを開いたことでそれが分かった。
(バックグラウンドで接触確認が行われていると思いきや、アプリを開いたタイミングでないと接触確認が行われないのでしょうか。アプリを開いた瞬間にローカル通知が来ました。)
接触日は8/20とのこと。12日も前であり自覚症状はなかったので、ほぼ大丈夫だろうと思いつつも、不安を払拭するためにPCR検査を受けてみようと考える。

改めて厚労省Q&Aを読んだりする。この時点での陽性登録者数は533人らしい。そのうちの1人と接触したわけか…。

f:id:sohei:20200906000216p:plain:w400

Android OSのGoogleサービスから接触確認のログファイル( all-exposure-checks.json )をエクスポートできるので見てみる。確かに、 "matchesCount":1 とある。

f:id:sohei:20200906000826p:plain

連絡先は、アプリの画面の指示に従うと表示される。
「症状を入力して相談」→「症状なし」
次に、 "(中略)上記に心当たりがない場合でも、帰国者・接触者外来等への受信を希望しますか" と出るので「はい」を選んだ。

f:id:sohei:20200906140428p:plain:w200 f:id:sohei:20200906004939p:plain:w200
f:id:sohei:20200906004928p:plain:w200 f:id:sohei:20200906004934p:plain:w200

9/2 8:58 保健所に電話連絡

朝一で指定の連絡先(区の保健所)に電話をした。
アプリで通知があったことと、症状はないがPCR検査を希望する旨を伝えると、
①個人情報が必要だけど良いか
②陽性だった場合入院かホテル待機になるが良いか
③検査費用は無料だが初診料等で2000円程度かかるが良いか
と聞かれ、承諾すると、すぐに自宅近くの病院とクリニック2つを紹介してくれた。そのうちクリニックの方は検査が唾液でできるという情報も教えてくれた。
電話は朝一で電話かけたこともあり一発で繋がり、通話時間は約8分だった。

9/2 9:10 紹介されたクリニックに電話する

アプリで通知があり保健所から紹介されて検査受けたい旨を伝える。
症状はあるかどうかと、個人情報(名前・住所・電話・生年月日)を聞かれる。
ちょうど10時から受けれるらしいとのことでお願いをする。この電話もスムーズであった。

9/2 10:00 クリニックでPCR検査を受ける

紹介されたクリニックは自宅から自転車で5分程の場所だった。裏口から入り、仕切られた空間に入れられる。先生は防護服で厳戒態勢である。
唾液による検体採取をする。唾液は思っていた以上必要なようで5分ほどかかる。
その他、指に挟むタイプのもので肺炎かどうかを調べてもらうが、問題なし。
所要時間約15分。検査は無料だが初診料などで1760円だけ支払う(保険適用)。結果は2日後午前に電話で連絡とのこと。

先生曰く、
「アプリで検査受けれるのはもう終わるんじゃないか。だってアプリの通知で誰も陽性者出ていないもの。だから(無料で受けられて)ちょうど良いタイミングだよ。」とのこと。

この発言はとても残念だな・・と思った。
・そもそも陽性登録者数がまだ少ないこと
・アプリの接触通知で無料で検査を受けられるようになったのも最近(8/21から)であること
接触通知があっても自治体によってはなかなかPCR検査を受けさせてくれないところもあるらしいこと
・陽性者が出ていないのは良いことであり、出ないから必要がないわけではないこと

検査の人的コストやかかる費用のことはあるけど、改めてギャップを感じた。

9/3 15:55 クリニックから電話で結果の報告

予定より早く連絡があり、結果は陰性とのこと。書面は郵送してくれるとのこと。
陰性でほっとした!

9/5 検査結果報告書が届く

f:id:sohei:20200906012752j:plain


結果的に、とてもスムーズにPCR検査を受けられ、陰性であることが分かって良かったです。
まさか自分に通知がくるとは思っていませんでしたが、東京という場所に住んでいる以上、どこで接触する可能性があるかはわかりません。
今一度行動を見直し、不必要な外出や出勤もできるなら減らしていくのが望ましいと改めて感じました。

普段の生活で常に気を使い、コロナにかからないかと気になる生活を送っていましたが、このように結果が出ると安心できます。
PCR検査を積極的に受けさせるかどうかは未だ賛否があるようですが、過度な不安をなくし経済活動と両立させていくためにも、このように不安を解消できる体制があるのは望ましいと思いました。



関連記事
接触確認アプリから「通知」が届いて分かったこと 実効性には課題も (1/3) - ITmedia Mobile
iPhoneのCOCOAアプリ不具合がありつつも「COVID-19にさらされた可能性があります」通知によってPCR検査を受けられた話 - 思いのままにペンでスラスラ
COCOA接触通知からPCR検査までの道のり - ryoyansb’s diary

*1:この言葉嫌いだけど。

*2:おおむね1mと言われていますが、Bluetoothでの検知のため誤差は発生してきます。

7Payの不正利用を受けて他社Payの複数端末利用時の不正対策について調べてみた

7Payの不正利用の原因は、別端末でログインされて利用されてしまったこと(ID・パスワードが漏れたことによるリスト型攻撃による)とのことで、他のPay系サービスがどうなっているか調べてみました。

(追記) パスワードリセットの仕様が元凶であるというという事実を知る前に検証した記事になります。

japanese.engadget.com

今回問題になっているのは、クレジットカードを予め登録した上で、チャージまたは都度決済を行うものだと思います。自分の利用状況下では 楽天Pay, d払い, Origami Pay がそれに当たりました。

このようなスマホ決済アプリにおける不正利用対策として、最低必要になるポイントは2つと考えます。

(1) 別端末でのログイン時にセキュアな認証をしているか(IDパスワードだけでなく、2段階認証などの追加の認証があるか)
(2) ログイン後、登録されているクレジットカードの再認証があるか(3Dセキュアやセキュリティコードの入力など)※クレカ登録型のみ

ログイン時のセキュアな認証と、さらに、登録されているクレジットカードを使うための認証を、それぞれ行う必要があります。

楽天Pay, d払い, Origami Pay, 7Pay を調べてみたところ、7Pay以外の3サービスは(1) (2)が実施されておりました
(訂正:Origami Payは(2)がありませんでした。しかし(1)の二段階認証をSMS・メールともに行っており、そこで担保しているものと思われます。)

しかし、7Payでは(1) (2)いずれも問題がありました。

(1):IDパスワード認証のみ
(2):再認証なし

このため、ログインさえ突破できれば、登録されているカードで決済ができてしまうことになります。(決済時にパスコードなどの入力も必須ではないようです)*1
この穴を突かれて、不正利用されたものと思われます。(状況から組織的犯行ではないかという指摘もあるようです)

詳細はこちらの表にまとめています。

各社Pay複数端末時の挙動(2019.7)

スマホ決済サービスは、一般的なWebサービスやECと同じセキュリティレベルの感覚で構築してはいけない、というのを改めて実感させられますね。

※あくまで個人環境下でのみの検証結果であり、すべてのケースを確認できているわけではありません。もし間違いなどあればご指摘ください😩

*1:7Payではチャージ時に「チャージ用パスワード」が必要なようですが、こちらも別途突破されたようです。