秘密の質問あるいは合言葉を、適切に設定することについての考察

ネットバンキングなどのアカウントの本人確認のためのシステムである。
パスワードの再発行やいつもと違う端末からアクセスしたときに聞かれるアレである。

アカウント発行の際に、質問文を選び(あるいは一方的に指定され)それに対する回答を「正解」として登録する。この質問に正しく答えることで本人認証になるというのだが、当の本人がさっぱり質問に答えられないという事態はありがちだ。

そういう場合だいたい、ユーザーの質問と回答の選び方に考慮が足りないのだ。あるいは、サービス提供側の質問文の用意の仕方も不適切なこともある。
秘密の質問あるいは合言葉がいざ必要になったときに、適切に運用されるような質問と回答の登録の仕方について考えてみる。

結論から言おう。質問と回答を考えるにあたって必要な条件は以下の4つだ。

  1. 不変であること
  2. 唯一であること
  3. 記憶し続けられること/確認する手段があること
  4. 表記揺れがないこと

一つずつ検討していこう。

不変であること

まず前提として、「秘密の質問に何を選んで、何を答えとして登録したのか」は完全に忘れてしまうということは肝に命じておかなければならない。ゆえに質問にはそのときの自分が「素で答える」しかない。いつ質問に答えなければならない日がくるか分からないのだから、今後死ぬまで常に同じ回答をすると見込めるものでなくてはならない。

「好きな食べ物は?」などという質問は、大抵の人間にとって最悪だ。人の好みは変わりうる。若い頃に肉が大好物だったのに、年齢を重ねて魚をより好むようになるなどというのはよく聞く話だ。登録した頃のことを思い出して、あのときは何が好きだったかななどと思い出して首尾よく正解にたどり着けるなどとは思わない方がいい。質問に答えるために「思い出す」という作業が発生しそうであれば、その質問は避けるべきだ。
ただ、それが自分の実際の好みであるかどうかに関わらず、自分のキャラクター設定となっている場合にはこの限りではない。たとえば、「永遠の◯◯歳、好きな食べ物はいちご!」というキャラが、自他ともに認めるものとして確立している人ならば、この質問は有効な選択肢だろう。
あるいは、特定のブランドや商品名など固有名詞で答えられるほど心底好きなものがあるというのであれば、これまた結構だ。「少なくとも週一で食べるほど、ペヤングソース焼きそばが好き。常に自宅にストックがある」とかならいいと思う。あるいは、お酒好きで心酔している銘柄があれば「好きな飲み物は?」に常に同様に答えられるだろう。

唯一であること

回答が不変であるとしても、複数であるならば避けた方が良い。
「子どものときのあだ名は?」という質問は、小学生の時と中学生の時で違う呼ばれ方をしていた場合には選ばない方が無難だろう。どちらか一方が自分にとって強烈に印象的で、「自分のあだ名といえばこれだ!」と言えるほどでなければ、質問されたときに正解ではない(登録したのとは違う)方を答えてしまうリスクがある。
先ほどの「好きな食べ物は?」という質問は、この点においても一般に不適切だが、「ペットの名前は?」もなかなか劣悪な質問である。去年亡くなった20年間連れ添ったポチこそが、生涯にわたって唯一無二のペットである(と心に決めている)ならいざ知らず、これまでに(あるいは今現在同時に)何匹も飼っているなら、今飼っているからという理由でそのペットの名前を登録するのはいただけない。

記憶し続けられること/確認する手段があること

たとえ回答が不変であり、特定の一つに限られるものであるとしても、記憶が薄らぐ事柄は避けた方が無難だ。自分の誕生日と同じくらい、いつ聞かれても(たとえ50年後であっても)即座に答えられるぐらい記憶に刻まれているものを選びたい。また、最悪忘れてしまったとしても、調べれば確認できるものがベストだろう。

「はじめてCDを買ったアーティストは?」は悪くない質問だが、CDを買うという思春期の感慨深い思い出として確かに記憶されている場合に限られる。しかもこれは、唯一不変の事柄であるけれども、後から確認することは困難なことが多いだろう。

表記揺れがないこと

あまり着目されないかもしれないが、これは結構重要である。正解を覚えていても、正確に書けなければデジタルな確認処理では意味がないからだ。
回答がビートルズであることが間違いなかったとしても、「ビートルズ」で良いのか。あるいは「Beatles」とアルファベット表記なのか。はたまた「The Beatles」なのか、「ザ・ビートルズ」と登録したのか・・・大文字か小文字かなどというバリエーションまで含めて考えると悩ましい。

「表記揺れがないこと」と書いたが、正確には「常に一定の表記で書くことを期待できること」と言える。そのときの気分で「ミスチル」と書くのではなく、正式名称で「Mr.Children」と書くだろうと未来の自分を信頼できればいい。その対象に強い関心があれば表記揺れに惑わないと思えるだろうし、それは同時に「不変であること」「記憶し続けられること」にも関わってくる。
もう20年以上もヒムロックを愛しているならば、「好きなアーティストは?」の質問に「氷室京介」と答えれば良いだろう。だが、最近ちょっと3JSBにはまっているという程度なら、その質問は選ぶべきではないということだ。

おすすめの秘密の質問はこれだ

  • 卒業した小学校(中学校・高校)は?
  • 卒業時の担任の先生は?
  • 母親の旧姓は?
  • 最初の職場の上司は?
  • 初めて買った車は?

これらは不変であり、唯一であり(母親の旧姓は、人によっては複数存在することはあるが)、忘れにくく、忘れたとしても確認することが比較的容易で、表記揺れが少ないものだ。

ただこれらは問題はセキュリティ上の弱点がある。確認することが容易ということは、他人が調べてなりすますことができやすいことでもある。それゆえに、質問に真面目に答えるのではなく、質問文は無視して常に同じ答えを用意するとか、特定のフレーズを答えに付与するとか、質問文から一定のルールで答えを導き出せるようにするなどの工夫がある。だが、その「ルール」を忘れてしまえばもうおしまいである。
自分の記憶力は当てにならないというのが私の基本的な考え方である。だからこそ「素で答えられる」ように、秘密の質問は登録時に慎重に考えたい。

ことほど左様に秘密の質問は、実はユーザーにリテラシーを要求する仕組みであるのだ。そう考えるとこのシステム自体がもともと無理のあるものだと思えてくる。
それでも運用するのならば、サービス提供者は、自分の誕生日くらい万人が強く記憶していて、それでいて他人が知る機会があまりない事象についての質問を用意してほしい。