セブン&アイ・ホールディングス(東京都:以下、セブン&アイHD)は8月1日、7月に開始したばかりのバーコード決済サービス「7pay(セブンペイ)」の9月末での終了を発表した。7payをめぐっては、リリース直後から一部アカウントに対して不正アクセスが発生。チャージ利用や新規会員登録を停止したうえで、被害状況の把握と原因調査が行われていたが、「サービス廃止」という決断が下された。その理由と今後の展望とは。
怒涛の1カ月を経て、まさかの「廃止」という結末に・・・
1カ月前には誰もが想像だにしていなかった、急転直下の幕切れとなった。
セブン&アイHDは東京都内で緊急の記者会見を開き、7月1日に開始した同社のバーコード決済サービス「7pay(セブンペイ)」について、9月30日(月曜日)午前0時をもって廃止すると発表。「セブンペイを信頼して利用いただいていた皆さま、サービスに関わるあらゆる関係者の皆さまに重ねてお詫び申し上げる」と、セブン&アイHDの後藤克弘代表取締役副社長は、会見の冒頭でこう謝罪した。
7payはリリース翌日の7月2日から、一部のユーザーより「身に覚えのない取引があったようだ」との通報が相次ぎ、第3者による不正アクセスが発覚。本人になりすましてクレジットカードやデビットカードを通じてチャージを行い、店舗でタバコなどの商品が購入されていることが判明した。
セブン&アイHDは翌3日に海外IPからのアクセスを遮断し、クレジットおよびデビットカードからのチャージ利用を停止。さらに4日には店舗レジ、セブン銀行ATMからの現金チャージも中止し、新規会員登録の受付も休止していた。
その後、社内に「セキュリティ対策プロジェクト」を設置し、外部の情報セキュリティ企業とも連携しながら、被害状況の把握と不正アクセスの発生原因の調査を実施。30日にはセブン&アイグループのECサイト「オムニセブン」や、グループ各社の専用アプリなどで使用する共通のID、「7iD」のパスワードを一斉にリセットした矢先、まさかの「サービス終了」という結末を迎えた。
なお、この不正アクセスによる最新の被害状況は(7月31日午後5時時点)、被害者の数が808人、合計被害額が3861万5473円。7月中旬以降、新たな不正アクセスの被害は確認されていない。また、被害金額については、全額をセブン&アイHDが補償するほか、9月末のサービス終了時点で未使用のチャージ残高についても、法令上の手続きを経て順次払い戻しされる。
次のページは
「廃止」の決断に至った3つの理由
これだけ大きな事件を引き起こしたとはいえ、リリースからわずか1カ月という短期間で「廃止」という重い決断がスピーディに下された理由は大きく3つ。配布されたリリースの内容から要約すると、①すべてのサービスを再開するに足る、抜本的な対応を完了するには相応の期間が必要、②サービスを継続するとすれば「利用(支払い)のみ」という不完全な形になる、③7payに対する顧客の不安はすぐに拭えない、というものだ。
そもそも、不正アクセスを許した大きな原因はセキュリティの脆弱性にある。とくに、同様のバーコード決済サービスのほとんどで導入されている本人確認方式「二段階認証」が採用されていない点には、世耕弘成経済産業大臣も「(採用は)基本中の基本」と苦言を呈するなど、マスコミのみならず担当省庁からも大きな批判を浴びていた。
これについて、サービスを運営する㈱セブン・ペイの奥田裕康取締役営業部長は、「利用状況をモニタリングすることで、(本人認証の)敷居を多少低くしても(安全性を)カバーできるという、不適当な仮説に基づいていた」と認めた。
セブン&アイHDはこれに加えて、開発体制や意思決定に関するガバナンスについても不備があったと分析。弁護士を中心とした検証チームを立ち上げ、原因究明と再発防止策の策定を行うとした。
「キャッシュレス化推進」の姿勢に大きな変化はなし?
とはいえ、セブンペイの“消滅”が確定した今気になるのは、「デジタル戦略の強化」を掲げるセブン&アイHDが、その本丸ともいえるペイメント、とくにキャッシュレス決済の領域でどのような動きを見せるのかという点だろう。
結論から言うと、大幅な方向転換は行わない模様だ。後藤副社長は会見で「スマホ決済については、広く世の中に浸透していくサービスになるのは間違いない。セブンペイは廃止するが、そのほかのスマホ決済についてはさまざまなプレイヤーと連携しながら提供していきたい」と表明。セブンペイの導入と同時に対応を開始した「PayPay」や「LINE Pay」など外部の決済サービスは引き続き提供することで、キャッシュレス化の流れには対応し続ける構えだ。
そのうえで、具体的な時期などについては白紙と前置きしながらも、「体制を整えて、もう一度バーコード決済サービスに参画できないかチャレンジはしていく」(後藤副社長)と、“リベンジ”も匂わせた。
しかし、日本を代表する小売企業の1つであるセブン&アイHDの今回の失策が世の中に与える影響はあまりに大きすぎる。同社に対する信頼が低下するのはもちろん、「キャッシュレス決済」という仕組みそのものに不信感を抱く消費者が増える可能性も否めない。キャッシュレス化の流れに水を差す結果となったセブンペイの不正アクセス問題。収束にはまだまだ時間がかかりそうだ。