セブンペイ終了!コンビニ感覚でキャッシュレス始めたその末路

セブンペイが9月廃止が決定しました。

セブンペイとはセブン&アイホールディングスが行う電子決済サービス。現金を持たなくてもスマホを使えば買い物ができるサービスです。

この1、2年流行っている電子決済サービスのひとつ。セブンイレブンでおなじみのセブン&アイホールディングスも流行に乗り遅れまいとセブンペイのサービスを開始しました。

ところが7月1日にサービスを開始後、不正利用が相次いでわずか3ヶ月でサービス終了です。

ところが経営陣は責任をとらず、また新しいサービスをはじめたいという始末。

会社の認識の甘さに問題があるようです。

セブンペイ事件のいきさつ

セブンペイとはセブン&アイホールディングスが行う電子決済サービス。現金を持たなくてもスマホを使えば買い物ができるサービスです。

この1、2年流行っている電子決済サービスのひとつ。セブンイレブンでおなじみのセブン&アイホールディングスも流行に乗り遅れまいとセブンペイのサービスを開始しました。

ところが、7月1日にサービスを開始して数日後。3日は不正利用が発覚しました。買い物した見に覚えがないのに勝手にお金を使ったことになっているのです。

サービス開始から7月31日までの一ヶ月間で808人。3860万円の被害が出ました。

7月1日 セブンペイサービス開始。
7月3日 不正利用が見つかる。
7月4日 記者会見。
7月11日 外部IDによるログイン停止。
7月30日 全会員のパスワードを強制リセット。
8月1日 記者会見。サービス廃止を発表。

トラブルの原因はリスト型?

なぜこんなトラブルが起きてしまったのでしょうか?

トラブルの原因はいまだにはっきりしませんが。不正利用の手口としてはいくつかの方法が考えられます。

外部に流出したIDやパスワードを使って不正アクセスされる「リスト型アカウントハッキング」。フェイスブックやツィッターなど他のサービスのアカウントを使ってログインする「外部ID連携」。利用者がパスワードを忘れたときに再設定する機能を不正利用された。等です。

いまのところ「リスト型アカウントハッキング」の可能性が高いといわれています。

責任感のない経営陣

セブンペイはサービス開始わずか数日で不正利用される欠陥商品でした。電子決済システムのシステム的なことはよくわからないので詳しい考察は他の方におまかせします。僕が問題にしたいのは経営陣・運営側の姿勢です。

彼らにはお金を扱う商売人なら当然あるはずの責任感がまったくみられません。

お手軽さを優先してセキュリティーを犠牲

7月4日。最初の記者会見では。「2段階認証」について質問され、記者会見した7Pay経営陣が「二段階・・・」と黙り込んでしまう場面がありました。2段階認証を知らなかったのでしょうか?そんなはずはありません。

2段階認証は今やネットバンクでは当たり前のシステム。お金を扱うサービスなら導入して当然です。事実他の電子決済システムでも採用しています。

これについては奥田裕康取締役営業部長は「開発段階では二段階認証を想定していたが、使用感を低くして“入り口”を低くした」と説明しています。

セキュリティーを犠牲にしてお手軽さを優先したのです。

二段階認証はひと手間加わるので煩わしさはあるかもしれません。でもお金を扱うサービスなら導入しておくべきだったと思います。

もちろん二段階認証を取り入れただけで全ての不正利用を防げるとは限りません。でもリスト型アカウントハッキングなら二段階認証で防げるはずです。

お手軽さを優先した結果、被害を大きくしてしまったのは事実でしょう。

しかも、リスト型アカウントハッキングだけでは説明のつかない被害もあるといいます。こうなると原因は他にもある。システムそのものに欠陥があるのかもしれません。

危機感がない

読売新聞の報道によればサービス開始後、不正利用が見つかっても

当初、同社内では「安全対策を講じれば早期に再開できる」(幹部)との楽観論が支配的だった。

といわれます。社内に安全対策プロジェクトをたちあげ、外部からの不正アクセスを監視する人員を5倍に増やし、ITに詳しい社外の専門家を招いた。とありますが、次々に不備が見つかって解決はできませんでした。

しかも、クレジットカードから入金するときに必要なパスワードは第三者が変更可能。になっていたといいます。これでは不正利用してください。と言ってるのと同じです。

後発組の焦りか

セブンペイが始まったのは2019年。7月1日。ライバル社のファミペイも7月1日サービス開始。

電子決済サービスは既に、auPay、d払い、楽天ペイ、Origami Pay、PayPay、メルペイ、LINE Pay、pring、Kyashが稼働しています。大手銀行も参入予定なので今後も増える予定です。始まったばかりなのに過当競争の時代に突入してしまってます。

電子決済は中国や欧米など諸外国で広まっています。日本は遅れているのは確かでしょう。偽札が出回る可能性の高い諸外国と違って、日本は現金の信頼性が高いです。そのため店頭でのクレジットカード利用率も低いですし、電子決済もあまり普及していませんでした。

訪日する観光客の増加もあってか日本でも電子決済を普及させようと官民あげて普及にとりくんでいるところです。

10月には消費税増税があります。景気対策のひとつとしてクレジットカードや電子決済利用者には一部を還元する。と発表がありにわかに注目が集まりました。

そういった状況で短期間の間に電子決済が増えて、顧客争いが激化しました。
その中で後発組のセブンペイには焦りがあったのでしょう。

準備期間が短い見切り発車

セブンペイも10月の消費税増税に間に合わせようとサービス開始を急いだようです。しかもコンビニライバルのファミペイが7月1日にサービス開始します。

セブンペイはせめてファミペイには遅れないようにしようと無理をしたのではないでしょうか。
準備が甘いのに見切り発車してしまったように見受けられます。

セブンペイは一見すると独立したアプリのように見えます。ところが実際にはセブンイレブンアプリに追加されたアドイン機能です。7payは、Omni7(オムニ7)と呼ばれるセブン&アイグループで使用するシステムで決済を担当するプログラムです。

独立したシステムでセキュリティーを確保するのは大変です。でも複数のシステムを繋いで運用してセキュリティーを確保するのはもっと難しいのです。

グループのシステムそのものに不安が

7payが不正利用に弱いのは、Omni7に継ぎ接ぎする形で作られたので十分なセキュリティーを確保する技術も時間もなかったとも考えられます。

7payが簡単に不正利用されたのは7Payだけの問題でおさまらないかもしれません。7payに繋がるOmni7自身に欠陥があるのかもしれません。とすればOmni7につながる全てのセブン&アイホールディングスのサービスでも何らかのトラブルが起きる可能性があるかもしれません。杞憂であればいいいのですが、もし起これば大きな問題です。

廃止は当然

セブンペイは欠陥商品(サービス)でした。

サービス開始を急いだせい。あるいは後発の焦りから安全性が犠牲になったのです。

サービス開始からわずか3ヶ月ですが廃止を決定した経営陣の決断は正しいといえます。このままずずるずると被害を垂れ流しなら続けても会社の信用が落ちるだけです。

コンビニ感覚で決済システムに手を出すな

セブン&iホールディングスの井阪隆一社長、後藤克弘副社長ら経営陣はとくに経営責任をとわれることはないようです。

後藤副社長は記者会見で減俸などの処分について聞かれると「プロジェクトの調査結果が出てから会社基準で決める」と発言していますから。経営陣の責任はうやむやで終わるでしょう。

それだけではありません。このまま経営にいすわって「バーコードやQR決済でチャレンジしていきたい」とさえいいました。セキュリティーの低いバーコードやQR決済を始めるつもりとはまだ懲りていないないようです。

おそらく経営陣トップは何が問題なのか・事の重大さを把握していない。

しかし原因究明や再発防止策も不十分なまま新しいサービスをはじめても同じ失敗の繰り返しでしょう。

コンビニの経営者らしく、お金についての認識もコンビニ感覚なのでしょう。 

これが今の日本企業の経営者なのです。

セブンペイは日本の信用を落とした

日本はキャッシュレス化の遅れを取り戻そうと国と民間が必死になっています。それがいいことが悪いことかはともかく業界あげてとりくんでいます。それなのにこのありさまです。

不正利用が相次いでサービス開始わずか3ヶ月で終了。
原因もよくわからないまま。ウヤムヤで終わりそうです。

リスト

セブン&iHD、セブンペイ経営陣の責任は重大です

セブンペイのトラブルは会社のイメージを落としただけではありません。

日本のキャッシュレス化に泥を塗ったのです。