セブン＆アイ・ホールディングスは7月4日、グループのセブン・ペイが運用するスマートフォン（スマホ）決済サービス「7pay」の不正アクセス問題で「お詫び」のリリースを発表。同日の朝6時現在、不正アクセスが疑われる人数として約900人、金額として約5500万円に上ることを明らかにした。7月1日にスタートしたばかりのサービスが、わずか4日で新規登録の受け付けを停止する事態に追い込まれた。


　今回の不正アクセスでは、一部アカウントで第三者が7pay利用者のアカウントにアクセスして本人になりすまし、登録したクレジットカードやデビットカードでチャージして、セブン-イレブンの店舗で商品を購入できるというもの。第三者の不正アクセスの方法については「なんらかの方法で」としており、解明には至ってない。

　事態を把握したのは7月1日のサービス開始翌日の2日、顧客から「身に覚えのない取引があったようだ」との問い合わせを受けたのが第一報だったという。

　翌3日に社内調査を実施した結果、不正利用が発覚した。その後、「お客様サポートセンター緊急ダイヤル」を設置したり、7payホームページの「重要なお知らせ」にID・パスワード管理の注意喚起を掲載したり、クレジットカードやデビットカードのチャージを停止したりするなどの対応に追われた。

　ただ、TwitterなどのSNS上ではセキュリティの脆弱性の原因究明がされていない状況で、クレカやデビットカードのチャージ停止だけにとどめてサービスを続けていたことへの批判が広がっていた。

　被害に遭った顧客に対して同社は、全ての被害に対して補償を行うとする。また不安なユーザーには「お客様サポートセンター緊急ダイヤル（0120-192-044）」への問い合わせを呼び掛ける。

　今後の対応では、全てのチャージを一時停止して、7payの新規登録も停止した。対象となるチャージはクレジットカードやデビットカードのほかセブン-イレブン店頭レジ・セブン銀行ATMでの現金チャージ、nanacoポイントからのチャージとなる。既にチャージ済みの金額は利用できる。

PayPayの不正利用率は0.0004％に

　スマホ決済サービスの不正利用では、18年12月4日に開始したソフトバンクとヤフーによるPayPayの「100億円あげちゃうキャンペーン」で、二重決済やなりすましによるクレジットカードの不正利用が問題になった。

　セキュリティコードを含むカード情報の入力回数制限やカード利用時の上限金額、本人認証サービス（3Dセキュア）などの不備が問題視された。

　しかしその後、これらを改善して調査を進めた結果、クレジットカード登録時のセキュリティコードを20回以上入力して登録に至った件数は13件で、そのうちの9件はPayPayでの利用があったが、全ては本人による登録と利用であったことが判明。19年2月には13件全てで不正利用は確認されなかったと発表した。

　それでも不正利用が認められたときは、運営会社のペイペイが返金額の全額保証するとしていた。PayPayでは実際に返金保証したケースがあったとするが、その金額は開示していない。ただ、問題が起きた第1弾のキャンペーンでクレカの不正発生率が0.996％（100件に1件）だったのに対し、19年2月に実施した第2弾では0.0004％（100万件に4件）に改善している。

　いずれにせよ、今回、7payを導入するにあたって、PayPayの教訓が生かされることはなかったようだ。7月3日に150万人が登録したという注目の人気サービスだっただけに、またセブン-イレブン自身、安心や安全のブランド力を売りにしていただけに、ユーザーに与える衝撃や不安は計り知れない。

　7payのサービスの存続や信頼そのものが揺らいでいる。これだけの事態を生みながら、東京商工会議所の記者クラブだけで会見が行われるなど、同社とユーザーの間の感覚のズレを指摘せざるを得ない。国や業界を挙げて盛り上げていたキャッシュレス化の推進に、大きく水を差す事態となった。（BCN・細田 立圭志）