セブン&アイ・ホールディングスは、8月1日の記者会見で子会社のセブン・ペイが運営するスマートフォン(スマホ)決済サービス「7pay」を9月30日24時に廃止すると発表した。競合であるファミリーマートのファミペイと同時の7月1日にサービスインし、グループのデジタル・金融戦略のドライブ役となる青写真を描いていたサービスは、セキュリティの脆弱性が露呈し、顧客の財産にダメージを与えて信頼を失うという最悪を結果を招いた。サービス開始からわずか4日で新規会員登録を停止、1カ月で廃止を決断するという前代未聞の事態となった。

一連の不正アクセスについて謝罪するセブン&アイグループの役員

システムの脆弱性認める

 セブン&アイHDの後藤克弘副社長は、会見冒頭に謝罪するとともに「被害に遭われたお客様の損失は100%補償する」と語った。そして、サービス廃止に至った三つの理由を説明した。

 「7payのチャージ機能など、抜本的な対応を完了するには相当な期間を要すること。その間、サービスを継続すると支払いだけしかできない不完全な形になる。7payに対して依然としてお客様が不安を持っているという三つから廃止を決定した」。

 後藤副社長は、被害状況と原因調査を進めるために7月5日に立ち上げた「セキュリティ対策プロジェクト」の総責任者である。7payは、7月4日にチャージ利用と新規会員登録が停止となり、既にチャージ未使用分で支払うことしかできないサービスになっている。事実上のサービス停止状態だった。
 
セブン&アイHDの後藤克弘副社長(中央)

 7月31日17時時点の被害者数が808人、被害総額が3861万5473万円に上る。7月中旬以降に新たな被害は確認されていないとするが、クレジットカード会社からの明細書が届いたタイミングや月末の銀行口座の引き落としの段階で初めて気づくなど、被害は新たに膨らむ可能性も残っている。

 顧客への対応については、クレジットカードやデビットカード、電子マネーのnanacoポイントから身に覚えのない不正チャージや不正利用に遭った顧客に対し全額補償を発表した。サービス終了時点の未使用チャージ残高も順次払い戻す。24時間・年中無休のお客様サポートセンター緊急ダイヤル(0120-192-044)も設置した。

 7月4日の会見では、7payのシステムの脆弱性をかたくなに認めない場面もあったが、今回は「認証そのものに脆弱性があった」と認めた。複数端末からログインできないようにする対策や、パスワードで本人確認する「2要素認証」など、いずれもセキュリティ対策で初歩的なことについての検討が不十分だったことを認めた。

機能しなかった「モニタリング」

 なぜ、2要素認証の導入が漏れたのか。セブン・ペイの奥田裕康取締役営業部長は、「入口の敷居が低くてもモニタリングで確認できるのではないかと考えて、(2要素認証を)見送った。これが適切ではなかったと、大いに反省している」と、モニタリングに頼っていた実態を明かした。

 だが、サービス開始翌日の7月2日に発生した不正アクセスはモニタリングによって発覚したわけではない。顧客から「身に覚えのない取引があった」との連絡を受けてから行った“モニタリング”調査で事態を把握した。つまり、モニタリング機能で未然に不正アクセスを防ぐことはできなかったわけだ。

 会見では、開発途中で仕様が変更になったことや、2019年7月開始のスケジュールがずらせなかったことも明らかになった。

 開発に着手したのは18年2月。最初は7pay単独アプリの一つの機能としてスタートしたが、途中で「単独アプリが一部順延した」(奥田営業部長)。6月にセブン-イレブンアプリがサービスインしたこともあり、オムニセブンや7iDなどグループで連携する狙いなどもあり、仕様が変更されたようだ。

スケジュールありきではなかったか

 それでも19年7月のサービス開始は、ずらすことができなかった。その理由について、「途中で仕様変更はあったが、開発体力の確保も含めて必要最低限の期間は確保できた」と奥田営業部長は答えるのがやっとだった。

 10月の増税に合わせて開始される店頭でのポイント還元施策の「キャッシュレス・消費者還元事業」に間に合わせる、という事情もあったのだろう。しかし、結果的に7payとして申請した消費者還元事業は、自ら辞退せざるを得なくなった。

 そうした過程で、最初はアプリを開くときとチャージ時に検討されていた2要素認証は「チャージする時だけでいいのではないか」「モニタリングだけでいいのではないか」となり、抜け落ちていったという。

 会見では消費者の利便性を向上するためであったことを強調したが、やはりスケジュールに縛られていた感はぬぐえない。実際に、会見では不正アクセスの損害の補償などに対応するための保険に入っていなかったことが明らかになり、「サービス開始後、(保険加入を)検討していたときに起きた事象だった」と奥田営業部長は語っている。開始時期ありきだったことを象徴する発言のようにもとれる。

 また、仕様変更になったときに組織横断でセキュリティなどのチェック体制を構築すべきだったが、セブン&アイHDの執行役員デジタル戦略推進本部デジタル戦略部の清水健シニアオフィサーは「アプリなどチーム単位では最適な開発をしていると思っていたが、最終的に横断して管理する体制が整っていなかった」と振り返る。

影響はグループ全体に波及

 7月30日には、7pay、オムニ7、セブン-イレブン、イトーヨーカドー、西武・そごう、ロフト、アカチャンホンポなどグループ各社のアプリなどで使われている7iDのパスワードを強制的にリセットした。事態は7payだけの問題でなく、グループ全体のユーザーまで及んだ。
 
セブン-イレブンアプリなど7iD全体のパスワードリセットまで影響が及んだ

 会見では7payとは違って、7iDのセキュリティには問題がないというが、もはや個々の機能が問題なのではなく、セブン銀行やクレジットカード事業、電子マネーnanacoのサービスなど、セブン&アイHD全体の金融やデジタル戦略そのものに消費者の疑いの目が向けられている。

 なお、7payは廃止となるが、運営会社のセブン・ペイは他社のスマホ決済サービスの窓口業務などで存続する。今後の自社ブランドでのスマホ決済の展開について、後藤副社長は「しっかりと体制を準備して参加できるかどうか検討してチャレンジしていきたいが時期は白紙」と答えるにとどめた。

 そして、「一度失った信頼を取り戻すのが大変なことは重々承知している。奇策はない」と語り、地道な活動を通じてしか取り戻せないことを認識する。

 2001年にセブン銀行のATMサービスやクレジットカード事業、07年にnanacoをスタートさせるなど小売業の中でも金融事業や決済のデジタル化に早くから取り組んできたセブン&アイHDだが、失った信用を回復するまでの道のりは険しい。(BCN・細田 立圭志)