キャッシュレス決済の終焉か…ようやく見えた7pay騒動の「深層」

なぜバーコード決済は乱立したのか
星 暁雄 プロフィール

サービスを止められない経営陣

一方、セブン&アイHD側の対応はどうだったか。7月1日に7payのサービスを開始。7月2日に不正利用への問い合わせが発生。7月3日には不正利用を認識し、海外からのアクセスを遮断、クレジットカードおよびデビットカードからの新規チャージ(入金)を一時停止した。

7月4日には不正利用に関する記者会見を開いたが、会見に出席した経営陣らは「自分たちは不正利用との被害者」の意識からか原因を追及する記者陣とのすれ違いが目立った。同日午後、カード以外も含めてすべてのチャージを一時停止。続いて同日の夕方18:05付けで「サービスの新規登録を一時停止」を発表した。

7月4日に開かれたセブン&アイHDの記者会見/撮影:鈴木淳也

7月5日には経済産業省がセブン&アイHDに対して原因究明や再発防止策の策定を要請。同日、セブン&アイHDは「対応策の例(二段階認証の導入など)と、セキュリティ対策プロジェクトの立ち上げ」を発表した。7月8日には金融庁が報告徴求命令を出した。7月11日夕方には、外部サービス5種類からの同社のアプリ、サービスへのログインを一時停止した。この対象は7payだけでなく、7payと連携する「セブン-イレブンアプリ」を含む同社グループの各スマートフォンアプリと、前出の「オムニ7」である。

この初動を見ると大きな疑問がある。サービスをなるべく止めず、なるべく対策を小出しにしているように見えてしまう。早期に原因を究明し、被害の拡大を防ぐための行動には見えない。7payのチャージ停止、新規登録停止は7月4日。外部サービスからのログイン停止は7月11日。そして7payと連携する「オムニ7」は記事執筆中の今も動き続けている。

セブン&アイHDはどうするべきだったのか──現時点で言えることがひとつある。システム開発や運用の現場に対して無理なスケジュールを命令するだけでなく、現場の悪いニュースが経営陣に迅速に届き、経営判断を下し、必要ならば自らが経営責任を負い、開発プロジェクトを見直し、あるいはサービスにストップをかけられる体制が必要だったのではないか

 

有名な過去の事例を挙げておきたい。みずほ銀行が2011年に引き起こしたシステム障害では、障害発生の初期段階でサービス停止の判断を迅速に下せなかったことが被害の拡大を招いた。ドキュメント『システム障害はなぜ二度起きたか』(日経BP社刊)では、この経緯を詳細に描き出している。

システムの問題を迅速に把握し、必要と判断すれば業務の中心となるサービスであろうとストップをかけられること──経済活動のデジタル化が進み、サイバー犯罪が日常化して激化しつつある現在、これはあらゆる企業に求められる能力となっている。