セブンペイ不正利用 安全対策に経産省も憤り 社長は「2段階認証」知らなかった?

 【経済インサイド】

 セブン&アイ・ホールディングスのスマートフォン決済アプリ「7pay(セブンペイ)」の不正利用問題で、同社の安全対策の甘さに疑問の声が広がっている。そもそも、トップが安全対策の基本ともいえる携帯電話やスマホのショートメッセージでパスワードを送り本人確認する「2段階認証」を十分に知らなかったとの疑惑も浮上。不十分なセキュリティー対策に被害者だけでなく、キャッシュレス決済を推進する経済産業省も憤っている。

謝罪会見でのやりとり

 「2段階認証…?」。

 7月4日午後、都内で開かれた不正利用についての謝罪会見。2段階認証を導入していなかった理由を記者に問われたセブンペイ運営会社であるセブン・ペイ(東京都千代田区)の小林強社長は、首をかしげながらこうつぶやいた。

 2段階認証とは、利用者がスマホにIDやパスワードを入力した後、事業者側が登録されたスマホ宛てにショートメッセージを使って1回きりのパスワードを送るなどで、本人であることを確認。“なりすまし”を防止する仕組みだ。セブンペイと同じく1日にサービスを開始したライバルであるファミリーマートの「ファミペイ」はこの認証を導入している。

 こうした仕組みについて記者から説明を受けた小林社長は、セブンペイは既存のセブン-イレブンのアプリと連携していることを説明した上で、「2段階うんぬんと同じ土俵で比べられるのか、私自身は認識していない」と答えるのがやっとだった。

 小林社長が2段階認証について十分に認識していたかどうかは定かではない。しかし、記者会見でのこのやり取りについて、ネット上では「社長が2段階認証を知らないなんて」といった批判が相次いだ。

経産省は厳しい対応

 セブンペイへの批判は経産省内でも広がった。

 「基本中の基本である2段階認証を含めた対策が、セブンペイで十分に行われていなかったことは大変、残念だ」。

 世耕弘成経産相は9日の記者会見でこう強調した。その上で、「今回の事例は基本的な対策を怠っていたことが原点にある」とも述べ、セブンペイに苦言を呈した。

 セブン&アイ・ホールディングスの発表によれば、セブンペイで第三者の不正なアクセスにより、利用者約900人で計約5500万円の被害が発生した可能性があるという。アプリ登録は150万件に上り、被害が拡大する恐れもあるため、全てのチャージ(入金)や新規登録を一時停止した。これに関連し、警視庁新宿署は4日、詐欺未遂容疑で中国籍の男2人を逮捕した。

 セブン店舗では換金性の高いたばこなどの大量購入が確認されている。不正アクセスは中国など海外から行われたとみられる。

 事件を受け、セブン&アイ・ホールディングスは5日、セキュリティー対策強化のため、2段階認証の導入やチャージ上限額を見直すと発表した。

 経産省は今回のセブンペイの件を受け、他の決済事業者に不正防止のためのチェックリストやガイドラインを守っているかどうかを確認する「誓約書」の提出を求めた。

 セキュリティー対策が守られていない場合、経産省は10月の消費税増税時のポイント還元事業者の登録から外す考えで、さらに「補助金は返還してもらう」(世耕氏)などと厳しい対応を取る方針だ。

 8日付で交付したチェックリストには、「本人認証プロセスを導入しています」、「利用者のモバイル端末とコード決済アプリのひも付けをしています」といったチェック項目が30前後ならんでいる。

 一方、ガイドラインは産官学でつくる「キャッシュレス推進協議会」が4月までに策定した。利用者の持つ端末と決済アプリを関連付けて本人認証の管理を行うことなどを求めている。 こうしたチェックリストやガイドラインが守られているかを、経産省は誓約書で確認していく考えだ。

揺らぐ信頼性

 ただ、政府が推進するキャッシュレス決済の切り札になると思われたスマホ決済全体の信頼性が、コンビニ最大手で使われるセブンペイの不正利用で大きく揺らいだのは間違いない。

 経産省によれば、平成27(2015)年の日本のキャッシュレス決済の比率は18%程度にとどまる。これに対し韓国は89%、中国60%、米国45%と、軒並み日本を大きく上回っている。日本政府は、令和7(2025)年までにキャッシュレス比率を40%に引き上げる目標を掲げているが、安全性という前提が崩れれば、この目標が画餅に終わりかねない。(経済本部 大柳聡庸)

アクセスランキング

もっと見る

ピックアップ