世間を賑わせている 7payの問題について、思うところを書いてみました。
多少感情的な部分もあるかもしれませんが一個人の意見ということでご容赦ください。
- 誰がどう見てもダメなシステムがリリースされたという事実
- 記者会見から透けて見える責任感の欠如
- 技術的なことをわかっている人間が会見に出ていない
- 安全性の確保に努めており非は無いという態度
- ユーザーの利便性を強調し決済サービスを停止しない
- 最後に
誰がどう見てもダメなシステムがリリースされたという事実
7/1からサービス開始したモバイル決済サービスの7payですが、サービス開始直後から 不正利用の報告が相次いでおり、7/4にはチャージ及び新規登録が一時停止となりました。こういった決済サービスであれば、ほぼ必須と思われる多要素認証が実装されていないことや、パスワードの再発行が悪意ある第三者によって簡単に行われてしまう可能性があるような設計であることなど様々な問題が明らかになっています。
今回の件、問題点が多すぎるのですが、一番まずいのは「世に出してはいけないとわかっているのにそれを世に出した」こと。セブンペイ(もしくはセブン&アイグループ)がそれを許してしまう意思決定プロセスしか持っていなかったことだと思います。
記者会見から透けて見える責任感の欠如
7/4に緊急記者会見を開きましたが、正直残念な内容だったと言わざるを得ないと思います。以下、会見について私が特に気になった点です。
・技術的なことをわかっている人間が会見に出ていない
・安全性の確保に努めており非は無いという態度
・利便性を強調し決済サービスを停止しない
技術的なことをわかっている人間が会見に出ていない
会見の質疑応答に関してTwitter等で小林強社長が『二段階認証』を理解していなかったのではないかといった指摘が上がっています。モバイル決済サービスを展開する会社の社長職にある人であればその程度は知っていて欲しいとは思いますが、例えば、社長職は企業の運営に長けた人間が就き、技術担当の役員が製品の技術面を統括し責任を持ち、社長をサポートするといった組織もあるでしょうから、そこ自体は残念ではあるが声を大にして非難するようなことでも無いと思います。問題なのは技術的な質問へ回答できる人間は会見に出席せず『組織として技術的な質問への回答を放棄し逃げる選択をした』ことなのではないでしょうか?
安全性の確保に努めており非は無いという態度
会見での質疑応答全体を通して、セブンペイは次のようなスタンスなのではないかと私は感じました。『セブンペイは必要な安全対策を講じてきたが、悪意ある第三者によってサービスが侵害された。我々も被害者だ。』
これは大きな間違いだと思います。『セブンぺイの過失による安全対策の不備があり、安全対策の不備によって不正利用され、利用者が被害にあっている』のが事実ではないでしょうか?
タイトルにも書きましたが、私は『セブンペイは被害者ではない』と思っています。
ユーザーの利便性を強調し決済サービスを停止しない
チャージや新規登録は一時停止となりましたが、『ユーザーの利便性』を強調し決済サービスの停止は行いませんでした。これからセキュリティの診断・調査を行うと発表する一方で、決済サービスを停止しないということは、『チャージ済みのアカウントが不正利用されるリスクを放置する』ということに他なりません。
チャージ済みのセブンペイが利用できないことで困るユーザーが出てくることも事実だと思います。しかし、安全対策が十分ではない状態で、不正利用のリスクを放置することはユーザーのための判断とは到底思えません。『セブンペイとしては決済サービス停止による不利益を被りたくない』というのが本音なのではないでしょうか? 7iDやその他の連携するサービスとの兼ね合いで停止できないという事情もあるのかもしれません。
最後に
キャッシュレス決済が普及し、効率化が図られることはとても良いと思います。しかし、ユーザーは置いてけぼりで自社サービスへロックインするための〇〇PAYが乱立している状況は好ましくないと思います。また、IC決済が普及しつつある日本で、QR決済へ他社追従で流れていく状況にも違和感を感じます。(QR決済のメリットもあり、場面によっては活用することもあって良いとは思います。)辛辣な記事を書きましたが、事態の収束へ向けてセブンペイにはぜひ真摯な対応をしていただきたいと思います。また被害にあわれた方への補償が滞りなく実行されることを切に願います。
