セブンイレブンというと、最近はそのブラック企業性がいろいろ取沙汰されていますが、それ自体は本社と加盟店オーナーの間の問題であり、一般消費者は義憤を感じたとしても、どこかよそ事というイメージがあったと思います。ところが、7月上旬に明らかになったセブンペイ問題は、消費者に直接的な被害が出ており、深刻なセキュリティ問題として人々を不安にさせています。

セブンペイ問題の概要

発表された時点で、不正利用によって推定900人の顧客が被害を受け、被害総額は5500万円に達すると見られています。セブン・ペイの小林強社長は、7月4日の記者会見ですべての被害に対して補償すると発表しましたが、不正利用による被害発覚から利用停止までに2日間を要した事実は、セブン・ペイ社のセキュリティ対策への姿勢の甘さが問われるものと言わざるを得ません。

さらに、支払いが絡む個人情報の保護が重要なサービスに、二段階認証が採用されておらず、そのことを問題視する感覚がなかったと聞かされると、もう開いた口が塞がりません（のちに方針転換したようですが）。もし、被害者が欧州連合の居住民であれば、データが「適切な技術的または組織的措置を用いて、不正または不法な処理から保護し、偶発的な紛失、破壊または損傷が生じないように保護するなど、個人データのセキュリティを適切に保証する方法で」処理される必要があると規定されたGDPRのデータ保護の第六原則に違反することになり、制裁金を科される可能性があります。キャッシュレス決済の業界団体が策定した統一ガイドラインでも、「不正利用等を防止するためにコード決済を利用できる者を本人に限定するとともに、決済を行おうとする者が当該決済を行う権限がある者であることを担保するために、本人認証を行うことが重要」だと強調されています。

セブンペイの不正アクセスで入手した情報を使って電子たばこを購入しようとした容疑で逮捕者も出ており、国際的犯罪組織の関与が疑われています。朝日新聞デジタルによると、経済産業省は、セブンペイのセキュリティ対策が不十分だったとして、セブン・ペイ社とセブン＆アイ・ホールディングズ社に対して、原因究明の徹底と被害の拡大防止、再発防止策の策定を求めました。

セキュリティ軽視のコスト

セブンイレブンは、今回のデータ侵害事件で、被害総額5500万円への補償に加えて、大掛かりな調査と対策のために多大な人員を投入せざるを得ず、莫大な金銭的コストが発生します。セキュリティ軽視が露見したことによる真のコスト、セキュリティの甘さをつかれた形で消費者に被害が及んだことによる信用の失墜というコストは、計り知れません。キャッシュレス決済の後発として、満を持しての登場だったはずなのに、開始直後のつまづきがどこまで響くのか、誰にも予測できないでしょう。

重要な教訓: セキュリティは最優先事項

セブンペイ問題は様々なメディアが取り上げ、セキュリティに知見のある人達は異口同音に同社のセキュリティ意識の欠如を指摘しています。脱力するような「ゆるさ」に言葉も見つかりません。今更ながら、セキュリティは最優先事項との教訓をかみしめるのみです。

もし同じように感じたなら、今一度会社のセキュリティ対策をチェックしてみてください。多要素認証、セキュアなフォルダ共有、転送中・保管中のデータ 暗号化、集中管理されたアクセスコントロールなど、企業システムがセキュリティ保護のために保有すべき重要な機能はたくさんあります。