セブンペイ不正利用問題に透けるセブン&アイ「ポスト鈴木」体制の脆弱性 - 大関暁夫

写真拡大

※この記事は2019年07月27日にBLOGOSで公開されたものです

サービス開始直後に不正利用が発覚したキャッシュレス決済セブンペイを巡って、そのずさんなセキュリティ実態が大きな波紋を呼んでいます。

セブンペイはセブン&アイ・ホールディングスが7月1日に取り扱いを開始したサービスで、翌2日には利用者からの問い合わせが相次ぎ調査の結果3日に不正利用が発覚したものです。

被害者は、判明しているだけで約900人。被害総額は同5,500万円にのぼっています。その手口は、第三者が利用者のパスワードを変更してIDを乗っ取り、登録のクレジットカードなどで資金チャージの上タバコなどの商品を購入し換金したとみられています。

強固なセキュリティはキャッシュレス・ビジネスの生命線

今回の事件の原因として、報道等で指摘されているのはセブンペイのセキュリティ脆弱性の問題です。スマホ決済では常識となっている「2段階認証」と呼ばれる手法が、セブンペイでは施されていなかったという指摘がされています。

「2段階認証」とは、初期登録時や暗証変更時などにスマホアドレスや登録電話番号に登録暗証とは別に送られる認証コードを入力することで本人を特定するやり方で、現在では決済に直結するサービスでは必須とされるセキュリティレベルと言えるものです。

セブンペイは「2段階認証」がなかったために、プロからみればなりすまし暗証変更が容易だったわけで、サービス開始と同時にハッカー集団から格好のターゲットにされたようです。ではなぜ、セブンペイは「2段階認証」がなされなかったのか。

これに関する報道では、他のQR・スマホ決済陣営に対しこの領域で後れをとったセブン&アイが一気のキャッチアップを狙って、昨年6月にリニューアル・スタートし約1200万IDを保有する「セブン-イレブンアプリ」に紐づける形で安易な商品設計をしたことにある、としています。

現金を伴わないバーチャル取引であるキャッシュレス・ビジネスにとって、セキュリティの強固さはビジネスモデル構築上の生命線と言っても過言ではありません。その意味からセブン&アイにとって今回の事件は、今後同社がキャッシュレス・ビジネスを進める上において致命的な痛手を負ったと言っていいでしょう。

顧客本位を忘れライバル社に追いつこうと焦ったがゆえに起きた事故

その痛手の大きさは、同じくシステム構築を甘くみたがゆえに大きな痛手を被った銀行界の事例をみればよく分かります。

2000年前後に相次いで3メガグループに統合された大手銀行は、システム統合における問題の有無で決定的な優劣イメージが出来上がってしまいました。旧東京三菱銀行が主導したMUFG、旧住友銀行が主導したSMBCが、統合をスムーズに終わらせることができたのに対して、3行合併を協調路線で対応したみずほFGはその協調がアダとなって、大きなシステム障害を引き起こし業務改善命令まで受けることに。

オンラインサービス休止を繰り返しながら、安定的統合システム構築に苦慮していました。結果は、コスト面でもブランドイメージ面でも大きな損失を被ることになり、みずほFGは資金量では国内最大を誇りながら、他の2メガグループから明らかな周回遅れ状態となってしまったのです。

ここで重要なことは、消費者を相手にする企業のサービス開発がどこを向いているのか、という視点です。みずほ銀行の例は非常に分かりやすいのですが、三社協調という方針に顧客本位という利用者視点は皆無であり、利用者視点から対応したものであったなら仮に失敗したとしても今ほど大きな批判やイメージダウンにはつながらなかっただろうと思われます。

セブンペイの場合も全く同様です。今回の不備が先行他陣営にキャッチアップしたいという、顧客本位でない自己都合的理由から生じたものであるがゆえに、セブン&アイ・グループとしてのイメージダウンは計り知れず大きいといえるのです。

歴史的なお上重視&顧客軽視の銀行文化ならともかく、流通の雄たるセブン&アイのこれまでの発展は顧客本位の姿勢に支えられたものではなかったのでしょうか。その姿勢を作り上げ徹底してきたのが、日本で初めてコンビニエンスストアを立ち上げ、我々の生活に欠かせない存在に押し上げた鈴木敏文元セブン&アイ・ホールディングスCEOでした。

鈴木氏の理念を象徴しグループの発展を支えてきた言葉に、「ライバルは同業他社ではない。顧客ニーズこそが最大のライバル」というものがあります。この理念があってこそ、セブン-イレブンはライバルを寄せ付けることなく、確固たるナンバーワンの地位を築いてきたわけなのです。コンビニエンスストア創業時も、2001年のコンビニバンク設立も、周囲の大反対をよそに成功に導けた理由は、顧客ニーズに寄り添う姿勢あればこそなのです。

今回のセブンペイの事故は、同業他社を最大のライバルとみてキャッチアップを急ぎ、キャッシュレスに対する安全性確保という最も大切な顧客ニーズを軽視した結果であるわけで、もし鈴木氏がいたならばこんな事態に陥ることはなかったに違いない。そんな見方をしてしまいたくなるほどに、現セブン&アイ・グループ経営陣の経営姿勢そのものに関わる問題なのではないか、と思えるのです。

セブン&アイ「企業スピリッツ」の薄れが浮き彫りに

考えてみれば、セブン-イレブンの営業時間短縮を求めるコンビニオーナーの一件にしても、鈴木氏が退任したあとに急激に表面化し監督官庁も巻き込んで社会問題化するに至っています。鈴木氏退任後のセブン&アイに一体何が起きているのか。

3年前の春、鈴木氏が退任の引導を渡した井阪隆一セブン-イレブン社長が、創業家を味方に付け自らの人事に異議を唱えたことから、一転鈴木氏の予期せぬ退任に発展したのでした。ここで思うのは、7年社長を務め業績的には問題のなかった井阪氏に対して、数々の先見の明を発揮してきた慧眼の持ち主である鈴木氏がそもそもなぜ退任を迫ったのか、です。

そこには恐らく明確な理由があったはずです。それが「顧客ニーズこそが最大のライバル」という長年のポリシーに照らしてのものではなかったのか。鈴木氏がいたなら起きていなかったであろうと感じる今回の一件をみるに、私はそう確信しています。

セブンペイが引き起こした今回の問題の焦点は、世間で言うようにセキュリティ面での脆弱性という問題がキャッシュレス・ビジネスの行く末に暗い影を落としたということがひとつ。

個人的にはさらにもうひとつ、セブン&アイ・グループのマネジメントにおいて、グループ業績を常に牽引してきた顧客重視の企業スピリッツが薄れているという経営上の脆弱性が浮き彫りになったという点に、より大きな驚きと危惧を持って受け止めています。

同社グループの経営の根幹に「顧客ニーズこそが最大のライバル」という理念を軸に据え直す原点回帰こそが、実はコンビニ24時間運営問題も含めた苦境からの復権のカギを握っているのではないかと感じる次第です。