(写真はイメージ。写真提供:Photo AC)

写真拡大 (全3枚)

近年、さまざまな企業や団体で<不祥事>が発覚する事案が相次いでいます。しかし「その陰では、真面目に業務に取り組んでいた人が不正や不法行為の“犯人”として糾弾されるケースが少なくない」と指摘するのは、プリンシプル・コンサルティング・グループ代表取締役でコンプライアンス問題のプロである秋山進さんです。そこで今回は、秋山さんの著書『企業不祥事の真相 「普通の人」を悪者に仕立てる歪んだ構造』より一部引用、再編集してお届けします。

勤続30年の教員、飲酒運転で退職金1720万円が不支給に…「処分が重すぎる」との訴えに出した<最高裁の結論>とは

* * * * * * *

セブンペイ問題――二段階認証を知らなかった社長

セブンペイ問題は、2019年7月にセブン&アイ・ホールディングスのグループ会社セブン・ペイが開始したバーコード決済サービス「セブンペイ(7pay)」で、開始直後から不正利用が多発し、わずか3カ月後にサービス終了へ追い込まれた事件である。キャッシュレス決済サービスが各社から次々に登場するなか、大手コンビニを擁するグループ企業が参入したことで注目度は高かったのだが、脆弱なセキュリティ設計のため、多数の利用者が被害に遭う結果となった。

ITセキュリティの概念を理解していなかったトップ

最大の論点は、二段階認証をはじめとする多要素認証を導入していなかったことにある。他社では常識であった追加認証がセブンペイにはなく、しかもパスワードの再設定プロセスが生年月日や電話番号程度の個人情報だけで可能になっていた。これにより第三者が簡単にアカウントを乗っ取り、不正に決済を行うことが可能な設計になってしまっていたのである。

法的には、不正アクセスそのものは攻撃者側の犯罪行為であって、セブン・ペイは被害者だが、サービスを提供するセブン・ペイ自身がセキュリティ対策義務を十分に果たしていなかったことが大きく批判されることになった。

致命的だった一言

なかでも致命的だったのは、同社のB社長自身が対応した囲みの記者会見(2019年7月4日)でのやりとりである。

記者:他のサービスでは二段階認証が導入されている例がほとんどだが、セブンペイで導入されていなかったのはなぜか?


『企業不祥事の真相 「普通の人」を悪者に仕立てる歪んだ構造』(著:秋山進/日経BP 日本経済新聞出版)

B社長:二段階認証……?

この一言により、B社長が基本的なITセキュリティの概念を理解していないことが露呈し、メディアやSNSで大きく取り沙汰された。事実、利用者の不安は急速に高まり、セブンペイは短期間で廃止に追い込まれた。

社長個人の資質だけの問題ではなく……

この発言は、単にトップ個人の知識不足を示すにとどまらず、会社として事業リスクを事前に検証していなかったことをも明らかにする。


(写真はイメージ。写真提供:Photo AC)

「後発のセブンペイが、他社サービスで一般的に導入されている二段階認証をなぜ省いたのか」

「その判断にリスクはないのか」

――こうした論点は、本来であれば経営会議や取締役会で十分に議論され、最終意思決定の時点で経営トップも把握しているべきである。

もしそうした説明や議論が適切に行われていたなら、「二段階認証……?」という反応は生じないはずだ。つまり、これはB社長個人の資質だけの問題ではなく、取締役会を含む会社全体の統治不全――すなわち取締役の善管注意義務の問題なのである。

スピード重視の意思決定がもたらしたほころび

ちなみにB社長の経歴をみると、1981年に日本長期信用銀行(当時)に入社後、2004年からセブン―イレブン・ジャパンに入り企画部門などを歴任したのち、2018年6月にセブン・ペイ社長に就任している。金融や財務のプロであることは間違いないが、個人向けキャッシュレス決済システムの運用やセキュリティ実務については経験が限られていたとみられる。

セブンペイの立ち上げでは、セキュリティ面の十分な検証よりもスピード参入が優先され、経営陣がリスクを十分に把握しきれなかったことが、不正利用を招いた大きな要因となった。キャッシュレス決済は金銭が直接絡むだけに、万全のセキュリティがなければ利用者被害や企業ブランドの失墜は必至である。それにもかかわらず、リリースを急ぎ、専門知識を持つ人材の十分な活用がなされなかったことが悲劇を招いた。

結果として、セブン&アイ・ホールディングスは多額の補償や事後対応に追われ、大きなブランド毀損を被った。QRコード決済市場はスピードが競争力のカギとされるが、セブンペイは拙速な投入とリスク評価不足の代償を高く支払う事例となった。この失敗は、経験領域の異なるトップと、急ぎの市場投入を決断した意思決定が重なったことで生じたといえる。

※本稿は、『企業不祥事の真相 「普通の人」を悪者に仕立てる歪んだ構造』(日経BP 日本経済新聞出版)の一部を再編集したものです。