なぜセブンペイ(7Pay)は失敗したのか

こんにちは、エナ・ユウ(@energybuzz111)です。

今回は、2019年に起こったセブンペイの騒動についてまとめたいと思います。

せっかくあのセブンがバーコード決済を導入したという事で期待していただけに少し悲しいですね。

では、なぜセブンペイがサービス終了せざるを得なくなったか。

リリースから終了までの経緯をたどりつつ、解説しようと思います。

セブンペイの経緯

セブンペイの経緯を時系列にそってまとめます。

2019年
  • 7月1日 セブンペイサービス開始
  • 7月2日 早くも不正利用が発覚
  • 7月3日 クレジットカードのチャージ機能を停止
  • 7月4日 現金チャージ&新規登録停止
  • 7月4日 セブンペイ社長、会見を開くも知識の無さを露呈して終わる
  • 7月30日 利用者に7IDの強制リセットするもトラブル
  • 8月1日 サービス終了を宣言
  • 9月30日 セブンペイサービス終了

見て分かる通り開始から終了宣言までの期間たったの1ヶ月です。

そして被害者数は約800人、被害総額は約3860万円となっており、しかもセブンペイの開発費用は142億円らしい。

失敗の要因

セキュリティの低さ

さて今回のセブンペイ騒動が起こった原因ですがまず挙げられるのはセキュリティの低さ

まずセブンペイは元々クーポンの使用やマイルを貯めるために作られたアプリケーションであって

そもそも決済を行う用に作られたアプリケーションではありませんでした。

細部まで詳しいことは分かりませんが、決済をする上で必要なセキュリティが措置されていなかった可能性が高いと思います。

「オムニ7」とはセブン&アイグループが提供する通販サービスだが、これを利用するには7IDが必要となり、今回はそれが狙われた。

具体的に説明すると、「オムニ7」のパスワードリセット画面で簡単に7IDの乗っ取りが可能なシステムだったこと。

当時のパスワードリセット画面では、生年月日、7ID(メールアドレス)、画像認証、送付メールアドレスの4つが入力する項目だったが

7IDと送付メールアドレスが別のアドレスでもパスワードリセットが行えるシステムになっていたので

不正利用者は、生年月日と7ID(メールアドレス)さえ知ってしまえば送付メールアドレスを自分にしてパスワードリセットのメールが届きそのまま乗っ取りという流れができてしまった。

現在は修正されているが、やはり本人確認のシステムが貧弱であることが分かりますね。

対応の仕方が悪かった

さて今回、セブンペイ側の対応は大きく分けて3つ

  1. 不正利用発覚後、チャージ機能を停止
  2. 謝罪会見
  3. 7iDの強制リセット

セブンペイサービス開始から不正利用が発覚し、チャージ機能&新規登録を停止

ここまでの対応は3日間で行い早い段階での処置で対応は良かったと思います。

しかし謝罪会見そして7iDの強制リセット、これに至っては対応の仕方が悪かったとしか言えません。

まず、謝罪会見で社長自ら「2段階認証を知らない宣言」これで確実にセブンペイに対する世間の印象は悪くなった。

SNSなどでは「2段階認証」がトレンド入りするなど反響も大きかったです。

そしてあまり話題にはなっていませんが7月30日に利用者全員に7iDのパスワードを強制リセットを行いました。

これはパスワード設定条件を変更し更にセキュリティ強化を目的とするものだったが結果は完全に裏目に出てしまった。

ユーザーが再設定方法を間違えて、残高/クーポン/バッジなどデータも全てリセットされる報告が相次いでしまいました。

これは再設定の方法をユーザーが間違えたのが原因でデータが消えてわけではありませんが

不正利用で対応が大変な最中に起きたトラブル、信頼問題の低下、そして現場の対応などが間に合わなくなり終了に至った事は想像できますね。

なぜセブンペイができたか

そもそも、なぜセブンペイはできたのか?

これは個人的な意見になりますが、理由は2つあると思います。

1つはキャッシュレスの流れに乗るため。そしてもう1つ、社決済サービスを利用してもらう事で更に多くの顧客情報を取るためだと思います。

セブンだけではありませんが企業は、顧客の購買データが取れると次の商品開発や戦略が立てやすくなるメリットがあります。

それにはキャッシュレス化が不可欠な存在なのです。

企業側→購買データが取れ新商品などの開発にデータを活かせる。
消費者→クーポン割引などが利用でき決済もスムーズに行える。

これがキャッシュレス化の企業側と消費者側との関係性なのですが

今まではポイントカードなどが主な事例で、消費者にポイントや割引券をあげて購買データを取る流れでした。しかし時代は進み自社の決済サービスを導入することでより深いデータが取れるわけです。

しかしこういったキャッシュレス決済は常に不正利用やデータ抜き取りなどの危険と隣り合わせという事を企業も消費者も忘れてはなりません。

今後は企業は決済に関わることは、常に万全のセキュリティ状態を保つ必要があり

消費者側も、他人事と思わず自身のパスワード管理などの当事者意識が重要です。

また今回のように不正利用が発覚するかもしれないので、心配な人は新しいサービスが出たら少し様子を見て大丈夫そうなら利用するといった対策もあります。

まとめ

さて、色々書いてきたが今回の騒動を簡単にまとめると以下の通りです。

  1. 張り切って自社決済サービスを出したが、1日で不正利用発覚
  2. 謝罪会見で社長が知識の無さを露呈
  3. パスワード強制リセットで改善どころか状況悪化
  4. 対応が間に合わず終了宣言

以上、ここまで読んで下さりありがとうございました。