コンビニ最大手「セブン-イレブン」のスマホ決済「7pay(セブンペイ)」で、不正アクセス被害が発生した。一部のアカウントが第三者にIDを乗っ取られて、クレジットカードから不正にチャージされ、買い物に使われるといったケースが多数報告されているという。7月4日午前6時時点の試算で、被害者は約900人、被害額は約5500万円に上ると言われ、キャッシュレス化が進む世の中に、大きな衝撃を与えた。
7月1日のリリース直後に大事故を起こしてしまったセブンペイ。ネット上に「セキュリティのずさんさに愕然とする」「開始早々こんなことになって、もう誰も使わないでしょ」といった批判が噴出する中、セブン&アイ・ホールディングスが4日に開いた緊急会見では、清水健執行役員が「あらゆるサービスについて、事前にセキュリティ審査をやっている。セブンペイもきちんと確認したが、脆弱性はなかった」と強調したことで、ますます世間の人々を呆れさせることに。
さらに、セブンペイは、登録時に二段階認証(利用者認証を2回に分けて行う手法)を採用しておらず、マスコミからは「それがセキュリティの甘さにつながったのではないか」といった質問も出たが、株式会社セブン・ペイの小林強社長が「二段階認証……?」と言葉を詰まらせ、曖昧な回答にとどめたことも問題視されている。「決算サービスを扱っているのに、なぜ社長が二段階認証を知らないの?」「事故が起きたのは必然だったと思わざるを得ない」などの厳しい意見が出るのも当然なのかもしれない。
そんな中、警視庁新宿署は4日、他人のセブンペイアカウントを不正に使用し、20万円分の電子タバコを購入しようとしたとして、詐欺未遂容疑で中国籍の男2人を逮捕した。不正アクセス行為を取り締まる、不正アクセス禁止法違反の容疑にも当てはまりそうだが、弁護士法人ALG&Associatesの山岸純弁護士は、詐欺未遂容疑での逮捕となった理由を、次のように解説する。
「はい。確かに、不正アクセス罪(不正アクセス禁止法)も、電子計算機使用詐欺(未遂)罪(刑法246条の2) もどちらも成立することでしょう。今回、詐欺未遂容疑で逮捕したのは、法定刑が重いからではないでしょうか。詐欺(未遂)罪は10年以下の懲役、これに対し不正アクセス罪は3年以下の懲役等となります」
今回の事件には国際的な犯罪グループが関与した疑いがあるとみられており、早期の全容解明が求められるが、先述の通り、世間ではセブン&アイの責任を問う声も高まっている。同社は、「全ての被害に対して補償を行う」としているものの、山岸氏は「セブン&アイには法律上の補償義務はありません」と説明する。
「『補償』に関しては、条理に基づき、企業としての態度を示したということでしょう。ただし、ここで注目すべきは、“条理によるもの”なので、誰にいくら補償するかは“セブン&アイ次第”なのです」
例えば、「不正チャージされ、かつ不正使用された分」と「自らチャージし、不正使用された分」はどちらも補償対象となるのかなどは、いまのところ不透明。ネット上には「セブン&アイ側が難癖をつけて補償をうやむやにしないことを祈る」などの声も散見される。
なお、セブン&アイが被害額の約5500万円を取り戻すためには、「不正アクセスの“親玉”がいるとして、その“親玉”を被告とし、民事事件での損害賠償請求訴訟を提起、判決を得る必要があります」といい、「『刑事』事件と『民事』事件は異なるものであり、犯人が逮捕され有罪になることと、損害金を取り戻すことは別の手続です」と補足する。
山岸氏は、「セブン&アイが被害者であることは間違いなく、セブンペイのシステムが実際に脆弱かどうかもわかりませんが……」と前置きした上で、コンビニ各社が“独自の決済システム”に注力しているのは、「要するに、他社のシステムを利用して決済すると、システム利用料として売り上げから手数料を支払わなければならないからなのでは」と考察する。
「そう考えると、自社都合を優先し、急いでシステムを構築した結果、脆弱性のテストも不十分だったのでは……と世間に思われても仕方ないと思います。また、消費者目線で考えると、コンビニごとに決済システムを構築し、消費者に、いちいち対応アプリの立ち上げを求め、決済させるのではなく、各社共通して一つのシステムを構築してもらいたいものです」
果たして、セブンペイ不正アクセス事件は、今後一気に拡大すると予想されるキャッシュレス決済に、どのような影響を及ぼすのだろうか。
ジャニーズ事務所のジャニー喜多川社長の緊急搬送を受けて業界内がにわかに騒がしくなっている。