「セキュリティー開発に時間」　セブンペイ終了で会見

セブン&アイ・ホールディングス（HD）は1日、スマートフォン決済サービス「セブンペイ」を9月末で終了すると発表した。同日都内で開いた会見で、セブン&アイHDの後藤克弘副社長は「2段階認証の検討が不十分だった」と語った。会見には後藤副社長ら4人が出席した。主なやりとりは以下の通り。

――セブンンペイのサービス開始1カ月で廃止が決定した。なぜか。

「セブンペイ自体は（現在）チャージも新規登録もできない。（残高の）使用のみの状態にある。新たにセキュリティーを開発し見直すと時間がかかる。廃止はやむなしという判断に至った」

――今回の不正利用の手口について、どこまで把握しているのか。

「攻撃者が不正に入手したリストを持ち出し、利用者になりすました『リスト型アカウントハッキング』の可能性が高い」

――なぜ防げなかったのか。

「2段階認証や追加認証の検討が十分でなく、リスト型への防衛力が弱かった。グループ各社が参加していた開発体制だったため、システムの最適化が十分に検証できなかったのも原因の1つだ」

――7月30日にグループ共通ID「7iD」のパスワードをリセットした狙いは。

「（パスワードリセット）で仮にIDやパスワードの不正があっても、リスクを極小化できると考えた。セブンIDにひも付いたサービスを安心して使ってもらうためにリセットした。今回のセブンペイのサービス廃止とは別だ」

――既に電子マネーの「nanaco（ナナコ）」が広く使われていたのに、セブンペイを開発した理由は。

「ナナコは実物のカードだが、どう進化させていくかは経営課題として議論している。それとは別にQRコードによるスマホ決済の開発も両にらみで進めていた」

――経営責任についてどう考えるか。

「経営責任については認識している。原因追究と再発防止が経営責任の取り方だ。これからますますデジタルの世界が発展する中で、セキュリティーと経営は切り離せない問題。セキュリティーレベルを上げるのが責任の取り方だ。（責任者としての後藤副社長の）辞任は現状では考えていない」