8月1日「セブンペイ廃止」記者会見に物申す
日本列島が東北まで梅雨明けして、
勢ぞろいして8月に入った。
梅雨が長かった分、
今年は短い夏の本番だ。
日本人が全員、
蝉になった気分で夏を過ごす。
風流は苦しきものぞ蝉の声
〈正岡子規〉
8月は児童、生徒、学生にとっては、
うらやましいほどの夏休み。
今日の8月1日は「水の日」。
これから1週間は「水の週間」。
明日の2日はアスクル㈱の株主総会。
土曜日の6日から阪神甲子園球場で、
第101回全国高校野球選手権大会。
全49校が出揃って21日(水)まで、
熱戦が展開される。
来週火曜日の8月6日は広島平和記念日、
金曜日の9日が長崎原爆の日。
木曜日の8日は立秋。
日曜日の11日は「山の日」の祝日、
月曜日12日は振り替え休日。
土曜日からの三連休から、
令和初のお盆になだれ込む。
13日(火)から16日(金)。
その間の15日(水)が終戦記念日。
最長ならば9連休。
甲子園が終わって23日(金)は、
二十四節気の「処暑」。
今年も生き残れるか。
今日は朝から、自由が丘。
いつもの花屋の店先にも、
カラフルな花が見えない。
この花屋の前の遊歩道で、
テレビCMだろうか、撮影中。
モデルかタレントか。
女性を取り囲んで、
男たちが長い扇状に位置する。
爽やかな笑顔を振りまきながら、
軽やかに歩いてくる。
暑さを感じさせないウォーキング。
いいものを見せてもらった。
さて、セブン&アイのトップが、
記者会見。
今日の商人舎流通スーパーニュースから。
セブン&アイnews|
「7pay」不正アクセス被害で9/30廃止を決定
AbemaTVで見ていたが、
いたたまれない気持ちだった。
吉本興業の宮迫・亮の記者会見、
岡本昭彦社長の5時間半の記者会見。
そして昨日のかんぽ生命の記者会見。
できることならば、いま、
会見を開いてはいけない。
ていねいな文書で発表することも、
できないわけではない。
しかし追い込まれたのだろう。
テレビカメラと記者たちの前に出てきて、
セブンペイの廃止を発表した。
スマートフォンQRコード決済サービス。
7月1日にスタートして、
2日に不正アクセスが発覚し、
実際に被害者が出た。
5日の段階で、
運営会社㈱セブン・ペイ小林強社長は、
記者会見を開いて、
システムに関する「脆弱性」は、
「見つからなかった」と答えた。
しかし、このとき、
「なりすまし」を防ぐ「2段階認証」を、
採用していないことが明らかになった。
既存のセブン-イレブンアプリに、
決済機能を追加する形で、
やや安易に導入されたからだ。
そして7月が終わって、
1カ月後の今日8月1日、
廃止の決定を発表し、
お詫びの記者会見を開いた。
私は7月5日のこのブログで指摘した。
「こういった問題が起こるときには、
その組織のマネジメントの根幹に、
何か重大な欠陥が巣食っている」
「こちらこそ、
セブン&アイの問題点だ」
「流通系のスマホ決済全体に、
社会からの信頼が揺らぐことこそ、
避けねばならない」
残念ながら、
その「信頼」が棄損された。
そしてセブン&アイの組織全体が、
この問題の重大性に対して、
「無感覚」である。
記者たちの前に出て、
世間にお詫びするとしたら、
最高責任者が出てこなければいけない。
今回はセブン&アイの後藤克弘副社長、
セブン&アイ・ネットメディア田口広人社長、
セブン&アイ清水健執行役員、
セブン・ペイ奥田裕康営業部長。
後藤副社長は冒頭で語った。
「外部の情報セキュリティー会社と
連携した対策プロジェクトで、
被害状況把握と発生原因の調査を進め、
今後の対応について検討を重ねてきた」
〈外部の情報セキュリティー会社〉
〈対策プロジェクト〉
その結果。
「チャージを含めてすべてのサービスを
再開する抜本的な対応を完了するには
相応の期間が必要だと想定され、
サービスを継続させるとすれば、
利用、支払いのみという
不完全な形とならざるを得ない。
サービスに関し、お客様が依然として
不安を持っていることから、
告知期間を確保した上で、
9月30日でサービスを廃止することを
ホールディングスの取締役会で決定した」
〈ホールディングスの取締役会〉
昨日の7月31日17時時点で、
被害に遭った顧客は808人、
被害金額3861万5473円。
この被害額については全額補償する。
当然だ。
犯行を防げなかった三つの要因。
第1はセブンペイにかかわる認証レベルは、
複数端末からのログインに対する対策や、
2段階認証や追加認証の検討が十分でなく、
リストハッキングへの防衛力を弱めた。
第2に開発体制については、
システム開発に複数社が参加していて、
システム全体の最適化が
十分検証できていなかった。
〈システム開発に複数社〉
第3にリスク管理体制については、
相互検証や相互牽制が機能しなかった。
〈相互検証や相互牽制〉
すべてManagementの問題だ。
そこで「意思決定のガバナンス上の背景を
客観的に検証し、原因を究明して、
再発防止策をつくるため、
弁護士中心の検証チームを設置した」
〈弁護士中心の検証チーム〉
〈 〉で示したところに、
当事者意識の薄さが現れている。
質疑応答で真っ先に聞かれたのが、
「サービスの中止の一番の要因」。
後藤副社長の答えは、
「認証システムそのものに脆弱性があった。
このサービスを続けるのは経営判断上、
得策ではないと考えた」
「開発当時、
2段階認証を導入しなかったのは、
適当ではなかったと
現時点では大きく反省している」
「ホールディングスの経営責任」も問われた。
答えは、
「原因追及と再発防止が責任の取り方だ」
セブン&アイホールディングスのトップ、
つまり井阪隆一社長が、
会見に出ないことの責任も追及された。
後藤副社長の返答。
「私が代表取締役として担当していて、
トップとして登壇していると
理解してほしい」
これはダメだ。
会見を開くならば、
最高責任者その人が出ること。
必須である。
今回はセブン・ペイの小林強社長も、
登壇していない。
これも聞かれたが、
「誰がセブンペイに関する質問に答えるのに
適切かという判断のなかで、
奥田に参加させた」
これもダメ。
責任を表明し、お詫びすることの意味が、
認識されていない。
記者会見では、
通常は聞きにくいことが、
白日の下にさらされる。
「鈴木前会長いなくなってから、
24時間営業の問題など多い。
組織全体のたがが緩んでいるのではないか」
後藤副社長。
「24時間問題、今回を含めて、
大変な問題と認識しているが、
この問題の背景に、
前会長の存在がなくなったからとは
考えていない」
「たがが緩んでいる」というよりも、
事の重大性に「無感覚」である。
当事者意識が希薄である。
そこに根本的な問題がある。
もし鈴木敏文さんがいたら――
記者会見自体、開催しなかっただろう。
そして万一、開催されたとしたら、
鈴木さんは出てこなかっただろう。
しかし、その前に、
こんな問題は絶対に、
起こらなかっただろう。
経営とはそういうものだし、
本当の責任とは、
問題が起こらない態勢をつくることだ。
風流は苦しきものぞ蝉の声
〈結城義晴〉