セブン・ペイ

株式会社セブン・ペイ
Seven Pay Co., Ltd.[1]
種類 株式会社
本社所在地 日本の旗 日本
102-0084
東京都千代田区二番町4-5[1]
北緯35度41分09.992秒 東経139度44分09.401秒 / 北緯35.68610889度 東経139.73594472度 / 35.68610889; 139.73594472座標: 北緯35度41分09.992秒 東経139度44分09.401秒 / 北緯35.68610889度 東経139.73594472度 / 35.68610889; 139.73594472
設立 2018年6月14日[1]
法人番号 3010001192675 ウィキデータを編集
事業内容 スマートフォンをツールとした決済サービス等[1]
代表者 代表取締役社長 水落辰也[1]
資本金 1億円[1]
売上高 16億3100万円(2020年02月29日時点)[2]
営業利益 ▲22億9200万円(2020年02月29日時点)[2]
経常利益 ▲22億9200万円(2020年02月29日時点)[2]
純利益 ▲122億円(2020年02月29日時点)[2]
純資産 ▲27億3800万円(2020年02月29日時点)[2]
総資産 219億6900万円(2020年02月29日時点)[2]
決算期 2月末日
主要株主 セブン&アイ・ホールディングス(40%)[1]
セブン・フィナンシャルサービス(30%)[1]
セブン銀行(30%)[1]
外部リンク www.7pay.co.jp
テンプレートを表示

株式会社セブン・ペイ英語: Seven Pay Co., Ltd.)は、スマートフォン決済サービス7pay(セブンペイ[3])を提供していた企業[1][4]セブン&アイ・ホールディングス (7&i) グループに属し[5]セブン・フィナンシャルサービスセブン銀行の子会社[4]

サービスを開始した2019年7月に、不正利用事件によりサービスを停止。7pay事業は2019年9月30日に廃止されたが、会社自体は存続している。セブン銀行は7payに30億円の投資をし、2020年3月の決算でセブン・ペイに約30億円の損失を計上した[6]

沿革

[編集]
  • 2018年(平成30年)6月14日 - 株式会社セブン・ペイ設立[1]
  • 2019年(令和元年)
    • 7月1日 - 「7pay」サービス開始[7][8][9]
    • 7月2日 - 「身に覚えのない取引があった」との問い合わせが寄せられる[10][11]
    • 7月3日 - 「7pay」の大規模な不正利用が判明し、サービスの制限を開始。以後、サービス制限の範囲を拡大(詳細後述)。
    • 7月4日 - 店舗レジ及び、セブン銀行ATMからの現金チャージ利用を停止。新規会員登録を停止。[10]
    • 7月8日 - 一連の不正使用案件に関連し、金融庁がセブン・ペイに対して資金決済法に基づく報告徴求命令を出す[12]
    • 7月11日 - 外部IDによるログインを停止[10]
    • 7月30日 - 共通IDの7iDの全会員約1650万人のパスワードを一斉リセット[10][13][14]
    • 8月1日 - 7pay のサービスを2019年9月30日24時に廃止することを発表[10][15][16][17]
    • 9月27日 - 残高払い戻し方法を発表[18][19]
    • 9月30日24時 - 7pay サービス終了[20]
    • 10月1日 - 7pay 残高の払い戻しを開始。[21]
    • 10月10日 - 代表取締役社長を水落辰也に交代(セブン・フィナンシャルサービス代表取締役社長、セブン・カードサービス代表取締役社長を兼任)[22]
  • 2020年
    • 1月10日 - 7pay 残高の払い戻し期間が終了[23]

7pay

[編集]

7pay(セブンペイ)は、7&iグループのコンビニエンスストアであるセブン-イレブンの公式アプリ『セブン-イレブン アプリ』に組み込まれた決済サービス[24]である。

アカウント管理は7&iグループ共通の会員アカウント「7iD(セブンアイディ[25])」により行われ、利用には7iDの取得が必要になる。

チャージはnanacoポイントクレジットカードセブンカードおよびJCBVisaMasterCard)、デビットカードセブン銀行ATM(現金チャージに限る)、レジでの現金チャージに対応する[8]

なお、7&iグループ独自のICカード型非接触式電子マネー「nanaco」とは直接の互換性がなく、nanacoのチャージ残高を7payに移行することはできない[8]。なお、nanacoの利用で貯めたnanacoポイントは7payアプリ経由で7pay残高にチャージすることはできる[8]

決済音はヒャダイン(前山田健一)が作曲したオリジナル[7]:3。サービス開始時のプレスリリースにて「毎日聞くものだからこそシンプルでかつハッピーに。ぜひ永く愛される決済音になってほしいと願っております」とコメントしていた[7]:3[26]

不正利用事件

[編集]
7pay不正利用事件
日付 2019年7月1日~9月30日
場所 日本
原因 システムに存在した複数の脆弱性など
結果 7payサービスの提供終了
損害 約4000万円の不正利用
テンプレートを表示

サービスイン翌日の2019年7月2日、7pay利用者より「身に覚えのない取引が計上されている」と問い合わせがあり、7月3日に社内調査を行ったところ不正利用が発覚した。同時にセブン・ペイではクレジットカードやデビットカードからのチャージを一時停止した[27]。7月4日18時5分からはサービスの新規登録も一時停止となり、同日にはすべてのチャージを一時停止した[28][29]

7月12日東京都千代田区内のセブン-イレブン店舗に勤務する中国人アルバイト従業員の女が、7payを不正に取得し決済したとして窃盗の容疑で警視庁の組織犯罪対策特別捜査隊に逮捕された[30]。被害額は7月31日現在で808人のアカウント、38,615,473円に上り、これらの被害額についてはセブン&アイ・ホールディングスが全額補償する[10]

セブン・ペイ側は、7月4日の緊急記者会見で「事前にセキュリティー審査を繰り返し、脆弱性は指摘されなかった」と説明していたが、この時点で「7iD」に2段階認証やパスワード変更の通知機能が導入されていないことなど、認証システムに問題があると指摘されており、記者から2段階認証に関する質問を受けた際にも、それに社長は答えられなかった[31][32]。また、経済産業省も一般社団法人キャッシュレス推進協議会が策定した『不正利用防止のためのガイドライン』[33][34][35]が守られていなかったことを指摘した[36][37]

その後の調査で「7iD」が、外部IDでログインしている他人のアカウントにパスワードなしでログインして、なりすますことができたことが明らかになった。OpenID Connectなどの認証連携プロトコルで定めている、なりすましを防ぐためのチェック手順が実装されていなかったと推察されている[38]。また「7iD」にログインした後に認証システムから取得できるユーザーデータの設計にも問題があり、ハッシュ化されたパスワードを含む広範な個人データを取得できたという[38]

事件後の対応

[編集]

セブン&アイ・ホールディングスは7月11日17時、7payのほかセブンネットショッピングなど7iD経由でアクセスする全てのサービスについてFacebookTwitterGoogleYahoo!LINEの5つの外部IDによるログインを遮断した[39][40]

セブン&アイ・ホールディングスは8月1日、今回のトラブルの原因について「7payに関わるシステム上の認証レベルの問題」「7payの開発体制の問題」「7payにおけるシステムリスク管理体制の問題」とした上で、「現在の7payのサービススキームに基づきサービス提供を継続することは困難である」として、9月30日24時を以て7payのサービスを廃止すると発表した[10]

今後のキャッシュレス決済導入について、7pay廃止に伴うニュースリリースでは「グループ外で提供されるキャッシュレス決済の導入を進めることとしている」[10]としつつも、同日行われた記者会見ではセブン&アイ・ホールディングスの後藤克弘副社長が「時期や内容は白紙」としながらも「当社は引き続きキャッシュレスサービスの可能性を探るとともに、快適に買い物ができる環境を整えていく」と述べるなど、独自のキャッシュレス決済再導入の可能性を否定しなかった[41]。また、トラブルの要因の一つとなった 7iD についても「(外部IDログインの停止やパスワード強制リセットによるリスクの極小化により)7pay以外のサービスの利用では十分な(セキュリティ)レベルであることが確認できた」として使用を継続することを表明している[42]

この問題の責任を取る形で、同年10月10日に、セブン・ペイ社長小林強が退任し(後任者は水落辰也[22])、セブン&アイ・ホールディングスの社長井阪隆一と副社長後藤克弘が役員報酬を一部返上した[43]

セブン・ペイはサービス停止後、2020年1月10日まで、残高を残しているユーザーに対して払戻しを行った[23]。払い戻しの申請完了にはおよそ16ステップ必要であることなどが指摘された[44]。この終了時点で払い戻しを受けていないユーザーは約25万人、未払い残高は約7000万円に上った[23]

その後、2020年8月にPayPayと提携し、セブン-イレブン アプリにPayPayによるキャッシュレス決済機能を組み込むことを発表[45]、2021年2月25日よりサービスを開始した[46]。これにより本来は7payで担う予定だったキャッシュレス決済及びセブン-イレブン アプリの会員コード読み取りのワンストップサービスが再び可能となった。

脚注

[編集]
  1. ^ a b c d e f g h i j k 運営会社”. 7pay. 株式会社セブン・ペイ. 2021年11月15日閲覧。
  2. ^ a b c d e f 株式会社セブン・ペイ 第2期決算公告
  3. ^ セブン&アイ独自のバーコード決済サービス『7pay(セブンペイ)』登場』(PDF)(プレスリリース)セブン&アイ・ホールディングス、2019年4月4日https://www.7andi.com/var/rev0/0000/3048/1194411375.pdf2019年7月4日閲覧 
  4. ^ a b “「セブン・ペイ」来春にもサービス開始 まずセブンイレブンで”. 日本経済新聞 (日本経済新聞社). (2018年6月22日). https://www.nikkei.com/article/DGXMZO32062240R20C18A6EE9000/ 2019年7月4日閲覧。 
  5. ^ 社名50音順一覧”. グループ会社. セブン&アイ・ホールディングス. 2019年7月4日閲覧。
  6. ^ https://www.zaikei.co.jp/article/20200513/566151.html
  7. ^ a b c セブン&アイのバーコード決済「7pay(セブンペイ)」本日サービススタート』(PDF)(プレスリリース)株式会社セブン・ペイ、2019年7月1日https://www.7pay.co.jp/news/news_20190701_01.pdf2019年7月6日閲覧 
  8. ^ a b c d 臼田勤哉 (2019年7月1日). “「7pay」ついにスタート。セブン-イレブンのスマホ決済の実力は?”. Impress Watch (インプレス). https://www.watch.impress.co.jp/docs/topic/1193610.html 2019年7月4日閲覧。 
  9. ^ 田中聡 (2019年7月3日). “「7pay」で不正利用の被害、原因は「調査中」 クレカからのチャージを停止”. ITmedia Mobile (アイティメディア株式会社). https://www.itmedia.co.jp/mobile/articles/1907/03/news134.html 2019年7月4日閲覧。 
  10. ^ a b c d e f g h 「7pay(セブンペイ)」 サービス廃止のお知らせとこれまでの経緯、今後の対応に関する説明について』(プレスリリース)株式会社セブン&アイ・ホールディングス、2019年8月1日https://www.7andi.com/company/news/release/201908011500.html2019年8月1日閲覧 
  11. ^ 「7pay」で不正アクセス被害 「クレカから勝手にチャージされた」報告相次ぐ 運営元はID・パスワード変更を推奨”. ITmedia NEWS (2019年7月3日). 2019年8月6日閲覧。
  12. ^ “金融庁、セブンペイに報告徴求命令 スマホ決済の不正使用で”. ロイター. (2019年7月12日). https://jp.reuters.com/article/fsa-7pay-idJPKCN1U708I 2019年7月14日閲覧。 
  13. ^ “セブン&アイ、7iDのパスワードを一斉リセット”. 朝日新聞. (2019年7月30日). https://www.asahi.com/articles/ASM7Z5RH2M7ZULFA039.html 2019年8月1日閲覧。 
  14. ^ 浅川直輝 (2019年7月30日). “セブン&アイHDが「7iD」1650万人のパスワードを強制リセット、7pay不正利用対策で”. 日経 xTECH(クロステック). 2019年8月6日時点のオリジナルよりアーカイブ。2019年8月6日閲覧。
  15. ^ 磯谷智仁 (2019年8月1日). “「7pay」9月30日にサービス廃止、サービス継続は困難と判断 株式会社セブン・ペイは存続、新たなキャッシュレスサービス再参入の意向示す”. INTERNET Watch. 2019年8月6日閲覧。
  16. ^ 井上翔 (2019年8月1日). “「7pay」がサービス終了 9月末で”. ITmedia Mobile. https://www.itmedia.co.jp/mobile/articles/1908/01/news112.html 2019年8月6日閲覧。 
  17. ^ 7pay、9月30日で廃止。「継続は難しい」と未使用分は返金”. Impress Watch (2019年8月1日). 2022年11月11日閲覧。
  18. ^ 谷井将人 (2019年9月27日). “「7pay」運営元、未使用残高の払い戻し方法発表 9月末でのサービス終了受け”. ITmedia NEWS. https://www.itmedia.co.jp/news/articles/1909/27/news121.html 2019年9月27日閲覧。 
  19. ^ 7payサービス廃止のお詫びと残高払戻しに関するご案内”. セブン・ペイ. お知らせ一覧. 株式会社セブン・ペイ (2019年9月27日). 2019年9月27日閲覧。
  20. ^ 和良, 小平 (2019年10月8日). “7payを廃止に追い込んだセブンイレブンへの「忖度」”. 日経ビジネス電子版. 2022年11月11日閲覧。
  21. ^ “セブン・ペイ/7payサービス終了で残高払戻しを案内”. 流通ニュース. (2019年9月27日). https://www.ryutsuu.biz/it/l092749.html 2019年9月30日閲覧。 
  22. ^ a b 代表取締役の交代について”. 株式会社セブン・ペイ (2019年10月10日). 2022年11月10日閲覧。
  23. ^ a b c 廃止のセブンペイ、払い戻し受付期限 25万人が未申請”. 朝日新聞デジタル (2020年1月11日). 2022年11月11日閲覧。
  24. ^ 中澤彩奈 (2018年6月22日). “セブン&アイ、新会社「セブン・ペイ」でスマホ決済参入 来春開始へ”. ITmedia ビジネスオンライン (アイティメディア). https://www.itmedia.co.jp/business/articles/1806/22/news075.html 2019年7月4日閲覧。 
  25. ^ 激変する流通サービスに、新たな成長基盤を築く「リアル×デジタル」戦略”. セブン&アイ・ホールディングス. 企業情報 > セブン&アイの挑戦. セブン&アイ・ホールディングス. p. 1 (2018年8月). 2019年7月13日閲覧。 “『7iD(セブンアイディ)』”
  26. ^ 7pay終了報道、「決済音」作ったヒャダインは意味深ツイート 「ど、どんまい...」”. J-CASTニュース(2019年8月1日作成). 2019年8月1日閲覧。
  27. ^ “セブンペイ不正アクセス スマホ決済アプリ入金一時停止 被害訴え相次ぐ”. 毎日新聞: p. 25. (2019年7月4日) 
  28. ^ 一部アカウントへの不正アクセスの件(第2報) 新規登録の一時停止について』(プレスリリース)株式会社セブン&アイ・ホールディングス、株式会社セブン‐イレブン・ジャパン、株式会社セブン・ペイ、2019年7月4日https://www.7pay.co.jp/news/news_20190704_03.html2019年7月4日閲覧 
  29. ^ “セブンペイ5500万円被害か 不正アクセス たばこ大量購入 海外接続遮断”. 毎日新聞: p. 30. (2019年7月5日) 
  30. ^ “不正 窃盗容疑で逮捕 3人目、中国籍の女”. 毎日新聞東京夕刊. (2019年7月12日). https://mainichi.jp/articles/20190712/dde/041/020/037000c 
  31. ^ 平土 令 (2019年7月6日). “「セブンペイ」不正利用、iPhoneのほうが危険!? 安全性も会見も「脆弱」な深刻事態”. AERA dot.. 2019年7月14日閲覧。
  32. ^ “セブンペイ 脆弱性露呈 システムの「穴」指摘に「調査中」繰り返す”. 毎日新聞. (2019年7月4日). https://mainichi.jp/articles/20190704/k00/00m/020/308000c 2019年7月14日閲覧。 
  33. ^ 一般社団法人キャッシュレス推進協議会 (2019年4月16日). “コード決済における不正流出したクレジットカード番号等の不正利用防止対策に関するガイドライン” (PDF). 2019年7月14日閲覧。
  34. ^ 一般社団法人キャッシュレス推進協議会 (2019年3月29日). “コード決済に関する統一技術仕様ガイドライン【利用者提示型】CPM (Consumer-Presented Mode)” (PDF). pp. 13-18. 2019年7月14日閲覧。 「6 セキュリティ」部分。
  35. ^ 一般社団法人キャッシュレス推進協議会 (2019年3月29日). “コード決済に関する統一技術仕様ガイドライン【店舗提示型】MPM (Merchant-Presented Mode)” (PDF). pp. 13-19, 30-36. 2019年7月14日閲覧。 第1部および第2部の「6 セキュリティ」部分。
  36. ^ “「ガイドラインを遵守していない」--経産省、7pay問題でセキュリティ強化を事業者に要請”. Cnet Japan. (2019年7月5日). https://japan.cnet.com/article/35139554/ 2019年7月14日閲覧。 
  37. ^ コード決済サービスにおける不正アクセス事案を踏まえ、決済事業者等に対し、不正利用防止のための各種ガイドラインの徹底を求めました』(プレスリリース)経済産業省、2019年7月5日https://www.meti.go.jp/press/2019/07/20190705003/20190705008.html2019年7月14日閲覧 
  38. ^ a b 浅川直輝 (2019年7月12日). “[独自記事]7pay不正利用問題、「7iD」に潜んでいた脆弱性の一端が判明”. 日経 xTECH. 2019年7月12日閲覧。
  39. ^ 「7pay(セブンペイ)」に対する不正アクセスの件(第4報)オープンIDによる各社アプリへのログインの一時停止のお知らせ』(PDF)(プレスリリース)株式会社セブン&アイ・ホールディングス、2019年7月11日https://www.7andi.com/library/dbps_data/_template_/_res/news/2019/20190711_01.pdf2019年7月17日閲覧 
  40. ^ 鈴木淳也 (2019年7月11日). “[更新]セブンHDが外部IDログインを11日17時で遮断。残高利用には手続き必要な場合も”. BUSINESS INSIDER JAPAN. 2019年7月12日閲覧。
  41. ^ “不正ログイン続出の「7pay」、わずか3カ月で終了 セブン&アイHDが謝罪、再挑戦も示唆”. ITmediaニュース. (2019年8月1日). https://www.itmedia.co.jp/news/articles/1908/01/news151.html 2019年8月3日閲覧。 
  42. ^ “「7iD」のセキュリティは大丈夫? 7pay終了会見で残った疑問”. ITmediaニュース. (2019年8月1日). https://www.itmedia.co.jp/mobile/articles/1908/01/news153.html 2019年8月27日閲覧。 
  43. ^ セブンペイ不正利用、セブン&アイ社長ら報酬返上を発表”. 日本経済新聞 (2019年10月10日). 2022年11月11日閲覧。
  44. ^ Yoshida, Hiro. “7pay残高の払い戻し開始、16ステップ程度で申請は完了するが払い戻しは11月中旬以降”. TechCrunch Japan. 2020年7月8日閲覧。
  45. ^ セブン‐イレブンアプリにPayPay搭載。セブン会員コード読取と支払を同時に,Impress Watch,2020年8月11日
  46. ^ セブン-イレブン アプリがPayPay対応。2月25日から,Impress Watch,2021年2月17日

外部リンク

[編集]