「7pay」9月30日にサービス廃止、サービス継続は困難と判断

　株式会社セブン＆アイ・ホールディングスは1日、コード決済サービス「7pay（セブンペイ）」を9月30日24時に廃止すると発表した。

　7payは、7月1日に提供が開始されたコード決済サービスだが、その直後から一部アカウントで不正アクセスの被害が発生。外部情報セキュリティ会社と連携した「セキュリティ対策プロジェクト」を立ち上げ、調査を行ったところ、攻撃者が何らかの方法で不正に入手したID・パスワードのリストを用いて不正アクセスを行う「リスト型アカウントハッキング」である可能性が出てきた。

　その後も、被害状況の把握と発生原因の調査を進めてきたが、抜本的な対応を完了するには相応の期間を必要とすると想定されることなどから、サービス提供を継続することは困難との結論に至った。

　現時点で、外部ID連携・パスワードリマインダー、有人チャットによるパスワードリセットなどの機能が不正アクセスの直接の原因となった事例は見つかっておらず、内部流出についても、「明確な流出の痕跡は確認できない」という。

被害金額の全てを補償サービス廃止後の未使用チャージ残高も順次払い戻し

　今回の不正アクセス被害を受けて、不正チャージおよび不正利用のいずれかにかかわらず、被害金額の全てを補償することを明らかにした。被害者数・金額は、7月31日時点で808人・3861万5473円に上る。

　不正チャージの被害にあったユーザーについては、カード支払日までに当該チャージ分の引き落としがかからないように対応するという。支払日までに対応が間に合わなかった場合や、デビットカードのユーザーについても被害額の払い戻しを行うとしている。

　不正利用の被害にあったユーザーで、すでにサポートセンターへ連絡済みの場合は、8月19日より補償の手続きについて個別に案内する予定。まだ連絡していない場合は、サポートセンター緊急ダイヤル（0120-192-044）まで問い合わせるよう呼び掛けている。

　なお、サービス廃止時点で未使用のチャージ残高については、法令上の手続きを経た後に、順次払い戻しするとしている。

弁護士中心の検証チーム設置へ

　このほか、株式会社セブン・ペイにおける、リスク管理、相互検証、相互牽制の仕組みが十分に機能していたかを検証するため、弁護士を中心とする検証チームを設置する。

　検証結果が出るまでのスケジュールについては「1～2カ月ほどかかる」と説明。同チームによる結果検証を踏まえ、再発防止に向けた対応を行うとしている。

　セブン＆アイ・ホールディングス代表取締役副社長の後藤克弘氏（セキュリティ対策プロジェクト総責任者）は、8月1日に行った会見にて、「お客様、セブンイ-レブン加盟店のみなさま、多くの関係者のみなさまに改めて深くお詫び申し上げます」とコメント。株式会社セブン・ペイについては、サービス廃止後も存続することを明らかにした。

　「他社のスマホ決済サービスのゲートウェイ機能を担っているため、新たな可能性を探るとともに他のサービスとの連携を推進して、快適に買い物できる環境を整える。」（後藤氏）

　また、キャッシュレス決済については今後も成長する分野と見込んでいるため、新たなサービスで再参入する意向も示した。

（右から）株式会社セブン・ペイ取締役営業部長 奥田裕康氏、株式会社セブン&アイ・ホールディングス執行役員デジタル戦略推進本部 デジタル戦略部 シニアオフィサー セキュリティ対策プロジェクトリーダー 清水健氏、同代表取締役副社長セキュリティ対策プロジェクト総責任者 後藤克弘氏、株式会社セブン&アイ・ネットメディア代表取締役社長 田口広人氏