セブン&アイ・ホールディングスは8月1日、同日開催した記者会見で、スマホ決済サービス「7pay」の終了を発表したが、同サービスを運営する株式会社セブン・ペイは存続させると質疑応答でコメントした。セブン・ペイでは、今回発生した不正アクセスへの対応や補償のほか、他のスマホ決済のゲートウェイ(中継・出入り口の意)機能を持たせて「引き続き営んでいく」と補足した。
-
8月1日にセブン&アイ・ホールディングスが開催した、緊急会見の様子。左から、セブン&アイ・ネットメディア代表取締役 社長の田口広人氏、セブン&アイ・ホールディングス代表取締役 副社長 セキュリティ対策プロジェクト 総責任者の後藤克弘氏、セブン&アイ・ホールディングス 執行役員 デジタル戦略推進本部 デジタル戦略部 シニアオフィサー セキュリティ対策プロジェクトの清水健リーダー、セブン・ペイ取締役 営業部長の奥田裕康氏
不正アクセスに関しては、不正チャージおよび不正利用の両方に対し、補償を進める。具体的には、「ユーザーから直接問い合わせがあり、照会した場合の相互確認」「カード会社からの情報連携」「不正被害発生パターン同様の利用が確認されるケースの独自認定」などを行い、不正アクセスの被害にあったと認定する。
クレジットカードから不正チャージされた場合は、口座から引き落としがかからないよう対応するほか、間に合わず引き落とされた場合も、翌月以降に引き落とし口座で精算する。また、デビットカードから不正チャージされた場合は、カードのブランドにユーザーから連絡するよう呼びかけた。その後、各デビットカード会社と7payで対応するという。
nanacoポイントから不正チャージされた場合は、8月19日から順次補償手続きを個別に案内する。
そして、9月30日24時の7payサービス終了時点で未使用のチャージ残高がある場合は、法令上の手続きを経た上で、順次払い戻しすると説明した。
捜査機関には、すでに被害届を提出済み。7payへの不正アクセスによる被害者数は808人で、被害金額は38,615,473円(2019年7月31日17時時点)。「ちょうど引き落としタイミングで、これから被害が発覚する恐れもあるため、現状から増える可能性もある」(セブン&アイ・ホールディングス代表取締役 副社長 後藤氏)。なお、クレジットカード情報の流出は、カード情報を自社では保有していないため「流出はない」とした。
7payは2019年7月1日のサービスインから、約1カ月でサービス終了が発表された形となった。
7payの開発は2018年2月から行われ、当初は単独アプリとしてリリースする予定だった。開発途中で「セブン‐イレブンアプリ」の1機能に統合するという仕様変更が行われたが、2019年7月1日のリリース日を見直すことはなかったという。
同社は、開発を担う複数の外部協力会社とやりとりしながら、予定していた機能を絞り込むなどして「開発体力を確保し、必要最低限のテスト期間はあったという認識だった」と説明。会見時の質疑応答で「各開発チーム個別でのセキュリティは考えていたが、全体を統合してセキュリティ対策する視点が欠けていた」などと話し、結果として当時の認識が誤っていたと釈明した。開発にかかった費用は非公開。
