7payの事例に学ぶ スマホ決済提供者の心得
キャッシュレス決済の戦国時代とも言える昨今。良くも悪くも、決済に関する話題が絶えない。今回は、7payの話題は避けられないだろう。7payはセブン-イレブンでの利用から開始した、セブン&アイ・ホールディングスが提供するスマホ決済サービス。7月1日より運用を開始したものの、開始から3日で不正利用が発覚し、新規登録やクレジットカード等からのチャージ機能が停止された。そして、8月1日には9月30日24:00をもってサービス廃止が発表。2018年末のPayPay不正利用が記憶に新しいこともあり、「またか……」という感想もあるだろうが、高野さんは「同じ不正利用でも、PayPayで起きた問題とは性質が違う」と話す。
「単純にシステム開発や仕様設計のプロセスに問題があったようです。7payでは外部IDでの連携認証を採用していましたが、これがツールを使うことでなりすましログインができてしまうシステム設計になっていたと言います。スマホ決済以前に、基本的なリスク設計ができていなかったということでしょう。経済産業省からも改めて注意喚起の指示が出ています」
すでに電子マネーのnanacoを持っており、なぜ7payのリリースに踏み切ったのだろうか。スマホ決済ならば他社のコード決済サービスを採用するという選択肢もある。
「nanacoもそれなりに利用されていますが、やはりプリペイドカードの域を超えられなかったのでしょう。非接触決済のため対応端末の設置も必要ですし、物理カードの発行が必要になります。一方の7Payは、ユーザーがアプリにログインして使うID決済でもあります。顧客管理の連携やほかの決済手段との連携も容易にできるようになります」
7payと同じく7月1日にスタートしたファミリーマートの「ファミペイ」なども、目的は同じだろう。ある程度の規模の小売業ともなれば、独自のスマホ決済サービスを持つことは武器になる。一方で独自サービスだからこそ、セキュリティも含めた運用面の責任が問われる。今回の件を踏まえ、スマホ決済を提供する企業はどのようなことに気をつけるべきなのだろうか。
「セキュリティ意識を高め、リスク管理をしていきましょうということに尽きます。ウェブサービス・アプリを作るうえではもちろんのこと、まして決済に関するサービスであれば、セキュリティには細心の注意を払うべきです。クレジットカード決済であればPCI-DSS、コード決済においては経済産業省のガイドラインがすでにありますので、遵守することが大切ですね」
