プレゼント
会員登録
ログイン
近年、さまざまな企業や団体で<不祥事>が発覚する事案が相次いでいます。しかし「その陰では、真面目に業務に取り組んでいた人が不正や不法行為の“犯人”として糾弾されるケースが少なくない」と指摘するのは、プリンシプル・コンサルティング・グループ代表取締役でコンプライアンス問題のプロである秋山進さんです。そこで今回は、秋山さんの著書『企業不祥事の真相 「普通の人」を悪者に仕立てる歪んだ構造』より一部引用、再編集してお届けします。
セブンペイ問題――二段階認証を知らなかった社長
セブンペイ問題は、2019年7月にセブン&アイ・ホールディングスのグループ会社セブン・ペイが開始したバーコード決済サービス「セブンペイ(7pay)」で、開始直後から不正利用が多発し、わずか3カ月後にサービス終了へ追い込まれた事件である。キャッシュレス決済サービスが各社から次々に登場するなか、大手コンビニを擁するグループ企業が参入したことで注目度は高かったのだが、脆弱なセキュリティ設計のため、多数の利用者が被害に遭う結果となった。
ITセキュリティの概念を理解していなかったトップ
最大の論点は、二段階認証をはじめとする多要素認証を導入していなかったことにある。他社では常識であった追加認証がセブンペイにはなく、しかもパスワードの再設定プロセスが生年月日や電話番号程度の個人情報だけで可能になっていた。これにより第三者が簡単にアカウントを乗っ取り、不正に決済を行うことが可能な設計になってしまっていたのである。
法的には、不正アクセスそのものは攻撃者側の犯罪行為であって、セブン・ペイは被害者だが、サービスを提供するセブン・ペイ自身がセキュリティ対策義務を十分に果たしていなかったことが大きく批判されることになった。
