QRコードやバーコードによるスマートフォン決済が各社われ先のブームとなって氾濫し、利用者側の利便性や安全性が蔑ろにされている感があったが、昨年12月のPayPay『100億円あげちゃうキャンペーン』に続いて、7月1日導入の7payでも大量の不正アクセスが露見し、仕切り直しは必至の情勢となった。

不正アクセスを招いた盲点

 今回の不正アクセスは、セキュリティの不備を突いて第三者が7pay登録者のアカウントにアクセスしてなりすまし、クレジットカードやデビットカードから短時間に幾度もチャージして、セブン-イレブンの店舗で電子タバコなど換金性の高い商品を購入したもので、被害は7月4日時点で判明しただけでも900人、5500万円に上る。不正の報告を受け、既に新規登録もチャージも停止されているが、チャージ済みの金額は利用できる。

  同時に立ち上がったファミリーマートのファミペイでは現在のところ不正アクセスは報告されていないので、7Pay特有の問題に起因する事態と思われる。どちらもポイントアプリに付加されたコード決済サービスであって、事前にチャージした金額内で支払いに使えるものだが、いったい両者の何が違っていたのだろうか。ファミペイと比べて7Payのどこにセキュリティの脆弱性があったのか、会員登録、クレジットカード登録、チャージ、支払い、パスワード再設定、の各段階を検証してみよう。

1)会員登録

 両者ともID(電話番号)とパスワードが必要なことは同じだが、7Payはファミペイで必要とされるSMS認証を欠いていた。

2)クレジットカード登録

 暗証番号、カード番号に加えてカードが本人認証サービス(3Dセキュア)に登録されている必要は両者とも同じだが、ファミペイで登録できるクレジットカードがファミマTカードに限定されるのに対し、7Payは主要なブランドカードやデビットカードにも対応しており、利便性とともにリスクも広い。

3)チャージ

 今回の不正アクセスは利用者が登録済みのクレジットカードからのチャージだが、両者とも指紋認証など本人確認を要せず暗証番号だけでチャージできるのは問題がある。1回のチャージ限度額(クレジットカード)はファミペイの2万円に対して7Payは3万円と大差ないが1日のチャージ上限が30万円(残額上限は10万円)と高額で、今回の不正アクセスでは40分間に6回、計19万円という事例があった。

 ちなみに7Payではチャージするたびに利用者の登録アドレスに「チャージしましたよメール」が来る。これがあったから不正の早期発覚につながった。

4)支払い

 どちらも支払いはアプリを立ち上げてファミペイではバーコード、7PayではQRコードを提示するだけで、パスワードも個人認証も必要としない。スピーディな決済のためと思われるが不正利用のリスクは否めないし、クーポン利用などで手間取るとレジが詰まってしまう。

5)パスワード再設定

 これが7Pay最悪のセキュリティミスで、電話番号とメールアドレス、生年月日が分かれば、第三者のメールアドレスにパスワードを再設定するURLを送れてしまう。これは同様の仕組みの「Omni7」アプリを継承しているためで、これまでなぜ放置されてきたのか、セキュリティ以前にガバナンスの問題が指摘される。

不正アクセスは「Omni7」の負の遺産

 どちらもポイントアプリをベースにコード決済機能を加えた点は同じだが、ファミペイがファミリーマート専用「ファミマアプリ」の付加機能であるのに対し、7Payはセブン&アイグループ全体で利用する「Omni7」をベースとした「セブン-イレブンアプリ」の付加機能である点が異なる。

 もとよりグループへの顧客囲い込みを強く意識した「Omni7」は複雑な機能を入れ込み過ぎて使い勝手に課題が指摘されている。「セブン-イレブンアプリ」でも店舗検索やWi-Fi無料接続など付加機能が多く、決済時のコード表示でもワンクリック余分な手間を強いられる。7Payは旧鈴木体制の遺産たる「Omni7」を引きずっており、今回の不正アクセスも負の遺産が露呈したものと見ることもできよう。

 セブン-イレブンは今回の不正アクセスがなくても抜本的な改変が必要なことは理解しており、10月を目処に「Omni7」から切り離した専用アプリに移行する計画だった。消費増税の10月に合わせて独立した完成版を投入すべきだったのに、セキュリティ検証など詰め切れないまま焦って7月1日に前倒したツケが今回の不祥事だったのではないか。

便利でも有利でもないコード決済

 

 中国での普及を見てかアリペイやウィーチャットペイはもちろん、PayPayやLINEペイなど汎用アプリから今回の7Payやファミペイなどストアアプリまで、コード決済が氾濫気味だが、果たしてわが国でも中国のように普及するのだろうか。多くのシンクタンクが爆発的な普及を予測しているが、私は極めて疑問だと思う。事業者側には巨大なビジネスチャンスでも、利用する店舗や一般消費者のメリットが定かでないからだ。

 導入が進んでいるのは、店舗側が表示するコードを利用者のスマホで読み取る方式では専用端末を必要としないこと(逆では必要)、店舗側への入金が早いこと、コード決済事業者が膨大なキックバック費用をかけて普及をあおっているからだが、セキュリティの課題に加えて決済手段として効率的かどうかも疑問を否めない。その理由は以下の2点だ。

1)決済に手間取る

 

 小売店舗の決済手段としては単価が高いほどクレジットカード利用比率が高く、低いほどキャッシュやプリペイドICカードの利用比率が高い傾向が見られるが、低単価店舗ではFeliCa系プリペイドICカードの利用が伸びている。理由は「プリペイド」でリスクが限定されることもあるが、小銭を扱う面倒がないこと、決済が素早いことが大きい。

 QRコード決済では多数のアプリから使用するアプリを選択して立ち上げるので手間がかかり、さらにクーポンを選択すれば余計に手間取ってしまう。コンビニやスーパーマーケットのレジで後ろがつかえているときなどストレスになるし、店側も苦慮してしまう。ましてや7Payなど流通グループの多機能アプリの付加機能ともなれば、もう一手間かかる場合がある。

 高単価商品ではクレジットカードの優位は崩せず、決済手続きが簡略で速いという点ではFeliCa系プリペイドICカードにかなうはずもなく、画像解析AIやICタグと連携するフリーパス精算が実用化すれば精算時にコードを読み取る意味もなくなり(入店時に非接触ID認証)、過渡期のブームで終わりかねない。

2)手数料率のメリットがない

 経済産業省のキャッシュレスビジョンによればわが国のカード決済手数料率は平均3.09%、中央値3.00%で、経済産業省は上限を3.25%にするよう要請している。コード決済事業者の手数料率はキャンペーン期間中はともかく、プリペイドのメルペイの1.50%、LINE Payの2.45%(21年7月31日までは0.00%)を除けば3.24%か3.25%と上限にへばりついている。これでは手数料率軽減のメリットは全くないに等しい。

 銀聯決済システムの手数料率がクレジットカード0.55%、デビットカード0.50%、食品やガソリンなど生活必需品0.38%、医療や教育など社会インフラ0.00%と低いのは古い通信インフラの償却や維持を抱えないリープフロッグな中国だから可能な国策であって、固定電話網など旧世代の通信インフラを抱えたわが国では実現不可能だ。その壁を越えるのは超法規的政治判断しかないのではないか。

 決済に手間取り手数料率が安くもないわが国のコード決済には競争力がなく、アリペイのような第三者決済機能もなく残高に金利もつかないから、手数料なしで個人間送金ができるメリットを除けば魅力を欠く。店頭ではむしろFeliCa系など非接触IC決済が主流となるのではないか。