日本の改革

日本の改革に関するブログです。あるべき改革や政策等について考えていきます。

セブンペイ不正事件:コンビニ最大手のガバナンス崩壊。政府はコンビニを甘やかさず「重要インフラ」に位置付け、リスク対策の法的義務付けを!

セブンペイ不正使用、サイバーセキュリティ対策の強化が空しくなるような、民間企業のひどいガバナンスが明らかになりました。今回の事件を契機に、コンビニもサイバーセキュリティ上の重要インフラと位置づけ、可能な範囲で、安全基準等策定指針を法令に格上げすべきです。

コンビニ最大手のガバナンス崩壊

セブン&アイ・ホールディングスが1日に始めたスマートフォン決済サービス「セブンペイ」をめぐり、第三者による不正利用が相次ぎ、入金と新規登録が全面停止となりました。登録者は150万人、不正利用の被害額は約5500万円です。原因として、メディアは、セブンのシステムの仕様がひどいものだったこと、更に、経営陣がシステム自体に無理解でセキュリティ上の深刻なリスクがあったこと、等を指摘し、批判しています。

日経ビジネスによれば、会員システム「7iD」の仕様がお粗末すぎた、ということです。7iDは、メールアドレスと電話番号などが分かればパスワードのリセットが可能で、第三者が別の端末で乗っ取ることが可能になっていました。また、パスワードの漏洩時に備えた2段階認証の仕組みもありませんでした。これで乗っ取りによる被害が起きて拡大したと言います。

7iDは総合通販サイト用の「オムニ7会員」が名称変更したものですが、これまでは、乗っ取ったとしても割引クーポン程度しか入手できなかったたのが、セブンペイでお財布機能が紐づけされ、不正アクセス可能なお財布になってしまったようです。

business.nikkei.com

更に、セブンペイ社の経営陣が、そもそも二段階認証等の一般的なリスク対策さえ知らず、同社のガバナンス不足が、セキュリティ上の重大な問題になっていることが露呈しました。対応も後手に回り、発覚から入金と登録停止までに2日間かかっています。

www.sankei.com

ひどい話ですが、セキュリティに限らず、コンビニ業界というのは、政府に甘やかされ過ぎている、と感じます。本部と加盟店の間の紛争について、政府は長い間、何の対応もしてきませんでした。公正取引委員会でさえ、コンビニ業界が公取天下り先になっていたりして、何もしていませんでした。最近、24時間営業に耐えられなくなった加盟店が本部を訴えたことで、政府もようやく重い腰を上げました。ところが、世耕経済大臣は当初、まるで経済同友会の言うままに、法的規制はしない、あくまで「要請」だけで、自主的な「行動計画」に任せる、と言っていました。この点は、本ブログでも書きました。

世耕経産大臣によるコンビニ首脳への「任意の要請」は、行政手続法違反の疑いあり。前時代的な行政指導ではなく、法的対応を! - 日本の改革

結局、このブログを書いた後、ようやく、公取独禁法適用を検討し始めました。本当なら、とっくにやっているべきことです。

digital.asahi.com

政府が、レジ袋有料化に踏み切れなかったのも、海洋プラスチック憲章に署名しなかったのも、コンビニ業界の抵抗が一つの原因となっています。これも、本ブログで書きました。

日本政府が海洋プラスチック憲章に署名しなかったのは、化学業界、コンビニ業界等の抵抗のせい。政府の戦略は不徹底、業界エゴに今後も注意必要。 - 日本の改革

そして今度は、コンビニでのスマホ決済という、日常生活の上でも、金融規制の上でも、ITセキュリティの上でも、極めて重要な社会的インフラについて、コンビニ業界最大手のガバナンス不足、能力不足がはっきりしました。産経が社説で言っているように、政府は、セキュリティ対策について、もう民間企業任せ、とりわけ、コンビニ任せにしてはいけません。

【主張】セブンペイ不正 安全対策の総点検を急げ - 産経ニュース

コンビニをサイバーセキュリティ上の「重要インフラ」に位置付け、安全基準等策定指針を法令上の義務に!

今回の事件は、中国人の詐欺グループによるものと見られていますが、背景はまだ分かりません。中国は、国家として組織的に、日本や欧米に対する不正アクセスを行って重要な情報を盗み出しています。当然、民間企業も対象になっていますが、企業の経営者が発覚を恐れて隠ぺいしようとするケースがあるようです。

ロイターによると、中国政府とつながりのあるハッカー集団「APT10」が「クラウドホッパー作戦」と銘打ち、情報窃取目的で政府機関や企業に大規模なサイバー攻撃を仕掛けました。この際、旅行予約大手のセーバーも攻撃対象となりましたが、ヒューレットパッカードがセーバーに専用サーバーを提供していました。セーバーのシステムに中国から攻撃がされましたが、このとき、ヒューレットパッカードの経営陣が、技術陣の指摘に反して、セーバー側に事実を隠蔽しようとしました。

特別リポート:中国クラウドホッパー攻撃、西側敗北の裏事情 - ロイター

(APT10の日本の経団連への攻撃と政府の対応はこちらです)

digital.asahi.com

民間企業だけに任せていては、やはり隠ぺい等の危険があります。今回のセブンペイの事件でも、経営者は、出来るだけ対応を遅らせようとしています。

民間の重要なインフラ企業のサイバーセキュリティについては、内閣サイバーセキュリティセンターが、各企業がしたがうべき安全基準等策定指針を定めています。対象となる「重要インフラ事業者等」は、以下のように決められており、コンビニ業界は入っていないようです。

f:id:kaikakujapan:20190707083803p:plain

出所:内閣サイバーセキュリティセンター

https://www.nisc.go.jp/active/infra/pdf/shishin5rev.pdf

このサイバーセキュリティ上の「重要インフラ」に、コンビニも加えるべきです。今回は、ただの詐欺事件に対する本当にお粗末な対応、ということで済むかもしれませんが、中国政府のハッカー集団が、本気で我が国の日常生活を麻痺させるために、コンビニやコンビニ決済の運営会社に攻撃をかけることは十分考えられます。

そして、可能な限り、企業がしたがうべき安全基準等策定指針も、法令上の義務に格上げするべきです。「指針」にとどまっているのはもちろん理由があるからでしょうが、コンビニ業界のように、ガバナンスが崩壊し、経産省等の関連省庁に甘やかされている企業・業界もあります。民間企業が全くの能力不足・努力不足・倫理観の欠如によって、中国等からのサイバー攻撃を許し、日本国民の日常生活どころか命まで脅かされる事態は避けなければいけません。

コンビニ業界をサイバーセキュリティ上の「重要インフラ」に加えて、安全基準等策定指針は、出来る限り法的義務に格上げすべきです。