「7pay （セブンペイ）」サービスの廃止について - ７＆ｉＨＤ

3382 ７＆ｉＨＤ 2019-08-01 15:00:00

「7pay （セブンペイ）」サービスの廃止について [pdf]

                                             2019 年 8 月 1 日
 各     位
                         会 社 名 株式会社セブン＆アイ・ホールディングス
                         代表者名 代表取締役社長 井阪 隆一
                               （コード番号 3382 東証第一部）
                         問合せ先 取締役 常務執行役員 伊藤 順朗
                               （TEL. 03－6238－3000）

              「7pay（セブンペイ）
                         」サービスの廃止について

 当社は、2019 年 8 月 1 日開催の取締役会において、
                              「7pay （セブンペイ）（以下「7pay」と
                                           」
いいます。サービスの廃止について決議いたしましたので、
    ）                      下記のとおりお知らせいたします。


                            記


１.   7pay サービスの廃止
      当社は、2019 年 7 月 1 日に導入いたしました株式会社セブン・ペイ（本店所在地：東京
     都千代田区、代表取締役社長：小林 強）が運営するバーコード決済サービス 7pay におい
     て一部アカウントに対する不正アクセスが発生したことを真摯に受け止め、新たに緊急対
     策本部を設置し、2019 年 7 月 11 日には、外部 ID によるグループ各社のアプリへのログイ
     ンを一時停止するとともに、    外部情報セキュリティ会社と連携しながら、     セキュリティ対策
     プロジェクトにおいて、被害状況の把握と発生原因の調査を進め、今後の対応等を含めた検
     討を重ねてまいりました。
      その結果、(1)7pay について、チャージを含めて全てのサービスを再開するに足る抜本的
     な対応を完了するには相応の期間を必要とすると想定されること、(2)その間、サービスを
     継続するとすれば「利用（支払）のみ」
                      、という不完全な形とせざるを得ないこと、(3)当該
     サービスに関し、お客様は依然としてご不安をお持ちであることから、2019 年 9 月 30 日
     24:00 をもって 7pay サービスを廃止することを、本日開催いたしました当社取締役会にて
     決議いたしました。
      なお、7pay サービスの廃止後におきましても、株式会社セブン・ペイが運営しておりま
     す決済の取次サービス事業等は従前どおり継続いたしますので、7pay サービス以外の当社
     グループの金融・決済サービスには本日お知らせする事項の他、特段の影響はございませ
     ん。
      皆様には多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。


２.   再発防止に向けた当社グループの取り組みについて
（１）セキュリティ対策プロジェクトについて
      当社グループでは、上記不正アクセス事案（以下「本事案」といいます。）が発生したこ
     とから、その原因を究明するため、外部情報セキュリティ会社と連携し、内部管理体制の確




                            1
  認、被害状況の把握、会員認証方式脆弱性の再点検、及び新たな認証方式の立案を目的とし
  てセキュリティ対策プロジェクトを立ち上げました。
（２）本事案発生の原因について
   本事案については、捜査当局による捜査が引続き行われておりますが、当社は、これまで
  の調査に基づき、本事案の手口は、いわゆるリスト型アカウントハッキング（※）によるもの
  である可能性が高いとの結論に至りました。そして、こうした手口による犯行を防ぐことが
  できなかった大きな要因として、7pay に関わるシステム上の認証レベルに関し、開発当初
  より様々な観点から議論、検証を進めたものの、最終的に「複数端末からのログインに対す
  る対策」や「二要素認証等の追加認証の検討」が十分でなく、リスト型アカウントハッキン
  グに対する防御力を弱めたとみられることがあります。その背景として、7pay の開発体制
  に関し、7pay のシステムの開発にはグループ各社が参加しておりましたが、システム全体
  の最適化を十分に検証できていたか、  また、7pay におけるシステムリスク管理体制に関し、
  株式会社セブン・ペイにおける、リスク管理上、相互検証、相互牽制の仕組みが十分に機能
  していたかについて、今後、更なる検証が必要であるものと考えております。
（３）検証チームの設置
   当社は、本事案が発生するに至った「組織及び意思決定等のガバナンス上の背景」を客観
  的に検証し、原因究明及び再発防止策の策定等を行うため、弁護士を中心とする検証チーム
  を設置いたしました。当社グループといたしましては、今後、検証チームによる検証結果を
  踏まえ、再発防止に努めてまいります。
（４）7iD パスワードの強制リセット
   本事案の直接的な手口が、リスト型アカウントハッキングによるものである可能性が高
  いことを踏まえ、当社は、セブン&アイグループ共通の 7iD につき、サービスをより安全に
  ご利用いただくため、セキュリティ強化の一環として、2019 年 7 月 30 日、強制ログアウ
  トの上、パスワードを強制リセットさせていただいております。
（５）今後の安全確保について
   本事案を踏まえ、今後、当社に、グループ横断的に情報セキュリティを統括管理する組織
  を設置する予定です。これにより、当社が中心となって、グループ全体の情報セキュリティ
  水準を高めることができると考えております。

 （※） リスト型アカウントハッキングとは、あるウェブサイトから漏えい又は不正に入手した ID とパスワードを
    使い、他のウェブサイトへ不正ログインを試みる手法をいいます。リスト型アカウントハッキングに対する
    防御のために、利用者においてはパスワードを使い回さないことが重要であり、インターネットサービス提
    供業者においては ID・パスワードの使い回しに関する注意喚起の実施や二要素認証の導入等が指摘されてい
    ます。


３. 今後のグループ決済サービス事業について
   当社グループといたしましては、金融戦略の柱の一つである決済サービス事業において、
  7pay サービスが採用しておりますバーコード決済サービスのみならず、グループにて既に
  導入され広くご愛顧いただいております電子マネーnanaco サービスの強化も含め、急速に
  進展しているキャッシュレス社会における金融・決済サービスの状況を踏まえ、当社グルー
  プの豊富な事業プラットフォームを活かしつつお客様満足度の向上をはかり、小売・金融を
  横断したお客様への新たな価値提供に向けた体制を構築すべく、総合的に検討してまいり
  ます。また、今般、7pay サービスが不正アクセスによる攻撃を受けることとなった事態を
  真摯に受け止め、サービスの廃止を決定いたしましたが、キャッシュレス化への社会的ニー
  ズはきわめて高く、そのニーズへの対応は今後ますます重要性を増していくと考えており




                           2
  ます。このため、当社グループでは、様々な決済サービスとの連携を積極的に推進し、お客
  様に快適にお買物いただける環境を提供してまいります。
   当社といたしましては、当社グループの金融・決済サービスにおいて、不正アクセスの防
  止をはじめとするセキュリティ対策の徹底が最重要課題の一つであることを今後のサービ
  スの開発段階から周知徹底するとともに、必要な社内組織体制を整備し、お客様が安心して
  利用できる金融・決済サービス事業を構築してまいります。


４. 業績への影響
   本サービスの廃止に伴う今期の連結業績に与える影響は軽微です。
                                        以上




                     3