セブン・ペイ

株式会社セブン・ペイ（英語: Seven Pay Co., Ltd.）は、スマートフォン決済サービス7pay（セブンペイ^[3]）を提供していた企業^[1][4]。セブン&アイ・ホールディングス (7&i) グループに属し^[5]、セブン・フィナンシャルサービスとセブン銀行の子会社^[4]。

株式会社セブン・ペイ
Seven Pay Co., Ltd.^[1]

種類	株式会社
本社所在地	日本 〒102-0084 東京都千代田区二番町4-5[1] 北緯35度41分09.992秒 東経139度44分09.401秒
設立	2018年6月14日[1]
廃止	2025年（清算結了）
法人番号	3010001192675
事業内容	スマートフォンをツールとした決済サービス等[1]
代表者	代表取締役社長 水落辰也[1]
資本金	1億円[1]
売上高	16億3100万円（2020年02月29日時点）[2]
営業利益	▲22億9200万円（2020年02月29日時点）[2]
経常利益	▲22億9200万円（2020年02月29日時点）[2]
純利益	▲122億円（2020年02月29日時点）[2]
純資産	▲27億3800万円（2020年02月29日時点）[2]
総資産	219億6900万円（2020年02月29日時点）[2]
決算期	2月末日
主要株主	セブン&アイ・ホールディングス(40%)[1] セブン・フィナンシャルサービス(30%)[1] セブン銀行(30%)[1]
外部リンク	www.7pay.co.jp

サービスを開始した2019年7月に、不正利用事件によりサービスを停止。7pay事業は2019年9月30日に廃止され、会社は2025年に清算結了^[6][7]。。セブン銀行は7payに30億円の投資をし、2020年3月の決算でセブン・ペイに約30億円の損失を計上した^[8]。

沿革

• 2018年（平成30年）6月14日 - 株式会社セブン・ペイ設立^[1]。
• 2019年（令和元年）
  • 7月1日 - 「7pay」サービス開始^[9][10][11]。
  • 7月2日 - 「身に覚えのない取引があった」との問い合わせが寄せられる^[12][13]。
  • 7月3日 - 「7pay」の大規模な不正利用が判明し、サービスの制限を開始。以後、サービス制限の範囲を拡大（詳細後述）。
  • 7月4日 - 店舗レジ及び、セブン銀行ATMからの現金チャージ利用を停止。新規会員登録を停止。^[12]
  • 7月8日 - 一連の不正使用案件に関連し、金融庁がセブン・ペイに対して資金決済法に基づく報告徴求命令を出す^[14]。
  • 7月11日 - 外部IDによるログインを停止^[12]。
  • 7月30日 - 共通IDの7iDの全会員約1650万人のパスワードを一斉リセット^[12][15][16]。
  • 8月1日 - 7pay のサービスを2019年9月30日24時に廃止することを発表^{[12][17][18][19]}。
  • 9月27日 - 残高払い戻し方法を発表^[20][21]。
  • 9月30日24時 - 7pay サービス終了^[22]。
  • 10月1日 - 7pay 残高の払い戻しを開始。^[23]。
  • 10月10日 - 代表取締役社長を水落辰也に交代（セブン・フィナンシャルサービス代表取締役社長、セブン・カードサービス代表取締役社長を兼任）^[24]。
• 2020年
  • 1月10日 - 7pay 残高の払い戻し期間が終了^[25]。

7pay

7pay（セブンペイ）は、7&iグループのコンビニエンスストアであるセブン-イレブンの公式アプリ『セブン-イレブン アプリ』に組み込まれた決済サービス^[26]である。

アカウント管理は7&iグループ共通の会員アカウント「7iD（セブンアイディ^[27]）」により行われ、利用には7iDの取得が必要になる。

チャージはnanacoポイント、クレジットカード（セブンカードおよびJCB・Visa・MasterCard）、デビットカード、セブン銀行ATM（現金チャージに限る）、レジでの現金チャージに対応する^[10]。

なお、7&iグループ独自のICカード型非接触式電子マネー「nanaco」とは直接の互換性がなく、nanacoのチャージ残高を7payに移行することはできない^[10]。なお、nanacoの利用で貯めたnanacoポイントは7payアプリ経由で7pay残高にチャージすることはできる^[10]。

決済音はヒャダイン（前山田健一）が作曲したオリジナル^[9]:3。サービス開始時のプレスリリースにて「毎日聞くものだからこそシンプルでかつハッピーに。ぜひ永く愛される決済音になってほしいと願っております」とコメントしていた^[9]:3[28]。

不正利用事件

7pay不正利用事件

日付	2019年7月1日～9月30日
場所	日本
原因	システムに存在した複数の脆弱性など
結果	7payサービスの提供終了
損害	約4000万円の不正利用

サービスイン翌日の2019年7月2日、7pay利用者より「身に覚えのない取引が計上されている」と問い合わせがあり、7月3日に社内調査を行ったところ不正利用が発覚した。同時にセブン・ペイではクレジットカードやデビットカードからのチャージを一時停止した^[29]。7月4日18時5分からはサービスの新規登録も一時停止となり、同日にはすべてのチャージを一時停止した^[30][31]。

7月12日東京都千代田区内のセブン-イレブン店舗に勤務する中国人アルバイト従業員の女が、7payを不正に取得し決済したとして窃盗の容疑で警視庁の組織犯罪対策特別捜査隊に逮捕された^[32]。被害額は7月31日現在で808人のアカウント、38,615,473円に上り、これらの被害額についてはセブン＆アイ・ホールディングスが全額補償する^[12]。

セブン・ペイ側は、7月4日の緊急記者会見で「事前にセキュリティー審査を繰り返し、脆弱性は指摘されなかった」と説明していたが、この時点で「7iD」に2段階認証やパスワード変更の通知機能が導入されていないことなど、認証システムに問題があると指摘されており、記者から2段階認証に関する質問を受けた際にも、それに社長は答えられなかった^[33][34]。また、経済産業省も一般社団法人キャッシュレス推進協議会が策定した『不正利用防止のためのガイドライン』^[35][36][37]が守られていなかったことを指摘した^[38][39]。

その後の調査で「7iD」が、外部IDでログインしている他人のアカウントにパスワードなしでログインして、なりすますことができたことが明らかになった。OpenID Connectなどの認証連携プロトコルで定めている、なりすましを防ぐためのチェック手順が実装されていなかったと推察されている^[40]。また「7iD」にログインした後に認証システムから取得できるユーザーデータの設計にも問題があり、ハッシュ化されたパスワードを含む広範な個人データを取得できたという^[40]。

事件後の対応

セブン&アイ・ホールディングスは7月11日17時、7payのほかセブンネットショッピングなど7iD経由でアクセスする全てのサービスについてFacebook・Twitter・Google・Yahoo!・LINEの5つの外部IDによるログインを遮断した^[41][42]。

セブン&アイ・ホールディングスは8月1日、今回のトラブルの原因について「7payに関わるシステム上の認証レベルの問題」「7payの開発体制の問題」「7payにおけるシステムリスク管理体制の問題」とした上で、「現在の7payのサービススキームに基づきサービス提供を継続することは困難である」として、9月30日24時を以て7payのサービスを廃止すると発表した^[12]。

今後のキャッシュレス決済導入について、7pay廃止に伴うニュースリリースでは「グループ外で提供されるキャッシュレス決済の導入を進めることとしている」^[12]としつつも、同日行われた記者会見ではセブン&アイ・ホールディングスの後藤克弘副社長が「時期や内容は白紙」としながらも「当社は引き続きキャッシュレスサービスの可能性を探るとともに、快適に買い物ができる環境を整えていく」と述べるなど、独自のキャッシュレス決済再導入の可能性を否定しなかった^[43]。また、トラブルの要因の一つとなった 7iD についても「（外部IDログインの停止やパスワード強制リセットによるリスクの極小化により）7pay以外のサービスの利用では十分な（セキュリティ）レベルであることが確認できた」として使用を継続することを表明している^[44]。

この問題の責任を取る形で、同年10月10日に、セブン・ペイ社長小林強が退任し（後任者は水落辰也^[24]）、セブン&アイ・ホールディングスの社長井阪隆一と副社長後藤克弘が役員報酬を一部返上した^[45]。

セブン・ペイはサービス停止後、2020年1月10日まで、残高を残しているユーザーに対して払戻しを行った^[25]。払い戻しの申請完了にはおよそ16ステップ必要であることなどが指摘された^[46]。この終了時点で払い戻しを受けていないユーザーは約25万人、未払い残高は約7000万円に上った^[25]。

その後、2020年8月にPayPayと提携し、セブン-イレブン アプリにPayPayによるキャッシュレス決済機能を組み込むことを発表^[47]、2021年2月25日よりサービスを開始した^[48]。これにより本来は7payで担う予定だったキャッシュレス決済及びセブン-イレブン アプリの会員コード読み取りのワンストップサービスが再び可能となった。