セブン&アイ・ホールディングス(HD)の決済サービス「7pay(セブンペイ)」が不正利用に見舞われ、「被害額はすべて補償する」と発表した。では、他社でも不正利用された被害額はしっかり補償されるのか? LINE Pay、PayPay、メルペイなど15事業者を緊急点検したところ、意外な違いが浮かび上がった。
セブン&アイHDが7月1日に開始し、直後に不正利用が発覚したセブンペイ。同社によると、7月4日午前6時の時点における試算で被害者は約900人、被害額は約5500万円に上るという。クレジットカードとデビットカードのチャージに加え、現金などでのチャージも停止。新規登録も一時停止した。
不正利用された原因の1つは、なりすましの防止などに有効とされる「2段階認証」の仕組みがなかったこと。2段階認証にしなかったことについて、運営会社であるセブン・ペイの小林強社長は記者会見で、「セブンペイの基本設計は7iD、セブン-イレブンアプリがあって、決済機能としてのペイがある。2段階認証を使っている他のアプリと同列に比べるのは…」と語った。決済のセキュリティーのことを聞かれているのに、自社のデジタル戦略を語ってしまうあたり、決済サービス提供者としては致命的といえる、認識の甘さが垣間見える。
2018年12月に「100億円あげちゃうキャンペーン」でクレジットカードからの不正利用が問題となったPayPayは、19年1月に本人認証サービス「3Dセキュア」を導入。キャンペーン時の不正発生率が第一弾では0.996%だったが、第二弾では0.0004%まで低下した。
キャッシュレス決済の事業者であれば、PayPayの事例を他山の石とし、セキュリティー体制について今一度、考える機会になったはずだが、セブン&アイにとっては違ったようだ。
不正に対する補償、事業者によって大差
では、キャッシュレス決済の各事業者のサービスを使って実際に被害に遭ってしまった場合、どれくらい補償されるのか? 15事業者の「不正利用時の補償対応」を調査したところ、大きな差が浮かび上がってきた。以下が6月中旬時点に各社からアンケートで得た一覧表だ(日経トレンディ2019年8月号「スマホ決済完全ガイド」より抜粋)。
出色なのはPayPayの「無制限」。事案ごとの判断にはなるというが、限度額を設けていないと明言している。LINE Payは2段階で対策を取り、本人確認後は状況次第で補償額を上積みする。
多かったのは「規定無し」という事業者。ただこれは「補償されない」という意味ではなく、「個別対応」で補償する方針という意味合いのものが多い。渦中のセブン・ペイは「不正が認められた直前の残高を補償」としており、実際に今回の問題を受けて、社長の小林氏が「全被害を補償する」と明言した。
一方で、「原則責任を負わない」としているのがメルペイだ。利用規約に、「第三者の使用、不正アクセス等による損害の責任はユーザーが負うものとし、弊社は、アカウント情報が用いられたメルペイアカウントの利用については、全て当該ユーザーによる利用として取扱い、一切責任を負わないものとします」と明記されている。あくまでユーザーの自己責任としているので気を付けたい。
クレジットカードの場合は、原則60日以内の不正利用に関しては補償を設けている会社も多いが、キャッシュレス決済は発展途上のサービスゆえにセキュリティー対策が固まりきっていない印象だ。「個別に対応」とする会社が多いのは、リスクが把握しきれていないということの裏返しとも言える。「今後、トラフィック量が増えれば不正利用の発見精度も上がる」という声もあり、リスクが明確になれば、おのずと各社の補償体制も確立されてくるだろう。
なお日経トレンディ8月号では、各社へのアンケートをもとに不正利用時の対応をまとめている。これらを含め全15サービスを評価し、ランキング化した。
