7月1日にサービスが開始されるや不正アクセスの被害が相次ぎ、わずか3日で新規登録やすべてのチャージサービスが停止となった7pay。セブンイレブンが社運をかけて臨んだはずの同サービスは、なぜこのような「憂き目」を見る状況となってしまったのでしょうか。米国在住の作家・冷泉彰彦さんは自身のメルマガ『冷泉彰彦のプリンストン通信』で、スキルのない人間がトップに立てる日本企業の制度に問題があるとして、その理由を記しています。
トホホな「7pay」騒動、スキルのないトップはオワコン
鳴り物入りでスタートしたにも関わらず、直後に巨額の不正利用事件を起こしてしまい、大コケになってしまった格好の「7pay」ですが、具体的には何が悪かったのでしょうか?
勿論、生年月日入力が必須でなく、空欄にしておくと一律のバリューを自動設定してくるとか、登録アドレスに一旦メールを返す軽度の「2段階認証」もしていない、スマホの特定が緩いので乗っ取りが簡単とか、具体的にはトホホな仕様の積み重ねだったという指摘は可能です。
ですが、一番の問題はやはり、運営会社「セブン・ペイ」の小林強社長が、記者会見の質疑応答の中で「2段階認証」という用語を「知らない」ことがバレてしまったという点でしょう。
この問題ですが、企業のトップが「テックのセキュリティ問題に関する重要な概念」を知らなかった、ということで炎上しているわけですが、考えれば考えるほど怖いことだと思います。
まず、社長が「2段階認証」という概念を知らなかったということは、サービスの立ち上げに当たって、「認証方法の最終仕様」の検討が、社長まで上がらなかったということを証明していると思います。これだけでも、ものすごく怖い話ですが、21世紀の現代にどうしてそんなことが起き得るのでしょうか?
そこで考えられるのは3つのシナリオです。
1つは、社長が「イケイケドンドン」の「営業タイプ」であった可能性です。とにかく「お客様は神様」なので、登録は「簡単にして、すぐに使えるようにせよ」とか、今回の「おにぎり一個無料」というキャンペーンを強引に進める中で、「お客様をガッカリさせるな」とか「テックに弱いお客様が操作に迷うようならダメだ」というような発想で、思い切り間違ったリーダーシップが発揮されてしまったと思われます。
更にそこに「ライバルが7月1日スタートなら、絶対に同時スタート」だという、日程的な焦りもあったでしょう。とにかく「スピード」と「顧客の利便性」を優先して突っ走れば「何とかなる」という猛烈に古いマネジメントがされていたという可能性です。
2つ目の可能性は、そうではなく「取引先との調整」、つまり、この社長さんは一部報道によれば往年の興長銀の出身らしいですから、例えば「7pay」の立ち上げに当たって、銀行引き落としがスムーズに行くようにとか、クレカ決済がサクッといくように、という感じで、取引先の金融機関を回ったり「よろしく頼みます」というような「トップ調整」をやって、それで満足してしまった可能性があります。つまり、セキュリティなどの「実務」は部下に任せて知らん顔という可能性です。
3つ目のシナリオは、これは日本の高齢経営層に特有の問題なのですが、テックの業界におけるセキュリティ問題について根本的な誤解をしているという可能性です。それは、「悪意の不正アクセス」は「悪」であって、その被害者は「善玉」だという勘違いです。
確かに被害に遭った最終消費者は「善玉」ですから救済されなくてはなりません。ですが、攻撃を受けて「負けてしまった」、つまり自分たちの防御に脆弱性があって、不正アクセスを許してしまったサービス提供者は、消費者と同じように「善なる被害者」ではないのです。プロフェッショナルであるべき「サービスの提供者」には、消費者を守る義務があるわけでセキュリティ問題で「負けてはいけない」のです。「脆弱性を残すことは許されない」のです。
ここのところが、どういうわけか、世界中で日本の高齢経営層だけが、妙な勘違いをしています。昔、ソニーがやらかして大炎上したわけですが、今回もそうであった可能性があります。つまり「セキュリティを破られた」責任をあまり感じないで、「自分たちは悪くない」とか「自分たちも被害者」という感覚で、ウロウロしていた可能性です。
勿論、以上のシナリオは推測に過ぎません。ですが、企業のトップが「2段階認証」を知らなかったという点は紛れも無い事実である以上、そこからはこのような恐ろしいシナリオの可能性が浮き上がってくるのはどうしても避けられないのです。
この問題の背景には、「スキルのない人間がトップに立ってしまう」という日本の組織の特質があるように思います。どうしてなのでしょうか?
まず「過去の実績」で昇格して最後は役員やトップになってしまうという、間違った人事があります。過去の実績はあくまで過去のものであり、現在、つまり21世紀の2019年という時点で進行している問題について、適切な判断を下せるとは限らないのです。にも関わらず「過去に成功した」ことだけを根拠にその人に権力を与えるというのは、その人事自体がリスクだと考えなくてはなりません。
もう1つは、年功です。長く勤務していたとか、歳が上だというだけで、その人に権力を与えるのが日本式です。これも、全く同じで「人事それ自体がリスク」以外の何物でもありません。
さらに言えば「調整力」です。取引先との調整ができる、監督官庁との調整ができる、あるいは金融機関との調整ができる、そのことを期待されて役員になったり、経営者にしたりという人事があります。ですが、そのような「調整」が通用するのは国内だけです。海外から猛烈な勢いで変化の波が押し寄せる、また海外から押し寄せるインバウンドの顧客が重要な収入源になるというのが現代です。
現代のビジネス環境では、事実を直視して、変化の方向性を見極める能力が必要なのに、調整型の人材が大手を振って「のさばっている」のであれば、それはどんどん見直さなくてはなりません。
それにしても、「一部のOSではなんと会員登録時に生年月日を登録なしにでき、その場合は「2019/1/1」が自動入力がされる」という仕様については、驚愕するしかありません。これでは、ドロボーに合鍵を配りながら金庫を売っているようなものだからです。こうなると、ベンダーのどこかが裏切っているとか、意図的に手を抜いた可能性もあるように思います。
仮にそうだとしても、マネジメントが見抜いてストップをかけるべきであり、そのスキルがなかったのですから、何を言われても弁解の余地はありません。
こんなことが繰り返されるようだと、フィンテックの分野では日本人も「中国系のサービスの方が信用できる」ということになり、気がついたら何もかもを海外勢に取られていたということにもなりかねません。
とにかくスキルのない人材に権限が行ってしまうというのは、日本の企業が持っている「制度的なリスク」としか言いようがありません。
以前にコンピュータを使ったことのない人物が、サイバーセキュリティ担当大臣になって世界から失笑を買ったことがありました。ですが、恐らく国際的な犯罪集団は、そのエピソードをしっかりと見ながら「虎視眈々とチャンスをうかがっていた」のだと思います。「日本の場合は、スキルのない人間がトップに立つカルチャーがある、ならば、そこが狙い目だ」と。
こうなったら、一定以上のスキルのない人材は、どんなに学歴や職歴があっても、公職追放するとか、強制学習施設に放り込むとかして、若くて能力のある人材にどんどん権限を与えていくようにしないと、日本経済全体が沈没してしまうと思います。
image by: セブンペイ公式HP