7pay不正利用(7pay不正利用で露呈したセブン&アイの「ITオンチなのに自前主義」、「7pay」不正問題には 日本企業の経営のダメさが凝縮している これはマネジメントの問題だ、セブンペイは氷山の一角!ITオンチ企業が陥るデジタル戦略の落とし穴、7pay大失敗に見る セブン帝国最大の強み「結束力」に生じた亀裂) [企業経営]
今日は、7pay不正利用(7pay不正利用で露呈したセブン&アイの「ITオンチなのに自前主義」、「7pay」不正問題には 日本企業の経営のダメさが凝縮している これはマネジメントの問題だ、セブンペイは氷山の一角!ITオンチ企業が陥るデジタル戦略の落とし穴、7pay大失敗に見る セブン帝国最大の強み「結束力」に生じた亀裂)を取上げよう。
先ずは、7月5日付けダイヤモンド・オンライン「7pay不正利用で露呈したセブン&アイの「ITオンチなのに自前主義」」を紹介しよう。
https://diamond.jp/articles/-/207950
・『コンビニ業界の王者・セブン-イレブンを擁するセブン&アイ・HDが満を持して7月1日にスタートさせた独自のキャッシュレスサービス「7Pay」。だが、同月2日に不正利用が発覚し、4日の謝罪会見では幹部の“ITオンチ”ぶりと当事者意識のなさが露呈。消費者の信頼を失墜させている』、お粗末極まる対応には、呆れ果てた。
・『たった4日で900人、5500万円の被害 サービス開始から4日で謝罪会見――。コンビニエンスストア業界の圧倒的な王者であるセブン&アイ・ホールディングス(HD)の子会社が、全国のセブン-イレブンの店舗で7月1日に始めたキャッシュレス決済サービス「7Pay」で、不正利用が発覚。4日に運営会社である7Payの小林強社長らが都内で記者会見して謝罪した。 何者かが利用者のアカウントに不正にアクセスし、利用者が登録していたクレジットカードやデビットカードからお金をチャージ。セブン-イレブンの店舗で、タバコなど単価が高く換金性のある商品を購入していたケースがあったという。 同社によると、4日午前6時現在で約900人、約5500万円の被害があったとみられる。 ただ会見では、不正アクセスは中国など海外の複数の国からあったとは説明されたものの、原因は「調査中」の一点張り。詳細は明らかにされなかった。 7payのセキュリティのずさんさについて、被害者やセキュリティの専門家などがインターネット上で検証作業を進めている。7Payを使うために必要な「7iD」のパスワードを忘れて新たに登録し直す際に、登録したメールアドレス以外のアドレスにパスワードを知らせるメールが送ることができてしまうことや、本人確認のために、SMS(ショートメッセージサービス)に数字などのコードを送って入力させる「二段階認証」と呼ばれる仕組みを採用していなかったことなどが指摘されている』、典型的な謝罪会見の割には、危機管理が全く出来ていない後世に語り継がれるようなお粗末な会見だった。
・『「二段階認証?」と聞き返した7Pay運営会社トップ こうした7payのセキュリティについて、当然記者会見で注目が集まった。ところが、「どうして二段階認証を採用しなかったのか」という報道陣の質問に対して、7Payの小林強社長が「二段階認証?」と聞き返し、さらには「二段階云々」と発言。運営会社トップがキャッシュレス決済の安全の基本を知らないという”ITオンチ”ぶりを露呈する事態となった。同様に不正利用があったソフトバンクとヤフーが展開する「PayPay」が、二段階認証を採用していても不正を防げなかった先行事例の教訓を学んでいないように見える。 さらに、同席したセブン&アイ・HD執行役員の清水健・デジタル戦略部シニアオフィサーは、不正利用について謝罪したものの、「(サービス開始前に)セキュリティー審査をしたが、脆弱性は確認されなかった」と繰り返すなど、当事者意識がまるで感じられない姿勢を見せた。 そもそもリアルのコンビニ店舗では“業界最強”を誇るセブンだが、インターネット戦略では迷走を繰り返してきた経緯がある。 2015年にスタートしたインターネットショッピングサイト「オムニセブン」は、アマゾンや楽天などすでにECの巨人が市場に浸透した後の進出となり、品揃えの不十分さもあって拡大しなかった。 そこで戦略を切り替え、コンビニ店舗で使えるスマートフォンアプリ「セブンアプリ」を18年6月にリリース。利用者に割引クーポンを送るなどのメリットを付与し、ダウンロード数は1000万を超えた。 だが、同年に小売店の店頭を席巻したのは、前出のPayPayや、LINEの「LINE Pay」などIT大手のキャッシュレス決済サービスだった。業界2位のファミリーマートやローソンは、いち早くこれらのサービスを店頭で使える態勢を整えた。 だがセブンは、これらの利用開始がようやく今月と出遅れたうえに、ようやく独自開発の7Payのスタートにこぎつけたが、いきなり大きくつまずいたわけだ』、「小林強社長が「二段階認証?」と聞き返した」、のもさることながら、「清水健・デジタル戦略部シニアオフィサーは・・・「(サービス開始前に)セキュリティー審査をしたが、脆弱性は確認されなかった」、との言い訳には絶句した。審査のいい加減さを自ら暴露しただけだ。
・『コンビニ創業の成功体験に自信 IT人材が払底 セブンの今回の失態は、長くこだわってきた「自前主義」が、専門外のITの世界で通用しなかったことが大きい。 なぜ、セブンはそこまで自前主義にこだわるのか。総合スーパーのイトーヨーカ堂などを擁するグループ内で圧倒的な力を持つのは、国内コンビニを展開するセブン-イレブン・ジャパンだ。日本独自のコンビニというビジネスモデルを創り上げたのが彼らであることは間違いない。 ところが最近は、人手不足や過剰出店に苦しむフランチャイズ加盟店との間で、営業時間や粗利の分配比率をめぐって対立し、経済産業省や公正取引委員会が是正に乗り出すほどの社会問題となっている。 にもかかわらず自ら抜本的な見直しに踏み込めないのは、自前主義によって、国内コンビニ業界で王者の座を築いた成功体験への、自信とこだわりが強すぎるからだと指摘されている。 コンビニ業界2位のファミリーマートも、7Payと同時に独自のキャッシュレス決済サービス「ファミペイ」をスタートさせた。ただし、こちらは貯まったポイントをNTTドコモの「dポイント」や、楽天ポイントと連携させるなど、セブンとは異なる「オープン主義」を掲げる。 さらにファミマでは、キャッシュレス事業を進めるにあたっても、購買情報などビッグデータの活用を重視する親会社の伊藤忠商事が人材を送り込むなどして深く関与している。ローソンも独自決済サービスこそ始めていないが、決済関連部門に親会社である三菱商事の人員が入っている。 その一方で、セブン&アイ・HDで重要なのはリアル店舗のコンビニ。商品開発、出店、オーナー対応といったコンビニ運営に関わる部署が花形で、前述のオムニセブンなどネット関係の部署は一段低く見られている。ITや決済関連の専門知識を持つ社員の数はそもそも少なく、人材が払底している。 記者会見で失態を曝した7Payの小林社長は、かつてセブン&アイ・HD取締役として「オムニチャネル推進室長」を務めたものの、鈴木敏文名誉顧問が追いやられたクーデターよりも前の15年5月に取締役を退任。グループ内の出世の“本流”から外れた人物と目されていた。 それに加えて、7Payには他の事業会社で問題を起こしたり、成果を上げられなかった社員が送り込まれたりするケースがある。こうした環境では社員のモチベーションも保てず、独自のキャッシュレス決済サービスを導入するのに十分な体制だったか疑問符がつく。 後発組にもかかわらず、利用者の「安心・安全」を守れなかった7pay。キャッシュレス決済そのものへの信頼を失墜させた責任はあまりに重い』、IT部門は社内データの分析が中心で、外部のネットワークの接続では全くノウハウがなかったのだろう。今朝の日経新聞によれば、営業時間短縮を訴えた加盟店が、日曜休業を申請、本部は今回も契約解除で脅しているようだ。セブン-イレブンは、組織としてまともに機能しなくなったようだ。
次に、経済評論家の加谷 珪一氏が7月9日付け現代ビジネスに寄稿した「「7pay」不正問題には、日本企業の経営のダメさが凝縮している これはマネジメントの問題だ」を紹介しよう。
https://gendai.ismedia.jp/articles/-/65747
・・・『満を持して投入したサービスが4日でダウン セブン&アイ・ホールディングス傘下の決済サービス会社セブン・ペイは2019年7月4日、都内で記者会見を開き、同社のスマートホンフォン(スマホ)決済サービス「7pay(セブンペイ)」のアカウントが、第三者による不正アクセスを受けたと発表した。 7payは、スマホを利用したQRコード決済のサービスのひとつで、7月1日に事業をスタートしたばかりである。スマホにダウンロードしたアプリにクレジットカードなどからお金をチャージし、アプリが表示するバーコードを店員がスキャンすることで決済が完了する。 QRコード決済のサービスは、操作が簡便であることから、中国などを中心に爆発的に普及しており、国内でもソフトバンクグループのPayPayが100億円還元キャンペーンを実施するなどシェア争いが激化している。 7payは、QRコード決済としては後発だが、セブン-イレブンという巨大な店舗網を背景としたサービスであり、競合各社にとっては警戒すべき相手だったに違いない。だが、同社のサービスはわずか4日でハッキングされ、大半のサービスを停止せざるを得ない状況に追い込まれた。 セブン-イレブンの知名度が高いだけに社会に与えたインパクトも大きく、下手をするとQRコード決済そのものに冷や水を浴びせかねない状況だ。 これに加えて今回のトラブルでは、会見に臨んだ同社トップが、セキュリティについてほとんど知識を持っていないことが明らかになるなど、ずさんな経営体制も露呈している。 今回の不正アクセスの被害者は現時点で約900人、金額は約5500万円とされているが、今回の不正アクセスの原因はどこにあったのだろうか』、原因を解明してもらいたいところだ。
・『「2段階認証って何?」の衝撃 不正アクセスの詳細について会社側は完全に情報を開示していないので、現時点で明らかになっている情報をベースに考察すると、2段階認証と呼ばれる本人確認の仕組みを採用していなかったことと、パスワードを変更する際、登録したメールアドレス以外のアドレスでも手続きができるようになっていたことの2つが大きいと考えられる。 同社以外のQRコード決済サービスでは、本人確認に2段階認証の仕組みを導入している。最初に登録したスマホとは異なるスマホでログインするといった操作を行う場合、携帯電話のSMS(ショートメッセージサービス)にパスワードが送られ、それを入力しない限り次の操作に移ることができない。携帯電話そのものを盗まれない限り、簡単に第三者がアカウントを乗っ取ることはできない仕組みだ。 ところが7payでは、この仕組みが導入されていなかったことから、パスワードが破られてしまうと、第三者がアカウントを乗っ取ることができてしまう。 会見では、記者から「なぜ2段階認証の仕組みを採用しなかったのか」という質問が出たものの、同社トップが「2段階認証?…」と言葉に詰まる状況となり、逆に記者から2段階認証の仕組みを説明され、はじめてその概念を理解するという出来事があった。 これに加えて同社のサービスでは、パスワード失念などリセットが必要となった場合、あらかじめ登録しているメール・アドレスとは別のアドレスに手続きメールを送ることができる仕組みになっていた。同社は、セブン-イレブンやイトーヨーカドー、ネットショッピングのオムニ7などにおいて、多くの既存会員を擁している。各サービスに共通するIDも発効しているので、既存会員は当然、7payも使うことができる。 既存会員の中にはキャリアメール(NTTドコモなど通信会社が提供するメール)でID登録をした人も多く、格安SIMなどへの乗り換えによってキャリアメールが使えなくなっている可能性があることから、別のアドレスも使える仕様にしたという。 若年層でキャリアメールを使っている人はあまり見かけないが、セブンの場合、中高年以上の利用者も多く、キャリアメールでの登録が多かった可能性は高いだろう。だが、パスワードの変更手続きを登録メール以外でもできるような設定にしてしまえば、アカウント乗っ取りが多発するのは自明の理であり、これは明らかにサービスの設計ミスいってよい』、利便性を重視するの余り、セキュリティを疎かにするというのはお粗末過ぎる。
・『経営トップは技術に詳しい人であるべきか? 同社トップが2段階認証を知らなかったことについてはネットを中心に驚きの声が上がっている。2段階認証の仕組みは、セキュリティ分野における初歩の初歩の概念なので、いくら技術の専門家ではないとはいえ、決済サービスのトップがこれを知らなかったというのは、大きな問題といってよいだろう。 だが、技術に詳しい人をトップに据えればそれで問題が解決するのかというと話はそう単純ではない。これはトップが技術に詳しいかどうかということではなく、日本企業が抱えている深刻な経営問題と捉えた方がよい。 一般論として経営トップに立つ人は、自身が経営する企業の製品やサービスについて詳しく知っておく必要がある。だが、技術が細分化されていたり、経営領域が拡大すれば、当然、自身ではカバーできない部分も出てくる。 技術に詳しい人が必ずしも経営者としての適正(正しくは「適性」)を備えているとは限らないので、トップの人選にあたってもっとも重視されるべきなのは、やはり経営者としての能力であることは言うまでもない。 仮に技術に詳しくなくても、優秀な経営者であれば、自身が詳細な知識を持っていないことをすぐに認識するので、詳しい人間をスタッフとして近くに置くか、責任者として登用する形で、知識不足をカバーする体制が構築されるはずである。諸外国のIT企業トップの中にも、ITに詳しくないという人はそれなりにいるが、問題なく経営できている。 だが、人材の流動性が乏しく、年功序列を基本とする日本企業の場合、経営者としての適正(同上)がない人がトップに立つケースはザラにある。仮にトップにそれなりの見識があっても、年次の関係で自由に部下を配置できない、社内に専門的な人材がいないといった理由から、十分なサポート体制を構築できないことも多い。今回のケースがどちらに相当するのかはまだ分からないが、日本企業に顕著な問題である可能性は高いだろう』、確かにセブン-イレブンに止まらず、「日本企業に顕著な問題」なのかも知れない。
・『最終的にはすべてマネジメントの問題 今回のシステムを開発した企業名は明らかにされていないが、既存システムとの連携などを考えると、同社がこれまでシステム開発を依頼してきた複数の大手システム会社である可能性が高い。システム会社の技術力劣化を指摘する声もあるようだが、さすがに2段階認証の不採用や、登録メール以外でもパスワード変更ができる仕組みについて、その脆弱性を理解していなかったはずはない。 現場からは「この仕組みではセキュリティ上危険だ」という指摘が上がっていた可能性が高く、一方、営業サイドの人間からは、利用者の利便性を最優先する声が出たことも想像に難くない。利便性とセキュリティをめぐって論争になるのは悪いことではなく、最適なサービスにするための重要なステップともいえる。 むしろ、経営陣が保身ばかり考え、トラブルを避けたいという意向が強すぎると、某銀行のネットサービスのように、利用者にとって不便極まりないものが出来上がることにもなりかねない。 利便性とセキュリティとの間で対立が起こった時、最終的な決断を下すのは経営者の責務であり、このような場面でこそ経営者としての能力が問われることになる。結果的にこうした脆弱なシステムを作り上げてしまったのは、まさにセブン&アイ・ホールディングスのマネジメントの問題であると筆者は考えている』、その通りだ。
第三に、8月5日付けダイヤモンド・オンライン「セブンペイは氷山の一角!ITオンチ企業が陥るデジタル戦略の落とし穴」を紹介しよう。
https://diamond.jp/articles/-/210786
・『不正利用問題に揺れたセブンペイが、9月末でのサービス終了を発表した。発覚直後の会見では、セキュリティー対策への認識の甘さが露呈したが、これを対岸の火事だと安心してはいられない。あらゆる業種・業態で、デジタル活用にはリスクがつきまとう。かつて東京地方裁判所・東京高等裁判所でIT専門の調停委員を務め、企業におけるデジタル活用やシステム開発の問題に詳しい、経済産業省CIO補佐官の細川義洋氏に“素人”でも気を付けなければならないIT開発の要点を聞いた』、ぴったりの専門家の言い分も参考になりそうだ。
・『セブンペイの開発ベンダーは訴えられたら負ける? Q:セブンペイの不正利用問題では、同社のセキュリティーへの認識の甘さや対応の遅さなどが浮き彫りになりましたが、この件に関して率直なご意見をお聞かせください。 A:ダイヤモンド・オンラインの読者の方は多くがユーザー企業(事業会社)の立場かもしれません。ただ、今回の件を実際の開発を行うベンダーの視点からお話しすると、もしもセブンペイとベンダーが裁判になったら、ベンダーが負ける可能性が高いと思っています。 Q:なぜでしょうか。 A:平成21年に通販会社のウェブサイトからクレジットカード情報が盗まれるという事件があり、ユーザー企業はシステムを開発したベンダーと裁判になりました。このときの判決は、基本的な責任はベンダー側にあるというものでした。ユーザーの希望通りに開発したのに、何が悪かったのか。 システム開発においては、たとえユーザーから要望がなかったとしても、その専門家たるベンダーがシステムの危険性に気付いて、自分の判断でできるところは修正し、またはユーザー企業に必要な作業を提案したり、追加の見積もりを出したりする責任があります。これを一般に、ITベンダーの「専門家責任」といいます』、「ITベンダーの「専門家責任」」とは初耳だが、合理的な考え方だ。
・『先述の通販会社のウェブサイトは、閲覧者がデータベースを不正に操作できてしまう危険な構造になっていました。しかし、こうした構造を避けてセキュリティー対策を施しておくことは、当時のIT業界ではすでに常識でした。経済産業省やIPA(情報処理推進機構)から注意喚起も出ていましたし、同様の脆弱性が問題となって起きた事件もありました。専門家であるITベンダーは当然そうした常識を知っていたはずですから、ユーザーから要望や注意がなくても、改善策を自発的にやるか、提案をしなければならない。それを怠ったということで、本件はベンダー側の責任になりました。 Q:セブンペイでは、二段階認証を採用していなかった点が問題視されていました。 A:今の時代であれば当然、二段階認証を導入しておかなければいけません。たとえセブンペイ側から要望がなかったとしても、最低限、ベンダーは提案すべきです。実際の提案・開発段階でどのような事情があったのかはわかりませんが、今までのセキュリティーがらみの判決を鑑みると、訴訟になれば「ベンダーが悪い」となる可能性は大いにありますね』、なるほど。
・『“プロにお任せ”はNG! セブンペイに提案を受け入れる姿勢はあったか 逆に、ユーザー企業はこうした提案を引き出さなくてはなりません。つまり、引き出せなかったベンダーとの関係性に問題があるということ。ベンダーも人間です。お金が足りないからそこまでやりきれない、お客さんから要望がないからこれくらいでいいだろう、スケジュールに余裕がないから後回しにしよう…と考えたくもなります。 先ほど、ベンダーには専門家責任があると言いましたが、ベンダーがプロだからといって「任せておけばいい」というわけではありません。むしろ、ユーザー企業がベンダーに積極的に疑問をぶつけて、会話をリードしていかなければならないのです』、(ベンダーの提案を)「引き出せなかったベンダーとの関係性に問題がある」、というのは、驕り高ぶったセブン&アイでは、大いにありそうだ。
・『Q:ユーザー企業として、ベンダーと具体的にどのような対話をしていくべきなのでしょうか。 A:ベンダーに提案を依頼する前に、ユーザー企業内で「どんな心配事があるのか」を考えておくべきです。 まず、どこでどんな情報が発生して、どのようなやりとりを経て、最終的にどうなるのか、という情報の流れを図面にします。データフローとよばれるものです。この図ができたら、今度は自分が悪者になったつもりで、「どこが狙いやすいか」とか「どうやったらなりすませるか」を考えてみる。できればそれなりの技術的な知見を持った人も含めて、複数人でデータフローのあら探しをするのです。 Q:あら探しはユーザー企業内だけでやるべきなのですか。 A:「その情報がどれだけ大切なのか」を一番よくわかっているのが、ユーザー企業です。そのため、技術的な課題はさておき、まずはユーザー企業だけで好き勝手に妄想してみることが必要なのです。 その後、ベンダーに提案を依頼する前の段階でいろいろな心配事をベンダーにぶつけます。できれば、複数のベンダーと話をするのがいい。そこで、セキュリティーを含めてあらゆる心配事をさらに深掘りしていくのです。 また、実際の開発が始まってからは、「提案だけならいつでも受け取る」姿勢が重要です。例えば、開発中にセキュリティーの問題が見つかった場合。ベンダーから「追加の開発が必要だ」と言われたときに、「契約も結んだし、今さら何を言っている。そんなことできるわけない」と、聞く耳持たずではいけません。 やはり、ベンダーは日々ITの現場にいて、知見も蓄積されています。提案するのにも、理由があるはず。最終的にやるかどうかはユーザー企業内で判断すればいいですが、ユーザー企業はベンダーからの追加提案、追加見積もり、スケジュール変更などを「聞く姿勢」をしっかり示しておくべきです。そうすれば、おのずと必要な情報は引き出せてくると思います。 今回、セブンペイがベンダーとどのような関係を築いていたかは臆測の域を出ません。とはいえ、やはり二段階認証の話が開発中ずっと出なかったとは考えられない。ユーザー企業に必要なのは、専門的な知識よりも、謙虚で柔軟な姿勢なのだろうと思います』、「ユーザー企業に必要なのは、専門的な知識よりも、謙虚で柔軟な姿勢」、というのは、セブン&アイに最も欠けていたのだろう。
・『プロジェクトがもめて頓挫するのは同床異夢の組織である Q:業種業態問わず、さまざまな企業でITプロジェクトが進んでいます。IT開発経験の少ない企業がつまずきやすいポイントは、どんなところでしょうか。 A:一番問題が起きるのは、要件定義(注:導入するシステムにどんな機能を持たせるのか、機能の範囲や性能などを決めておくこと)ですね。開発経験が少ない企業だと、この「要件定義をしなければいけないもの」に抜け漏れが出てしまうことがあります。 また、「この機能は必要かどうか」とか「いつまでに必要なのか」といった意思決定がスムーズにできないことも多いです。システム担当者がやりたいことと、実際にシステムを使うエンドユーザー部門の意見が食い違ってしまう。それをまとめられる人がいないので、上層部に判断を委ねることになり、余計に時間がかかる…ということが起こります。 Q:システム利用者が多くの部門に及ぶと、利害関係が生じてプロジェクトが進まないという話はよく聞きます A:プロジェクト成功に向けてうまく動けていない組織は、「このシステムができたら会社がもうかる」「うちの部署がこう変わる」といった「デジタル化したときの夢」を共有できていません。同床異夢だから、実現すべき姿にズレが生じてしまうのです』、一般論としては分かるが、セブン&アイに当てはまるのかはまだ情報不足だ。
・『開発途中で、「うちの部署にこんなデメリットがあるなんて知らなかった!」というクレームが入るのはよくある話。開発に入る前に、関係者を集めて具体的な業務とメリット・デメリットをみんなで語り合い、模造紙やホワイトボードにまとめるなどして、イメージをビジュアル的に共有することがプロジェクトの第一歩です。この段階で、プロジェクトによって「損をする部門」があるのであれば、会社全体の利益と照らし合わせたうえで、事前に対策を考えておくべきです。 多くの人が関わるプロジェクトにおいて、現場のリーダーには、熱意とイメージ力、そして議論をファシリテートする力が必要です。そして、そのリーダーにきちんと権限が与えられていること。現場に決定権がなければ、結局上層部にお伺いを立てなければならず、滞りが出てしまいます』、これも、セブン&アイに当てはまるのかはまだ情報不足だ。
・『ITを「本業」だと考えない企業にデジタル・トランスフォーメーションはできない Q:著書『システムを「外注」するときに読む本』の出版から2年がたちました。企業を取り巻く環境も随分変わったと思いますが、最近気になる問題はありますか。 A:昨今のプロジェクトでは、AWS(アマゾン)やAzure(マイクロソフト)などのクラウドサービスを活用することが多くあります。クラウドサービスはそれぞれサービス内容が異なるので、できることとできないことに違いがあるのですが、これを正しく理解できていない。そのため、できると思っていたことが、いざ開発してみると実現できないということがあるのです。 しかも、クラウドサービス事業者はサービスを提供するだけで、それ以外の部分には責任を持ちません。ベンダーも自社の製品ではないため、必要な知識や検討事項に抜け漏れが出ることもあります。こうしたトラブルは今後増えていくでしょう。 対策として、ユーザー企業はクラウドサービス事業者が開催する研修に参加するなど、積極的に情報を収集すべきです。複数のクラウドサービスのサービス内容、セキュリティー、契約内容の比較検討をユーザー企業自身でやったほうがいい。うまくいかなくて、最終的に困るのは自分たちなのですから。 忙しい業務の合間を縫って勉強するのは大変だと思われるかもしれませんが、私は、ITに関する知識の習得は「本業」として考えるべきだと思います。デジタル・トランスフォーメーションでは、IT中心に仕事をしていくことになります。「ITはうちの専門分野ではない」「ITはスタッフ部門の仕事」という認識は改めなければなりません』、これはセブン&アイに当てはまりそうだ。
・『Q:「本業」として考えるには、具体的にどういう点を改善すべきですか。 A:例えば、ユーザー企業において、「IT部門で長年経験を積んだ人が出世しない」とか「ITの研修にお金がかけられない」というのはよくある話です。ITは動いて当たり前。動かないと非難されるけど、動いても褒められない。多くの企業で、システム部門の立場はそんなところでしょう。しかし、これではデジタル・トランスフォーメーションは成功しません。ITの成功を、本業と同様に評価する姿勢が必要です。 今は、部門横断的なデジタル活用をめざして、システム部門以外もITプロジェクトに参加するケースがあります。例えば、営業担当がITプロジェクトに週2回携わるとなったときに、「自分の営業成績が下がって困る」状況ではだめ。ITプロジェクトで出した成果も、その活動の割合に応じて人事考課できちんと加味してあげるべきです。 まずは、こうした人事の視点からITに関わることを評価する。これが関係者のやる気につながります。要件定義とか、セキュリティー対策とか、細かいことはプロジェクトメンバーのモチベーションあってのことです』、専門家だけあって、一般論が多いが、セブン&アイでのシステム部門の軽視は、セブンペイの社長に如実に表れているようだ。
第四に、8月20日付けダイヤモンド・オンライン「7pay大失敗に見る、セブン帝国最大の強み「結束力」に生じた亀裂」を紹介しよう。
https://diamond.jp/articles/-/212109
・『コンビニエンスストア業界の王者が鳴り物入りで始めたキャッシュレス決済サービス「セブンペイ」は、3カ月でお蔵入りに。後手に回る対応や社内の混乱から、「セブン帝国」の強みである結束力に亀裂が生じていることが伝わってくる。 「記者会見の動画中継を見ていて、思わずズッコケた」──。セブン&アイ・ホールディングス(HD)が、「セブンペイ」の中止を発表した8月1日のそれだ。たった3カ月でサービス終了という失態に、ある関係者は言葉を失った。 セブン独自のスマートフォンによるキャッシュレス決済サービスは、7月1日の開始直後にアカウントの乗っ取りによる不正利用が発覚。「2段階認証」がなされていないなど、セキュリティー上の不備が次々と指摘され、9月末での中止を余儀なくされた。 HD傘下の運営会社であるセブン・ペイの奥田裕康取締役営業部長は、「開発段階では2段階認証を想定していたが、使用感を考慮して“入り口”の敷居を低くした」と見通しの甘さを釈明した。 経済産業省や民間企業などで構成する一般社団法人キャッシュレス推進協議会のガイドラインでは、2段階認証を求めている。そして、協議会の理事には、セブン-イレブン・ジャパン(SEJ)の古屋一樹会長が就任している他、会員企業にはSEJやセブン・ペイも名を連ねる。前出の関係者は、「協議会の会合には各社の担当者が出席していた。一体何を聞いていたのか」とあきれ顔だ。 不正利用の原因については、グループナンバー2の後藤克弘HD副社長をトップとした、「セキュリティ対策プロジェクト」が調査を続けている。だが、調査報告書は「セキュリティー上の理由」によって外部に公表しない方針だ。過去に個人情報の漏えいを起こしたベネッセHDや日本テレビ放送網は、同様の報告書を公表しているにもかかわらず、である。 セブンペイ終了後も、同じIDとパスワードを用いたインターネット通販サイト「オムニセブン」や、クーポンがたまる「セブンアプリ」はサービスを続ける。セブン側は、IDとパスワードを初期化したことなどから、「セブンペイ以外のサービスはセキュリティー上の問題はない」と主張。これらのサービスに登録された個人情報の「明確な漏洩の痕跡は認められない」との見解を示した。 しかし、国際大学GLOCOM客員研究員の楠正憲氏は、「調査報告書がセキュリティーを理由に公表できないということは、まだ欠陥が残った状態だと思われても仕方がない」と指摘。個人情報についても、「従来使われていたIDが攻撃対象となっており、オムニセブンから相応の流出が起きているのではないか」との見方を示す』、「開発段階では2段階認証を想定していたが、使用感を考慮して“入り口”の敷居を低くした」との奥田裕康取締役営業部長の発言は、セブンペイ社長が2段階認証を知らなかったことから、疑わしい。センブン&アイも参加している「キャッシュレス推進協議会のガイドラインでは、2段階認証を求めている」にも拘らず、セブンペイ社長は知らなかったというのは、お粗末過ぎる。
・『社内ノウハウ得られず欠陥だらけで実用化 コンビニ事業も逆風に なぜ、ここまで欠陥だらけのセブンペイが実用化されたのか。 運営会社のセブン・ペイには、ファミリーマートのキャッシュレス決済サービス「ファミペイ」が始まる7月に間に合わせなければという焦りがあった。加えて、決済関連のノウハウを有するセブン銀行や電子マネー「nanaco」の担当部署から、十分な協力が得られなかった。さらに、システム構築を請け負ったITベンダーが複数社にまたがっており、責任を持って全体最適の実現を目指す体制でなかったことも影響した。 セブンでは、グループの屋台骨である国内コンビニ事業において今年2月、本部と加盟店との対立が表面化。24時間営業や粗利の分配を巡る不公平さが強い批判を浴び、経産省や公正取引委員会が是正に乗り出している。 こちらを取り仕切るSEJの関係者に言わせれば、セブンペイ問題は、「あれは、HDがやったこと」と、ひとごとの姿勢だ。 セブンペイの火の粉を払おうとするSEJ内部では、24時間営業を巡る社内の足の引っ張り合いが目下の関心事だ。永松文彦社長は、希望する加盟店に時短営業を認めるとアナウンス。それにもかかわらず、時短営業を阻止しようと加盟店に圧力をかける本部社員の動きを上層部が抑え切れない。 このように、結束力が武器だったはずのグループ内は、そこかしこで反目、分裂の様相を呈しており、収拾がつかない。鈴木敏文HD名誉顧問の会長時代は、良くも悪くも持ち前の“徹底力”でグループをけん引していた。だが井阪隆一HD社長の体制となってからは、グループや加盟店に従来たまっていた不満や不均衡が一気に噴き出しているように見える。 不振の百貨店や総合スーパー事業のリストラも焦眉の急だが、「腹をくくって改革を進められる人物が、今のセブン経営陣にはいない。その後継となり得る人材も見当たらない」(ある小売り大手幹部)。 国内コンビニ事業で盤石のシェアを築き、グループ売上高12兆円と「セブン帝国」と呼ばれる巨大企業に成長したセブン&アイ・HD。噴出する諸問題への後手に回る対応は、グループの強固な結束力の崩壊の予兆を感じさせる』、前述のように、今日、新に「日曜休業」問題までが噴出、本部は今回も契約解除で脅しているようだ。あちこちで噴出している「グループの強固な結束力の崩壊の予兆」に対して、如何に対応してゆくか、リーダシップが問われているようだ。
先ずは、7月5日付けダイヤモンド・オンライン「7pay不正利用で露呈したセブン&アイの「ITオンチなのに自前主義」」を紹介しよう。
https://diamond.jp/articles/-/207950
・『コンビニ業界の王者・セブン-イレブンを擁するセブン&アイ・HDが満を持して7月1日にスタートさせた独自のキャッシュレスサービス「7Pay」。だが、同月2日に不正利用が発覚し、4日の謝罪会見では幹部の“ITオンチ”ぶりと当事者意識のなさが露呈。消費者の信頼を失墜させている』、お粗末極まる対応には、呆れ果てた。
・『たった4日で900人、5500万円の被害 サービス開始から4日で謝罪会見――。コンビニエンスストア業界の圧倒的な王者であるセブン&アイ・ホールディングス(HD)の子会社が、全国のセブン-イレブンの店舗で7月1日に始めたキャッシュレス決済サービス「7Pay」で、不正利用が発覚。4日に運営会社である7Payの小林強社長らが都内で記者会見して謝罪した。 何者かが利用者のアカウントに不正にアクセスし、利用者が登録していたクレジットカードやデビットカードからお金をチャージ。セブン-イレブンの店舗で、タバコなど単価が高く換金性のある商品を購入していたケースがあったという。 同社によると、4日午前6時現在で約900人、約5500万円の被害があったとみられる。 ただ会見では、不正アクセスは中国など海外の複数の国からあったとは説明されたものの、原因は「調査中」の一点張り。詳細は明らかにされなかった。 7payのセキュリティのずさんさについて、被害者やセキュリティの専門家などがインターネット上で検証作業を進めている。7Payを使うために必要な「7iD」のパスワードを忘れて新たに登録し直す際に、登録したメールアドレス以外のアドレスにパスワードを知らせるメールが送ることができてしまうことや、本人確認のために、SMS(ショートメッセージサービス)に数字などのコードを送って入力させる「二段階認証」と呼ばれる仕組みを採用していなかったことなどが指摘されている』、典型的な謝罪会見の割には、危機管理が全く出来ていない後世に語り継がれるようなお粗末な会見だった。
・『「二段階認証?」と聞き返した7Pay運営会社トップ こうした7payのセキュリティについて、当然記者会見で注目が集まった。ところが、「どうして二段階認証を採用しなかったのか」という報道陣の質問に対して、7Payの小林強社長が「二段階認証?」と聞き返し、さらには「二段階云々」と発言。運営会社トップがキャッシュレス決済の安全の基本を知らないという”ITオンチ”ぶりを露呈する事態となった。同様に不正利用があったソフトバンクとヤフーが展開する「PayPay」が、二段階認証を採用していても不正を防げなかった先行事例の教訓を学んでいないように見える。 さらに、同席したセブン&アイ・HD執行役員の清水健・デジタル戦略部シニアオフィサーは、不正利用について謝罪したものの、「(サービス開始前に)セキュリティー審査をしたが、脆弱性は確認されなかった」と繰り返すなど、当事者意識がまるで感じられない姿勢を見せた。 そもそもリアルのコンビニ店舗では“業界最強”を誇るセブンだが、インターネット戦略では迷走を繰り返してきた経緯がある。 2015年にスタートしたインターネットショッピングサイト「オムニセブン」は、アマゾンや楽天などすでにECの巨人が市場に浸透した後の進出となり、品揃えの不十分さもあって拡大しなかった。 そこで戦略を切り替え、コンビニ店舗で使えるスマートフォンアプリ「セブンアプリ」を18年6月にリリース。利用者に割引クーポンを送るなどのメリットを付与し、ダウンロード数は1000万を超えた。 だが、同年に小売店の店頭を席巻したのは、前出のPayPayや、LINEの「LINE Pay」などIT大手のキャッシュレス決済サービスだった。業界2位のファミリーマートやローソンは、いち早くこれらのサービスを店頭で使える態勢を整えた。 だがセブンは、これらの利用開始がようやく今月と出遅れたうえに、ようやく独自開発の7Payのスタートにこぎつけたが、いきなり大きくつまずいたわけだ』、「小林強社長が「二段階認証?」と聞き返した」、のもさることながら、「清水健・デジタル戦略部シニアオフィサーは・・・「(サービス開始前に)セキュリティー審査をしたが、脆弱性は確認されなかった」、との言い訳には絶句した。審査のいい加減さを自ら暴露しただけだ。
・『コンビニ創業の成功体験に自信 IT人材が払底 セブンの今回の失態は、長くこだわってきた「自前主義」が、専門外のITの世界で通用しなかったことが大きい。 なぜ、セブンはそこまで自前主義にこだわるのか。総合スーパーのイトーヨーカ堂などを擁するグループ内で圧倒的な力を持つのは、国内コンビニを展開するセブン-イレブン・ジャパンだ。日本独自のコンビニというビジネスモデルを創り上げたのが彼らであることは間違いない。 ところが最近は、人手不足や過剰出店に苦しむフランチャイズ加盟店との間で、営業時間や粗利の分配比率をめぐって対立し、経済産業省や公正取引委員会が是正に乗り出すほどの社会問題となっている。 にもかかわらず自ら抜本的な見直しに踏み込めないのは、自前主義によって、国内コンビニ業界で王者の座を築いた成功体験への、自信とこだわりが強すぎるからだと指摘されている。 コンビニ業界2位のファミリーマートも、7Payと同時に独自のキャッシュレス決済サービス「ファミペイ」をスタートさせた。ただし、こちらは貯まったポイントをNTTドコモの「dポイント」や、楽天ポイントと連携させるなど、セブンとは異なる「オープン主義」を掲げる。 さらにファミマでは、キャッシュレス事業を進めるにあたっても、購買情報などビッグデータの活用を重視する親会社の伊藤忠商事が人材を送り込むなどして深く関与している。ローソンも独自決済サービスこそ始めていないが、決済関連部門に親会社である三菱商事の人員が入っている。 その一方で、セブン&アイ・HDで重要なのはリアル店舗のコンビニ。商品開発、出店、オーナー対応といったコンビニ運営に関わる部署が花形で、前述のオムニセブンなどネット関係の部署は一段低く見られている。ITや決済関連の専門知識を持つ社員の数はそもそも少なく、人材が払底している。 記者会見で失態を曝した7Payの小林社長は、かつてセブン&アイ・HD取締役として「オムニチャネル推進室長」を務めたものの、鈴木敏文名誉顧問が追いやられたクーデターよりも前の15年5月に取締役を退任。グループ内の出世の“本流”から外れた人物と目されていた。 それに加えて、7Payには他の事業会社で問題を起こしたり、成果を上げられなかった社員が送り込まれたりするケースがある。こうした環境では社員のモチベーションも保てず、独自のキャッシュレス決済サービスを導入するのに十分な体制だったか疑問符がつく。 後発組にもかかわらず、利用者の「安心・安全」を守れなかった7pay。キャッシュレス決済そのものへの信頼を失墜させた責任はあまりに重い』、IT部門は社内データの分析が中心で、外部のネットワークの接続では全くノウハウがなかったのだろう。今朝の日経新聞によれば、営業時間短縮を訴えた加盟店が、日曜休業を申請、本部は今回も契約解除で脅しているようだ。セブン-イレブンは、組織としてまともに機能しなくなったようだ。
次に、経済評論家の加谷 珪一氏が7月9日付け現代ビジネスに寄稿した「「7pay」不正問題には、日本企業の経営のダメさが凝縮している これはマネジメントの問題だ」を紹介しよう。
https://gendai.ismedia.jp/articles/-/65747
・・・『満を持して投入したサービスが4日でダウン セブン&アイ・ホールディングス傘下の決済サービス会社セブン・ペイは2019年7月4日、都内で記者会見を開き、同社のスマートホンフォン(スマホ)決済サービス「7pay(セブンペイ)」のアカウントが、第三者による不正アクセスを受けたと発表した。 7payは、スマホを利用したQRコード決済のサービスのひとつで、7月1日に事業をスタートしたばかりである。スマホにダウンロードしたアプリにクレジットカードなどからお金をチャージし、アプリが表示するバーコードを店員がスキャンすることで決済が完了する。 QRコード決済のサービスは、操作が簡便であることから、中国などを中心に爆発的に普及しており、国内でもソフトバンクグループのPayPayが100億円還元キャンペーンを実施するなどシェア争いが激化している。 7payは、QRコード決済としては後発だが、セブン-イレブンという巨大な店舗網を背景としたサービスであり、競合各社にとっては警戒すべき相手だったに違いない。だが、同社のサービスはわずか4日でハッキングされ、大半のサービスを停止せざるを得ない状況に追い込まれた。 セブン-イレブンの知名度が高いだけに社会に与えたインパクトも大きく、下手をするとQRコード決済そのものに冷や水を浴びせかねない状況だ。 これに加えて今回のトラブルでは、会見に臨んだ同社トップが、セキュリティについてほとんど知識を持っていないことが明らかになるなど、ずさんな経営体制も露呈している。 今回の不正アクセスの被害者は現時点で約900人、金額は約5500万円とされているが、今回の不正アクセスの原因はどこにあったのだろうか』、原因を解明してもらいたいところだ。
・『「2段階認証って何?」の衝撃 不正アクセスの詳細について会社側は完全に情報を開示していないので、現時点で明らかになっている情報をベースに考察すると、2段階認証と呼ばれる本人確認の仕組みを採用していなかったことと、パスワードを変更する際、登録したメールアドレス以外のアドレスでも手続きができるようになっていたことの2つが大きいと考えられる。 同社以外のQRコード決済サービスでは、本人確認に2段階認証の仕組みを導入している。最初に登録したスマホとは異なるスマホでログインするといった操作を行う場合、携帯電話のSMS(ショートメッセージサービス)にパスワードが送られ、それを入力しない限り次の操作に移ることができない。携帯電話そのものを盗まれない限り、簡単に第三者がアカウントを乗っ取ることはできない仕組みだ。 ところが7payでは、この仕組みが導入されていなかったことから、パスワードが破られてしまうと、第三者がアカウントを乗っ取ることができてしまう。 会見では、記者から「なぜ2段階認証の仕組みを採用しなかったのか」という質問が出たものの、同社トップが「2段階認証?…」と言葉に詰まる状況となり、逆に記者から2段階認証の仕組みを説明され、はじめてその概念を理解するという出来事があった。 これに加えて同社のサービスでは、パスワード失念などリセットが必要となった場合、あらかじめ登録しているメール・アドレスとは別のアドレスに手続きメールを送ることができる仕組みになっていた。同社は、セブン-イレブンやイトーヨーカドー、ネットショッピングのオムニ7などにおいて、多くの既存会員を擁している。各サービスに共通するIDも発効しているので、既存会員は当然、7payも使うことができる。 既存会員の中にはキャリアメール(NTTドコモなど通信会社が提供するメール)でID登録をした人も多く、格安SIMなどへの乗り換えによってキャリアメールが使えなくなっている可能性があることから、別のアドレスも使える仕様にしたという。 若年層でキャリアメールを使っている人はあまり見かけないが、セブンの場合、中高年以上の利用者も多く、キャリアメールでの登録が多かった可能性は高いだろう。だが、パスワードの変更手続きを登録メール以外でもできるような設定にしてしまえば、アカウント乗っ取りが多発するのは自明の理であり、これは明らかにサービスの設計ミスいってよい』、利便性を重視するの余り、セキュリティを疎かにするというのはお粗末過ぎる。
・『経営トップは技術に詳しい人であるべきか? 同社トップが2段階認証を知らなかったことについてはネットを中心に驚きの声が上がっている。2段階認証の仕組みは、セキュリティ分野における初歩の初歩の概念なので、いくら技術の専門家ではないとはいえ、決済サービスのトップがこれを知らなかったというのは、大きな問題といってよいだろう。 だが、技術に詳しい人をトップに据えればそれで問題が解決するのかというと話はそう単純ではない。これはトップが技術に詳しいかどうかということではなく、日本企業が抱えている深刻な経営問題と捉えた方がよい。 一般論として経営トップに立つ人は、自身が経営する企業の製品やサービスについて詳しく知っておく必要がある。だが、技術が細分化されていたり、経営領域が拡大すれば、当然、自身ではカバーできない部分も出てくる。 技術に詳しい人が必ずしも経営者としての適正(正しくは「適性」)を備えているとは限らないので、トップの人選にあたってもっとも重視されるべきなのは、やはり経営者としての能力であることは言うまでもない。 仮に技術に詳しくなくても、優秀な経営者であれば、自身が詳細な知識を持っていないことをすぐに認識するので、詳しい人間をスタッフとして近くに置くか、責任者として登用する形で、知識不足をカバーする体制が構築されるはずである。諸外国のIT企業トップの中にも、ITに詳しくないという人はそれなりにいるが、問題なく経営できている。 だが、人材の流動性が乏しく、年功序列を基本とする日本企業の場合、経営者としての適正(同上)がない人がトップに立つケースはザラにある。仮にトップにそれなりの見識があっても、年次の関係で自由に部下を配置できない、社内に専門的な人材がいないといった理由から、十分なサポート体制を構築できないことも多い。今回のケースがどちらに相当するのかはまだ分からないが、日本企業に顕著な問題である可能性は高いだろう』、確かにセブン-イレブンに止まらず、「日本企業に顕著な問題」なのかも知れない。
・『最終的にはすべてマネジメントの問題 今回のシステムを開発した企業名は明らかにされていないが、既存システムとの連携などを考えると、同社がこれまでシステム開発を依頼してきた複数の大手システム会社である可能性が高い。システム会社の技術力劣化を指摘する声もあるようだが、さすがに2段階認証の不採用や、登録メール以外でもパスワード変更ができる仕組みについて、その脆弱性を理解していなかったはずはない。 現場からは「この仕組みではセキュリティ上危険だ」という指摘が上がっていた可能性が高く、一方、営業サイドの人間からは、利用者の利便性を最優先する声が出たことも想像に難くない。利便性とセキュリティをめぐって論争になるのは悪いことではなく、最適なサービスにするための重要なステップともいえる。 むしろ、経営陣が保身ばかり考え、トラブルを避けたいという意向が強すぎると、某銀行のネットサービスのように、利用者にとって不便極まりないものが出来上がることにもなりかねない。 利便性とセキュリティとの間で対立が起こった時、最終的な決断を下すのは経営者の責務であり、このような場面でこそ経営者としての能力が問われることになる。結果的にこうした脆弱なシステムを作り上げてしまったのは、まさにセブン&アイ・ホールディングスのマネジメントの問題であると筆者は考えている』、その通りだ。
第三に、8月5日付けダイヤモンド・オンライン「セブンペイは氷山の一角!ITオンチ企業が陥るデジタル戦略の落とし穴」を紹介しよう。
https://diamond.jp/articles/-/210786
・『不正利用問題に揺れたセブンペイが、9月末でのサービス終了を発表した。発覚直後の会見では、セキュリティー対策への認識の甘さが露呈したが、これを対岸の火事だと安心してはいられない。あらゆる業種・業態で、デジタル活用にはリスクがつきまとう。かつて東京地方裁判所・東京高等裁判所でIT専門の調停委員を務め、企業におけるデジタル活用やシステム開発の問題に詳しい、経済産業省CIO補佐官の細川義洋氏に“素人”でも気を付けなければならないIT開発の要点を聞いた』、ぴったりの専門家の言い分も参考になりそうだ。
・『セブンペイの開発ベンダーは訴えられたら負ける? Q:セブンペイの不正利用問題では、同社のセキュリティーへの認識の甘さや対応の遅さなどが浮き彫りになりましたが、この件に関して率直なご意見をお聞かせください。 A:ダイヤモンド・オンラインの読者の方は多くがユーザー企業(事業会社)の立場かもしれません。ただ、今回の件を実際の開発を行うベンダーの視点からお話しすると、もしもセブンペイとベンダーが裁判になったら、ベンダーが負ける可能性が高いと思っています。 Q:なぜでしょうか。 A:平成21年に通販会社のウェブサイトからクレジットカード情報が盗まれるという事件があり、ユーザー企業はシステムを開発したベンダーと裁判になりました。このときの判決は、基本的な責任はベンダー側にあるというものでした。ユーザーの希望通りに開発したのに、何が悪かったのか。 システム開発においては、たとえユーザーから要望がなかったとしても、その専門家たるベンダーがシステムの危険性に気付いて、自分の判断でできるところは修正し、またはユーザー企業に必要な作業を提案したり、追加の見積もりを出したりする責任があります。これを一般に、ITベンダーの「専門家責任」といいます』、「ITベンダーの「専門家責任」」とは初耳だが、合理的な考え方だ。
・『先述の通販会社のウェブサイトは、閲覧者がデータベースを不正に操作できてしまう危険な構造になっていました。しかし、こうした構造を避けてセキュリティー対策を施しておくことは、当時のIT業界ではすでに常識でした。経済産業省やIPA(情報処理推進機構)から注意喚起も出ていましたし、同様の脆弱性が問題となって起きた事件もありました。専門家であるITベンダーは当然そうした常識を知っていたはずですから、ユーザーから要望や注意がなくても、改善策を自発的にやるか、提案をしなければならない。それを怠ったということで、本件はベンダー側の責任になりました。 Q:セブンペイでは、二段階認証を採用していなかった点が問題視されていました。 A:今の時代であれば当然、二段階認証を導入しておかなければいけません。たとえセブンペイ側から要望がなかったとしても、最低限、ベンダーは提案すべきです。実際の提案・開発段階でどのような事情があったのかはわかりませんが、今までのセキュリティーがらみの判決を鑑みると、訴訟になれば「ベンダーが悪い」となる可能性は大いにありますね』、なるほど。
・『“プロにお任せ”はNG! セブンペイに提案を受け入れる姿勢はあったか 逆に、ユーザー企業はこうした提案を引き出さなくてはなりません。つまり、引き出せなかったベンダーとの関係性に問題があるということ。ベンダーも人間です。お金が足りないからそこまでやりきれない、お客さんから要望がないからこれくらいでいいだろう、スケジュールに余裕がないから後回しにしよう…と考えたくもなります。 先ほど、ベンダーには専門家責任があると言いましたが、ベンダーがプロだからといって「任せておけばいい」というわけではありません。むしろ、ユーザー企業がベンダーに積極的に疑問をぶつけて、会話をリードしていかなければならないのです』、(ベンダーの提案を)「引き出せなかったベンダーとの関係性に問題がある」、というのは、驕り高ぶったセブン&アイでは、大いにありそうだ。
・『Q:ユーザー企業として、ベンダーと具体的にどのような対話をしていくべきなのでしょうか。 A:ベンダーに提案を依頼する前に、ユーザー企業内で「どんな心配事があるのか」を考えておくべきです。 まず、どこでどんな情報が発生して、どのようなやりとりを経て、最終的にどうなるのか、という情報の流れを図面にします。データフローとよばれるものです。この図ができたら、今度は自分が悪者になったつもりで、「どこが狙いやすいか」とか「どうやったらなりすませるか」を考えてみる。できればそれなりの技術的な知見を持った人も含めて、複数人でデータフローのあら探しをするのです。 Q:あら探しはユーザー企業内だけでやるべきなのですか。 A:「その情報がどれだけ大切なのか」を一番よくわかっているのが、ユーザー企業です。そのため、技術的な課題はさておき、まずはユーザー企業だけで好き勝手に妄想してみることが必要なのです。 その後、ベンダーに提案を依頼する前の段階でいろいろな心配事をベンダーにぶつけます。できれば、複数のベンダーと話をするのがいい。そこで、セキュリティーを含めてあらゆる心配事をさらに深掘りしていくのです。 また、実際の開発が始まってからは、「提案だけならいつでも受け取る」姿勢が重要です。例えば、開発中にセキュリティーの問題が見つかった場合。ベンダーから「追加の開発が必要だ」と言われたときに、「契約も結んだし、今さら何を言っている。そんなことできるわけない」と、聞く耳持たずではいけません。 やはり、ベンダーは日々ITの現場にいて、知見も蓄積されています。提案するのにも、理由があるはず。最終的にやるかどうかはユーザー企業内で判断すればいいですが、ユーザー企業はベンダーからの追加提案、追加見積もり、スケジュール変更などを「聞く姿勢」をしっかり示しておくべきです。そうすれば、おのずと必要な情報は引き出せてくると思います。 今回、セブンペイがベンダーとどのような関係を築いていたかは臆測の域を出ません。とはいえ、やはり二段階認証の話が開発中ずっと出なかったとは考えられない。ユーザー企業に必要なのは、専門的な知識よりも、謙虚で柔軟な姿勢なのだろうと思います』、「ユーザー企業に必要なのは、専門的な知識よりも、謙虚で柔軟な姿勢」、というのは、セブン&アイに最も欠けていたのだろう。
・『プロジェクトがもめて頓挫するのは同床異夢の組織である Q:業種業態問わず、さまざまな企業でITプロジェクトが進んでいます。IT開発経験の少ない企業がつまずきやすいポイントは、どんなところでしょうか。 A:一番問題が起きるのは、要件定義(注:導入するシステムにどんな機能を持たせるのか、機能の範囲や性能などを決めておくこと)ですね。開発経験が少ない企業だと、この「要件定義をしなければいけないもの」に抜け漏れが出てしまうことがあります。 また、「この機能は必要かどうか」とか「いつまでに必要なのか」といった意思決定がスムーズにできないことも多いです。システム担当者がやりたいことと、実際にシステムを使うエンドユーザー部門の意見が食い違ってしまう。それをまとめられる人がいないので、上層部に判断を委ねることになり、余計に時間がかかる…ということが起こります。 Q:システム利用者が多くの部門に及ぶと、利害関係が生じてプロジェクトが進まないという話はよく聞きます A:プロジェクト成功に向けてうまく動けていない組織は、「このシステムができたら会社がもうかる」「うちの部署がこう変わる」といった「デジタル化したときの夢」を共有できていません。同床異夢だから、実現すべき姿にズレが生じてしまうのです』、一般論としては分かるが、セブン&アイに当てはまるのかはまだ情報不足だ。
・『開発途中で、「うちの部署にこんなデメリットがあるなんて知らなかった!」というクレームが入るのはよくある話。開発に入る前に、関係者を集めて具体的な業務とメリット・デメリットをみんなで語り合い、模造紙やホワイトボードにまとめるなどして、イメージをビジュアル的に共有することがプロジェクトの第一歩です。この段階で、プロジェクトによって「損をする部門」があるのであれば、会社全体の利益と照らし合わせたうえで、事前に対策を考えておくべきです。 多くの人が関わるプロジェクトにおいて、現場のリーダーには、熱意とイメージ力、そして議論をファシリテートする力が必要です。そして、そのリーダーにきちんと権限が与えられていること。現場に決定権がなければ、結局上層部にお伺いを立てなければならず、滞りが出てしまいます』、これも、セブン&アイに当てはまるのかはまだ情報不足だ。
・『ITを「本業」だと考えない企業にデジタル・トランスフォーメーションはできない Q:著書『システムを「外注」するときに読む本』の出版から2年がたちました。企業を取り巻く環境も随分変わったと思いますが、最近気になる問題はありますか。 A:昨今のプロジェクトでは、AWS(アマゾン)やAzure(マイクロソフト)などのクラウドサービスを活用することが多くあります。クラウドサービスはそれぞれサービス内容が異なるので、できることとできないことに違いがあるのですが、これを正しく理解できていない。そのため、できると思っていたことが、いざ開発してみると実現できないということがあるのです。 しかも、クラウドサービス事業者はサービスを提供するだけで、それ以外の部分には責任を持ちません。ベンダーも自社の製品ではないため、必要な知識や検討事項に抜け漏れが出ることもあります。こうしたトラブルは今後増えていくでしょう。 対策として、ユーザー企業はクラウドサービス事業者が開催する研修に参加するなど、積極的に情報を収集すべきです。複数のクラウドサービスのサービス内容、セキュリティー、契約内容の比較検討をユーザー企業自身でやったほうがいい。うまくいかなくて、最終的に困るのは自分たちなのですから。 忙しい業務の合間を縫って勉強するのは大変だと思われるかもしれませんが、私は、ITに関する知識の習得は「本業」として考えるべきだと思います。デジタル・トランスフォーメーションでは、IT中心に仕事をしていくことになります。「ITはうちの専門分野ではない」「ITはスタッフ部門の仕事」という認識は改めなければなりません』、これはセブン&アイに当てはまりそうだ。
・『Q:「本業」として考えるには、具体的にどういう点を改善すべきですか。 A:例えば、ユーザー企業において、「IT部門で長年経験を積んだ人が出世しない」とか「ITの研修にお金がかけられない」というのはよくある話です。ITは動いて当たり前。動かないと非難されるけど、動いても褒められない。多くの企業で、システム部門の立場はそんなところでしょう。しかし、これではデジタル・トランスフォーメーションは成功しません。ITの成功を、本業と同様に評価する姿勢が必要です。 今は、部門横断的なデジタル活用をめざして、システム部門以外もITプロジェクトに参加するケースがあります。例えば、営業担当がITプロジェクトに週2回携わるとなったときに、「自分の営業成績が下がって困る」状況ではだめ。ITプロジェクトで出した成果も、その活動の割合に応じて人事考課できちんと加味してあげるべきです。 まずは、こうした人事の視点からITに関わることを評価する。これが関係者のやる気につながります。要件定義とか、セキュリティー対策とか、細かいことはプロジェクトメンバーのモチベーションあってのことです』、専門家だけあって、一般論が多いが、セブン&アイでのシステム部門の軽視は、セブンペイの社長に如実に表れているようだ。
第四に、8月20日付けダイヤモンド・オンライン「7pay大失敗に見る、セブン帝国最大の強み「結束力」に生じた亀裂」を紹介しよう。
https://diamond.jp/articles/-/212109
・『コンビニエンスストア業界の王者が鳴り物入りで始めたキャッシュレス決済サービス「セブンペイ」は、3カ月でお蔵入りに。後手に回る対応や社内の混乱から、「セブン帝国」の強みである結束力に亀裂が生じていることが伝わってくる。 「記者会見の動画中継を見ていて、思わずズッコケた」──。セブン&アイ・ホールディングス(HD)が、「セブンペイ」の中止を発表した8月1日のそれだ。たった3カ月でサービス終了という失態に、ある関係者は言葉を失った。 セブン独自のスマートフォンによるキャッシュレス決済サービスは、7月1日の開始直後にアカウントの乗っ取りによる不正利用が発覚。「2段階認証」がなされていないなど、セキュリティー上の不備が次々と指摘され、9月末での中止を余儀なくされた。 HD傘下の運営会社であるセブン・ペイの奥田裕康取締役営業部長は、「開発段階では2段階認証を想定していたが、使用感を考慮して“入り口”の敷居を低くした」と見通しの甘さを釈明した。 経済産業省や民間企業などで構成する一般社団法人キャッシュレス推進協議会のガイドラインでは、2段階認証を求めている。そして、協議会の理事には、セブン-イレブン・ジャパン(SEJ)の古屋一樹会長が就任している他、会員企業にはSEJやセブン・ペイも名を連ねる。前出の関係者は、「協議会の会合には各社の担当者が出席していた。一体何を聞いていたのか」とあきれ顔だ。 不正利用の原因については、グループナンバー2の後藤克弘HD副社長をトップとした、「セキュリティ対策プロジェクト」が調査を続けている。だが、調査報告書は「セキュリティー上の理由」によって外部に公表しない方針だ。過去に個人情報の漏えいを起こしたベネッセHDや日本テレビ放送網は、同様の報告書を公表しているにもかかわらず、である。 セブンペイ終了後も、同じIDとパスワードを用いたインターネット通販サイト「オムニセブン」や、クーポンがたまる「セブンアプリ」はサービスを続ける。セブン側は、IDとパスワードを初期化したことなどから、「セブンペイ以外のサービスはセキュリティー上の問題はない」と主張。これらのサービスに登録された個人情報の「明確な漏洩の痕跡は認められない」との見解を示した。 しかし、国際大学GLOCOM客員研究員の楠正憲氏は、「調査報告書がセキュリティーを理由に公表できないということは、まだ欠陥が残った状態だと思われても仕方がない」と指摘。個人情報についても、「従来使われていたIDが攻撃対象となっており、オムニセブンから相応の流出が起きているのではないか」との見方を示す』、「開発段階では2段階認証を想定していたが、使用感を考慮して“入り口”の敷居を低くした」との奥田裕康取締役営業部長の発言は、セブンペイ社長が2段階認証を知らなかったことから、疑わしい。センブン&アイも参加している「キャッシュレス推進協議会のガイドラインでは、2段階認証を求めている」にも拘らず、セブンペイ社長は知らなかったというのは、お粗末過ぎる。
・『社内ノウハウ得られず欠陥だらけで実用化 コンビニ事業も逆風に なぜ、ここまで欠陥だらけのセブンペイが実用化されたのか。 運営会社のセブン・ペイには、ファミリーマートのキャッシュレス決済サービス「ファミペイ」が始まる7月に間に合わせなければという焦りがあった。加えて、決済関連のノウハウを有するセブン銀行や電子マネー「nanaco」の担当部署から、十分な協力が得られなかった。さらに、システム構築を請け負ったITベンダーが複数社にまたがっており、責任を持って全体最適の実現を目指す体制でなかったことも影響した。 セブンでは、グループの屋台骨である国内コンビニ事業において今年2月、本部と加盟店との対立が表面化。24時間営業や粗利の分配を巡る不公平さが強い批判を浴び、経産省や公正取引委員会が是正に乗り出している。 こちらを取り仕切るSEJの関係者に言わせれば、セブンペイ問題は、「あれは、HDがやったこと」と、ひとごとの姿勢だ。 セブンペイの火の粉を払おうとするSEJ内部では、24時間営業を巡る社内の足の引っ張り合いが目下の関心事だ。永松文彦社長は、希望する加盟店に時短営業を認めるとアナウンス。それにもかかわらず、時短営業を阻止しようと加盟店に圧力をかける本部社員の動きを上層部が抑え切れない。 このように、結束力が武器だったはずのグループ内は、そこかしこで反目、分裂の様相を呈しており、収拾がつかない。鈴木敏文HD名誉顧問の会長時代は、良くも悪くも持ち前の“徹底力”でグループをけん引していた。だが井阪隆一HD社長の体制となってからは、グループや加盟店に従来たまっていた不満や不均衡が一気に噴き出しているように見える。 不振の百貨店や総合スーパー事業のリストラも焦眉の急だが、「腹をくくって改革を進められる人物が、今のセブン経営陣にはいない。その後継となり得る人材も見当たらない」(ある小売り大手幹部)。 国内コンビニ事業で盤石のシェアを築き、グループ売上高12兆円と「セブン帝国」と呼ばれる巨大企業に成長したセブン&アイ・HD。噴出する諸問題への後手に回る対応は、グループの強固な結束力の崩壊の予兆を感じさせる』、前述のように、今日、新に「日曜休業」問題までが噴出、本部は今回も契約解除で脅しているようだ。あちこちで噴出している「グループの強固な結束力の崩壊の予兆」に対して、如何に対応してゆくか、リーダシップが問われているようだ。
タグ:7pay不正利用 (7pay不正利用で露呈したセブン&アイの「ITオンチなのに自前主義」、「7pay」不正問題には 日本企業の経営のダメさが凝縮している これはマネジメントの問題だ、セブンペイは氷山の一角!ITオンチ企業が陥るデジタル戦略の落とし穴、7pay大失敗に見る セブン帝国最大の強み「結束力」に生じた亀裂) ダイヤモンド・オンライン 7pay不正利用で露呈したセブン&アイの「ITオンチなのに自前主義」」 たった4日で900人、5500万円の被害 「二段階認証?」と聞き返した7Pay運営会社トップ セブンは、これらの利用開始がようやく今月と出遅れたうえに、ようやく独自開発の7Payのスタートにこぎつけたが、いきなり大きくつまずいた コンビニ創業の成功体験に自信 IT人材が払底 後発組にもかかわらず、利用者の「安心・安全」を守れなかった7pay。キャッシュレス決済そのものへの信頼を失墜させた責任はあまりに重い 日曜休業を申請 加谷 珪一 現代ビジネス 「「7pay」不正問題には、日本企業の経営のダメさが凝縮している これはマネジメントの問題だ」 「2段階認証って何?」の衝撃 経営トップは技術に詳しい人であるべきか? 日本企業が抱えている深刻な経営問題 トップの人選にあたってもっとも重視されるべきなのは、やはり経営者としての能力であることは言うまでもない。 仮に技術に詳しくなくても、優秀な経営者であれば、自身が詳細な知識を持っていないことをすぐに認識するので、詳しい人間をスタッフとして近くに置くか、責任者として登用する形で、知識不足をカバーする体制が構築されるはずである。諸外国のIT企業トップの中にも、ITに詳しくないという人はそれなりにいるが、問題なく経営できている 日本企業に顕著な問題である可能性 最終的にはすべてマネジメントの問題 「セブンペイは氷山の一角!ITオンチ企業が陥るデジタル戦略の落とし穴」 経済産業省CIO補佐官の細川義洋氏 “素人”でも気を付けなければならないIT開発の要点 セブンペイの開発ベンダーは訴えられたら負ける? ITベンダーの「専門家責任」 “プロにお任せ”はNG! ベンダーの提案を)「引き出せなかったベンダーとの関係性に問題がある プロジェクトがもめて頓挫するのは同床異夢の組織である ITを「本業」だと考えない企業にデジタル・トランスフォーメーションはできない 「ITはうちの専門分野ではない」「ITはスタッフ部門の仕事」という認識は改めなければなりません 「7pay大失敗に見る、セブン帝国最大の強み「結束力」に生じた亀裂」 キャッシュレス推進協議会のガイドラインでは、2段階認証を求めている 協議会の理事には、セブン-イレブン・ジャパン(SEJ)の古屋一樹会長が就任している他、会員企業にはSEJやセブン・ペイも名を連ねる 調査報告書がセキュリティーを理由に公表できないということは、まだ欠陥が残った状態だと思われても仕方がない 社内ノウハウ得られず欠陥だらけで実用化 コンビニ事業も逆風に 噴出する諸問題への後手に回る対応は、グループの強固な結束力の崩壊の予兆を感じさせる
2019-08-24 17:25
nice!(0)
コメント(0)
コメント 0