セブンペイ(7pay)問題の開発会社はNRI?責任の所在とIT業界が抱える問題点について



セブンペイ(7pay)問題の開発会社はNRI?責任の所在とIT業界が抱える問題点について

セブンペイが不正アクセスを受けた事件が大きなニュースとなりましたが、この事件の真の問題点について、様々な意見が飛び交いましたね。

7pay(セブンペイ)は、2019年9月30日(月)24:00をもって、すべてのサービスを廃止しています。

出典:7pay公式

開発会社はどこだったのかということについても議論されました。

筆者はITベンダーに勤めていることから、ある程度の内情や問題点が想像できたので、今回は私見も交えて開発会社の予想とどこに責任があるのかと、IT業界の抱える問題点について語っていきます。

 

セブンペイの開発会社(SIer)はどこ?NRIだけじゃない?

セブンペイの開発会社はどこなんだとSNSでも憶測が飛び交いましたが、NRIが濃厚なのではとする声が多くありましたね。

十分に可能性はありますが、決めつけられるほどの情報はありません。

ただ、有力な情報としてオムニ7(セブンの通販サイト)開発時に関わった会社として、NRIを含む4社のITベンダーが公式に公開されています。

 

オムニ7の時の開発会社はNRI・NTTデータ・NEC・日本オラクル

オムニ7の開発会社はNRI・NTTデータ・NEC・日本オラクルの4社であったことがセブン&アイから発表されています。

そして今回のセブンペイに関しても、複数会社との協業で開発したということ自体は分かっています。

日本オラクルはデータベースのインフラ会社なのでアプリ側のセキュリティ設計に関わってくることはないです。

(データベース自体のセキュリティに関しては知見があるでしょうが、今回の不正アクセスはアプリ側の仕様が問題です)

なので、NRI・NTTデータ・NECのどこかでしょうね。

NECはセブンイレブンのレジ周りなんかをメインでやってますが、その他アプリ部分も何でも請け負ってやってるので候補としてはあり得ます。

 

不正アクセスの責任はセブン&アイと開発会社の両方にある

今回の不正アクセス問題の責任はどこにあるのか?

結論を言ってしまうと、”どちらにも”責任があります。

その理由を語る前に、一般的なシステム開発の構造について解説しておきます。

システム開発の構造

一般的なシステム開発の流れについて、分かりやすく説明しているツイートがあったのでご紹介します。

この方が仰っている通りセブン&アイが発注元となって、先程挙げた4社がセブンペイを作る案件を契約します。

ただ、こういうセブン&アイのような大企業のプロジェクトっていうのは、4社だけでは開発人員がとてもじゃないけど足りないです。

なので2次請け、3次請けと呼ばれる中小企業をさらに雇って、かなりの数の会社が関わる大規模プロジェクトになっていきます。

なんですが・・・結局はアプリの機能を決めるのは上位レイヤーの「セブン&アイ ⇔ 元請け開発会社」の間です。

2次請け、3次請けは元請けのIT企業から”言われた通り作るだけ”というのが実態です。

セキュリティに穴があろうがなんだろうが、とりあえずこう作れと言われたから作りました、何か問題が?という世界です。

(きっと欠陥が分かっていながら口出ししなかった人とかもいたんじゃないかな・・・)

この文化が正しいか正しくないかという別の問題はありますが、今回の責任はセブン&アイか元請けIT企業なのか、という話になるでしょう。

 

責任の所在の考え方

本題の不正アクセス問題の責任の所在についてですが、一般的には以下のようなフローで決定していきます。

  1. セブン&アイ⇔元請け開発会社で要件のすり合わせ
  2. 元請け開発会社側が自社で検討し、セブン&アイに機能を提案
  3. セブン&アイが提案を確認し、問題ないと判断すれば承認・契約する

こんな流れです。

今回の不正アクセスはITベンダーとしてのレベルを疑う程、初歩的な設計ミスではあります。

しかし結局これを承認するのはセブン&アイなんですよ。

彼らも情報システム部門という自社のITシステムに精通した人材を置いておく部署があって、この人達が開発会社からの提案をチェックし、承認します。

なので今回の不正アクセス問題は

  • レベルの低い提案をした開発会社
  • それを問題なく承認してしまったセブン&アイ

どちらにもあるというわけです。

しかし個人的には開発会社に同情してしまう点もあります。

こんなことが起こりうるほどIT業界というのは根深い問題を抱えているからです。

 

IT業界が抱える根深い問題点

IT業界で働いてみて、個人的にこの業界の闇が根深すぎるな・・・と感じた点がいくつもあります。

例えば

  • 顧客のミスの責任を押し付けられる
  • 極端に短い開発スケジュールを強いられる
  • 個人の責任を問われる

などです。

顧客側のミスの責任を押し付けられる

先程話したように、システム開発における責任というのは、ユーザ企業と開発会社のどちらにもあります。

ただその実態としては、開発会社の側が責任を100%押し付けられることが往々にしてあります。

やはり発注側というのは、言うこと聞かないんだったら契約を打ち切るぞという強気な立場を取れるのでこういうことが多いんです。

今回のセブンペイの問題も開発会社側はセブン&アイから損害賠償請求をされるんだろうなと予想しています。

表沙汰になっていないけど裏では相当どっちの責任かで揉めてるでしょうね。

結局「お客様は神様だ」みたいな態度を取るのは消費者だけじゃないんですよね。

「企業と企業」の商売でも一緒。

承認したのは自分達なのにそれを棚上げして開発会社を責める。

そんな内情が筆者には透けて見えます。

まあ今回は開発会社も開発会社ですが・・・。

 

極小な開発スケジュールを強いられる

セブン&アイ側は今回の問題の原因として開発を急いだという事実はないと発言していましたが、個人的にはどうだかと思いますね。

実際こんな内部リークがあったとのツイートもありました。

IT業界では無理なスケジュールを開発側が押し付けられることはもはやデフォルトです。

なぜかというと基本的にシステム開発って「開発人数×期間」で金額が決定するので、短いスケジュールを押し付ければ発注側としては安くあがるんですよ。

なので、開発会社側に残業させてでもなんでも無理に近いスケジュールを押し通した方がいいと考える。

これが常態化しているんです。(ITシステムは目に見えないからお金を払いたくない心理もあるんでしょうね)

さらに今回のセブンペイやオムニ7のように大規模、かつ開発会社が4社も会社を跨いで協業するとなると容易なことじゃないです。

実際ITベンダー同士のいがみ合いとかもあって思うように進まなかったりもよくある話・・・。

こんな業界なのでセブンペイも相当無理のあるスケジュールで進んでしまったが故に今回の低品質に繋がったんだろうなとは思ってしまいますね。

 

個人が問題の責任を取らされる

これはIT業界というよりは、日本の文化の問題かもしれませんけれど。

日本人って失敗した時に前向きな解決策を考えるというよりは、非を責めるということばかりしますよね。

今回のセブンペイの問題も対応は明らかに遅かったですが、元々やばいんじゃないかと思っていた人は内部にもいたはず。

でもやばかったと思ってましたなんていったら責められるだけで損しかしないと考えてしまったでしょうね。

このように今回のセブンペイ不正アクセス問題は、日本のIT業界が元々抱える問題が明るみになっただけだと思ってます。

ここを根本から改善されない限り同じような問題が繰り返されるでしょう。

 

まとめ

今回の記事をまとめると

  • セブンペイの開発会社のうち問題点に関わっていると思われるのはNRI・NTTデータ・NECのうちどこか。
  • 責任の所在はセブン&アイと開発会社の両方にある
  • 今回の問題はITの業界の抱える問題点の氷山の一角に過ぎず、今後もこういう問題はなくならない

最後までお付き合いいただき、ありがとうございました。



Copyright© Suteki Direct(ステキダイレクト) , 2023 All Rights Reserved.