7payの撤退の会見について、その素早い損切りの決断を大局的な損害の極小化という意味で評価する意見をいくつか目にした。同意できる部分もあるが、不正利用の原因をリスト攻撃だと強弁するところなど、どうにも違和感を感じる部分も多い。この違和感は、エンジニアの多くが感じているもののようだが、それは最後まで解消されないまま終わりそうだ。

これについて、「7payの関係者の多くは不正利用の報告をクレーマーに対応する方法論で処理している」と考えると説明しやすいのではないかと思った。

新しい商品やサービスに対して、消費者から多くのクレームが同時に上がったら、無視していいものではない。むしろ、改良のための貴重な情報源として生かすべきだ。そのためには、クレームを分類して、同じような指摘が多く上がっているところから、対応していく。ここまでは、クレーム処理も不正利用報告も同じだろう。

不正利用の被害を分析していくと、多くがリスト攻撃の被害だという主張は、信じてよいと思う。割合や被害金額から見て、パスワードを使いまわして、チャージ用パスワードにも同じパスワードを使い、単純なリスト攻撃でチャージから不正購入までされてしまった人が、それくらいいてもおかしくない。

ここまでの分析は正しいし、セブンイレブングループが、それを今後の教訓として活かしていける可能性は高いと思う。

問題は、この分類に当てはまらない、特異な報告をどう扱うかだ。特異な不正報告は特異なクレームと全く違う対応をすべきだ。

特異なクレームというのは、一般の人なら「まあ、それでいいよ」というところで怒りがおさまらず、しつこくしつこく同じことを言い張って譲らない人とか、虫が入るわけのない食品に虫が入ったと言う人とか、いわゆるヘビークレーマーになるだろう。

こういう人の主張をいくらしっかり聞いても、それが商品やサービスの開発に役立つヒントになるとは思えない。そういうクレーマーが来たら、だんだんと専門性の高い人にエスカレーションしていって、最後に警察や弁護士にというシステムを整備する必要はあるだろうが、会社としてちゃんと話を聞く必要はない。

しかし、不正報告では、逆に、他の人にはあり得ない現象を報告している人や、登録やチャージの操作をきちんと記録して「絶対自分の落ち度ではない」と言い張る人、特異な報告は、貴重な情報源だ。ツイッターなどで見ると、そういう信頼性の高い特異な報告がいくつかある。

ここで、特異な報告の扱い方として、人間の集団心理に対するロジックとコンピュータに対するロジックは、正反対の対応を要求する。

特異なヘビークレーマーは、放置しても、そのクレーム内容が他の普通のユーザに伝染することはない。もちろん、対応がよくなければSNSで炎上というのはあり得るが、その時にどちらがおかしいかは、一般常識で判定される。

特異な不正報告は、未発見の脆弱性から生まれている可能性があり、その場合、この脆弱性が発見されたら、それが突如何千、何万という被害に拡大することはあり得る。というか、プロの犯罪者は、そういう報告を集めて、情報を精査し、実験を繰り返しているだろう。

それが、他のユーザに適用可能かどうかは、人間の一般常識ではなくて、コンピュータのロジックで判定されるべきことになる。

未発見の脆弱性は、脆弱性である限り、どういう種類の被害につながるか予測できない。だから、特異な不正利用の報告は件数が少なくても、論理的に信頼性を評価した上で、徹底的に原因を追求して、エンジニアやセキュリティの専門家が納得できるような調査報告をすべきだと思う。

私は、こういうコンピュータ独特の論理と企業活動の関連を、「巨大で硬質な外部性を組織の内部に抱えこむ」（ドロドロなIT - アンカテ）と表現したことがある。思いつきでとっさに出てきた表現だけど、自分としては、なかなか気に入っている。

もうちょっと簡単に言うと、想像を超えたコミュ障の理系オタクの部下をかかえた上司のような対応。

私は、たぶんまわりからは、コミュ障のオタクと思われていると思うが、そういう人間でも最低限の空気は読む。普段ヘラヘラした上司が顔色を変えて「いいか、これは、今月中に終わらせるんだぞ。大変なことになるからな」とか言っていたり、普段目にしないようなエライ人が入れ替わり立ち代わりプロジェクトルームに出入りしていれば、「ああこれはやばいかも」というのは感じ取る。

確信はなくても、「不具合は全部対処したので、もう完璧です」と、そのエライ人の前では言っておくくらいのことはできる。

でも、コンピュータというのは、そういう配慮は一切なしで、書いた通りにしか動かない。今日はエライ人に最終報告する中で実際に画面を動かしてプレゼンするから、なんとか今日だけでいいから動いてくれとか、コンピュータにお願いしても、バグがあってそのバグの再現条件を踏めば、情け容赦なくエライ人の眼前でプログラムは落ちる。書いた通りにしか動かない。

自分は、コミュ障かもしれないけど、こいつよりは全然マシだと思うのです、そういう時いつも（実体験×3）

だから、　どうせ口を塞げないのなら「王様の耳はロバの耳」と先に言わせる、いっそのこと毎週定期的に言わせることにするという発想がアジャイルという奴で、「巨大で硬質な外部性」を組織に取り込むには必須だと私は思うのだが、それ以前の問題として、人間の集団を率いて、顧客という別の人間の集団に立ち向かうリーダーとして優れている人が、むしろ危ういのは、やはり「巨大で硬質な外部性」の口を塞ぐ方に組織が一丸となって頑張ってしまうからだと思う。

確信はないけど、「未発見の脆弱性があるので、その調査が終わるまで7payだけでなく7iD関連いったん全部止めましょう」がこの場合の正論である可能性がある。素早い撤退の決断は、おそらく「omni7だけは守り抜こう」という方向で組織全体にカツをいれたと思うのだけど、その空気の中でこの正論を言わなきゃいけない立場に自分が置かれたら、と想像すると、自分にとってはどんな悪夢よりも怖い。