ドコモ口座、安全後回し スマホ認証や顔認証求めず NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが見つかった問題で、同社は10日、情報管理体制の不備を認め謝罪した。新規のサービス登録は停止し被害額も補償する。
新規参入が続くデジタル決済で、規模拡大を優先する姿勢が顧客保護の甘さにつながった。
「口座作成にあたって確認が不十分だった」。10日の記者会見に出席した丸山誠治副社長はこう述べ、厳密な本人確認の仕組みがなかったことが預金の不正な引き出しを招いたと認めた。同日正午までに確認された被害は七十七銀行(仙台市)など計11行66件で、金額約1800万円にのぼる。
ドコモ口座をつくるにはドコモの顧客ID「dアカウント」への登録が必要になる。「口座」と称しているものの、本人確認書類の提出といった厳密な本人確認を開設時に求めていない。ドコモの携帯電話サービスを利用していなくても、メールアドレスがあれば事実上誰でも開設ができる。
銀行口座と連携すれば銀行からの入金(チャージ)も可能で、不正に入手した銀行口座の情報さえあれば、本人になりすましてお金をドコモ口座に移すことができる。開設基準が緩いドコモ口座を隠れみのに、顧客保護などで厳しく規制されている銀行預金が犯罪に巻き込まれた格好だ。
こうしたリスクはかねて指摘されており、スマートフォン決済各社はセキュリティー対策の強化を進めてきた。LINEは「LINEペイ」のアプリで、顔認証などの生体認証を導入している。スマホ上に秘密の鍵となる情報を登録して、鍵を持つスマホだけが決済に使える。鍵を使うには生体認証を使ったロック解除が必要になる。
KDDIもスマホを使った認証を利用者に求めている。メールやパスワードだけでは口座の開設はできない。
ドコモの対策が甘かったのは事業拡大を優先したからだ。ドコモはネット通販や金融サービスなど、自社の携帯通信プラットフォームを活用した新ビジネスの強化を急いでおり、ドコモ口座も登録増が求められていた。丸山副社長は「多くの人に便利に使ってもらいたかった」と述べた。
従来、ドコモ口座の開設には、ドコモの回線契約者であることが条件だった。だが2019年9月にこれを緩め、他の通信回線の契約者でもドコモ口座を開設できるようにした。「今回の不正は全てドコモの通信回線契約者以外の利用者が開いた口座で起きた」(ドコモ)としている。
通信以外のデジタル関連サービスでドコモは出遅れていた。特にスマホ決済ではソフトバンク傘下のペイペイが決済金額ベースで市場首位を獲得しドコモは劣勢が続く。焦りが顧客保護軽視につながったとの見方は強い。
対策として、ドコモは10日、ドコモ口座とつながる全35行を対象に新規の登録を止めた。今後の不正を防ぐための改善策としては、口座開設時に本人確認ができる免許証などの電子データ提出を求めるシステムを1カ月以内に導入する。スマホのショートメッセージサービス(SMS)を使った2段階認証にも対応する。
すでに登録済みの利用者向けのサービスは「(送金や決済で)1日当たり約1万3千件の取引がある」(同)としており、継続する。
被害にあった利用者に対しては「銀行と連携して、全額を補償する」(丸山副社長)と明言した。ただ、今回の不正は預金者が自ら銀行口座の残高を確認し、見覚えのないドコモ口座に送金があったかを調べなければ発見が難しい。被害額はさらに増える可能性がある。
ネット企業など異業種による参入が進み、決済や投資などの金融サービスは利便性が高まっている。課題として重みを増すのがイノベーションと安全性の両立だ。ドコモは銀行法よりも規制が緩い「資金移動業者」に位置づけられる。同法の下にあるセブン・ペイ(東京・千代田)では19年7月に不正利用が見つかった。
サイバーセキュリティーを手がけるカウリス(東京・千代田)の島津敦好最高経営責任者(CEO)は「本人確認を銀行に依拠するのは口座番号と暗証番号が盗まれないことが前提になっているが、盗まれる可能性を視野に資金移動業者も対策を打たなければ消費者保護は不十分だ」と指摘する。
この記事が気に入ったらサポートをしてみませんか?