見出し画像

あなたは本当にあなたなの? ~本人確認とドコモ口座の話~

宮﨑 拓也

最近、ドコモ口座への違法な送金が問題になりました。
これは、第三者により他人の銀行口座とドコモ口座が勝手に連携されて、第三者のドコモ口座にお金が送金されるという問題です。
今回の問題は、本人確認をどのようにしていたか、の問題に行きつきます。

さて、過去に「キャッシュレスの裏側」として、本人確認の有無によりキャッシュレスで出来ること、出来ないことがあることを書きました。

今回はドコモ口座問題に関連して、本人確認に注目してブログを書いてみたいと思います。

○○キャッシュ、○○口座とは?

最近○○キャッシュ、○○口座、などキャッシュレス決済が増えています。
その中にはいろいろな「残高」がありますが、法的には中身が異なり、簡単にまとめると以下の表の通りになります。

画像1

ここで「資金移動業者に預けたお金」を取り扱う時にだけ「本人確認」が必要なのがポイントです。
なぜ「前払式支払手段」は本人確認が不要かというと、もともとこれは「図書券」などプリペイドカードのデジタル化という背景があるからです。図書券を取得する時に本人確認は不要なことからも理解できます。

さて、今回のドコモ口座ですが、口座の種類は実は2種類あって、

  ・ドコモ口座(プリペイド)→ 前払式支払手段の購入額
  ・ドコモ口座       → 資金移動業者に預けたお金

となっています。
ドコモ口座(プリペイド)はドコモ回線のユーザー以外の誰でも、本人確認なしで作成することが可能です。口座をアップグレードする際に本人確認が必要になります。

画像2

本人確認は2018年11月からオンライン可になった

2018年11月30日「犯罪による収益の移転防止に関する法律施行規則の一部を改正する命令」が公表され、金融関係に必要な本人確認がオンライン上で完結できるようになりました。

従来、クレジットカードを作るなど金融関係の契約の際は、運転免許証のコピーなどをクレジット会社に郵送していたと思います。今回の改正により、運転免許証の画像のデータ送信なども本人確認手段として認められるようになりました。

さらに、利用者の銀行に照会して本人確認する方法も認められました。つまり、銀行がOKと言えば本人なのだろう、というロジックが認められました。

本人かどうかは銀行が確認するので、内部的には銀行側のサイトで判断します。オンラインバンキングのログインシステムと似たものと考えてよいと思います(正確には「口座振替受付サービス」と言うそうです)。

画像3

利用者から見ると「○○キャッシュに銀行口座を『登録』します」のような案内をされると思いますが、実体としては銀行口座の登録と、銀行への本人確認の2つを一度に実施していることになります。

ドコモ口座の場合

ドコモ口座でも、ドコモが直接本人確認しているわけではなく、銀行側のサイトで本人かどうか判断しています。

今回被害を受けたのは、ドコモ口座から照会を受ける一部の銀行で、氏名、口座番号、キャッシュカードの4桁の暗証番号、という比較的緩い認証で本人確認している銀行だったようです。

いろいろなところで話題になっていますが、このような状態はセキュリティレベルが低い状態で、総当たり的な試行で認証突破が可能だそうです。

認証を突破すると、本人確認が完了してしまいます。こうしてドコモ口座と銀行口座の紐づけが完了し、銀行口座からドコモ口座への送金が可能になってしまいました。

どうしてこうなってしまったのか

原因は分かりませんが、私にはドコモ側と銀行側と間に認識違いが発生していたように見えます。つまり、ドコモ側からは、銀行にセキュリティリスクがあるとは考えておらず、銀行側からは、身元のはっきりしない人が連携されてくるわけがない、と考えていたように見えます。いわば、コミュニケーション不足が発生していたと考えます。

画像4


銀行側にしてみたら、今まで問題が無かったキャッシュカードと4桁の暗証番号をそのままオンラインに拡張したところが問題でした。「キャッシュカード」という物理的なセキュリティ手段が別にあるからこそ、4桁パスワードでも運用できていた、という認識が少し薄かったのだと思います。

一方で、ドコモ側も、ドコモ口座(プリペイド)は誰でも何個でも(※)本人確認なしで作成可能なところが問題と言えなくもありません。ただ、前払式支払手段は本人確認は不要なので、ドコモ口座(プリペイド)には法的な問題はありません。(※ 規約上は1人1口座)
とはいえ、ドコモ口座にアップグレードする際に、ドコモも自ら本人確認をするという選択肢はあったと思います。

中小企業はどうするか

中小企業で顧客の会員システムを持っている企業も多いと思います。その中で、他社と連携して顧客情報をやり取りする企業もあるかもしれません。

会員システムは、自社の中で閉じている分には問題はなかったとしても、他社と連携した際に問題が出る可能性もあります。

特に連携する他社側で本人確認が緩かったり、本人確認していなかったりする場合には注意が必要です。よく注意しないと、他社から「この人は○○さんで間違いないですか?」「もしそうなら○○情報をください」という照会が来た際に、自社が持つ個人情報が悪意を持った第三者に漏洩する危険性があると考えます。

他社と連携する際には、

・連携する他社は利用者登録時に本人確認しているのか確認する
・自社の認証方法は自社内で閉じたシステムが前提ではないか確認する
・他社連携で自社の認証を使う場合にセキュリティ的に十分か確認する

のような点に注意し、連携する他社との十分なコミュニケーションをとって進めることが必要だと考えます。

IT系企業に所属する企業内診断士です。