ドコモ口座と口座振替サービス不正利用を総括。3つの問題点

9月10日にNTTドコモ本社で行われたドコモ口座不正利用事件に関する説明会の様子

問題発覚から1カ月半ほどが経過しているが、いわゆる「ドコモ口座」を発端にした銀行口座への不正アクセス事件について。当初、銀行口座からの不正引き出しの窓口として利用されたことでNTTドコモへの非難が集中したが、後に最大の被害件数が報告されたゆうちょ銀行における不手際や数々の問題が発覚したことで、問題はこれら2社にとどまらず、資金移動事業者と銀行、そしてそれを管轄する金融庁など業界全体の問題として考えられつつある。

今回は一連の問題の最新状況を整理しつつ、○○Payから銀行まで、それぞれが抱える課題をまとめていきたい。

ドコモ口座の現在

まず事件全体のアップデートとして、今回問題になった不正利用事件そのものは収束しつつある。本稿執筆の10月22日時点でドコモが報告する被害状況はここ数日ほぼ変動しておらず、同社が被害に遭ったと認識している顧客への補償もおおよそ完了している。

銀行からの申告ベースでは、10月1日に報告された249件で2,938万円の被害総額をピークに減少に転じており、本稿執筆時点で118件にまで減少している。ドコモでは10月8日以降、実際に銀行との突き合わせで実際に被害が認められた「被害件数」を公表しているが、同日時点の125件から22日時点の128件まで、わずか3件しか増えていない。

それにも関わらず、銀行からの申告ベースで100以上の被害疑いの件数が減少しているのは、銀行側からドコモに提出されるデータに不正利用でないものがかなり多く混在しており、このあたりの追跡が銀行側で行なえていないことを意味している。

10月21日にドコモが発表した「ドコモ口座」の被害申告公表値

なお、ゆうちょ銀行は10月5日にWeb口座振替(即時振替サービスを経由して被害に遭った利用者らに対して、210件の総額4,940万円の補償手続きが完了したことを報告している(PDF)。ただしドコモ口座の被害申告件数がいまだ増減していることからも分かるように、現在もなお調査が続いているのが実際だ。

現状は利用者からの申告を経て審査を行ない、被害が確認できた段階で補償が行なわれているが、被害そのものを認識していない利用者が少なからず存在する可能性がある。そのため関係者の話によれば、調査対象期間に即時振替サービスが利用された300万以上の口座すべてに郵送による問い合わせを実施しているという。

被害のあった他の地銀に比べ口座数が多いことによる弊害もあるが、“ドコモ口座”の問題に関してはゆうちょ銀行のみ10月以降まで被害対応が続くことになりそうだ。

また、捜査中ということで情報公開が控えられていた「不正引き出しされた残高のその後」についても状況が見えてきた。例えばNHKは10月5日、関係者らの話として埼玉県など関東地方の家電量販店やコンビニエンスストアで買い物に利用されたことを報じており、この背後に組織的な犯罪グループの関与を指摘している。

NHKの報道ではどのような手段で買い物を行なったのか書かれていないが、今回の一連の問題では(現時点で判明している範囲で)すべてキャリアフリーで作成されたdアカウントに紐付くドコモ口座を通じて銀行口座からの引き出しされているため、考え得る出金方法は「d払い」しか存在し得ないと考える。ドコモ口座残高を使ったd払いのバーコード決済では1回あたり5万円が上限となるため、あまり高額な買い物には流用できないが、3,000万円近い金額であっても多人数で同時利用すれば短期間に商品購入を通じて現金化は可能だ。

ドコモでは今後、月あたりの決済限度額が特に設定されていないドコモ口座やクレジットカード経由の決済について、上限を設定していく方針のようだ。また、キャリアフリーdアカウントが狙われた経緯もあり、10月26日の週にも今後の対策を公表しつつ、eKYCの全アカウントへの適用がスタートする見込みだ。2020年内にはSMSを使った回線が導入され、2021年初頭にかけてiOSとAndroidの両プラットフォームでパスワードレス認証が導入される。

もともとドコモ口座自体がドコモ回線への紐付けを前提に設計されたサービスであり、キャリア転出やdアカウント情報の変更があっただけで残高がリセットされてしまうなどいろいろ問題を抱えている。当面は事後対策が中心となるが、今後改めてサービス設計の見直しが順次入っていくのではないかと予想する。

3つの問題と新しいガイドライン

ドコモ口座を起点とした各銀行との口座接続だが、一部金融機関でいまだ接続は継続しており、何よりドコモ口座自体がサービス停止していない。筆者の別誌でのレポートでも触れたが、多くの銀行の本音としては「早く問題をやり過ごしてサービスを再開させたい」ということであり、サービス改修後の早期の接続再開を望んでいる。そうした圧力もあり、一連の会見でドコモ側も歯切れの悪い対応をせざるを得なかったのだと推察する。NTTの持ち株会社によるドコモ完全子会社化の話題もあって完全に霞んでしまった感もあるが、こうした要因が相まってのドコモの不自然な対応だったのだと納得している。

実際のところ、今回の事件で判明した問題点は次の3つだ。

• 資金移動事業者は口座振替サービスを使って銀行口座に接続した時点で本人確認が完了したとする金融庁のガイドライン
• 銀行が提供する口座振替サービスにおける本人確認の安全性
• こうした問題でどのように事業者や銀行の間で検証や被害者への補償が行なわれるかと、業界全体として一定のセキュリティレベルを担保するためのガイドラインの不在

1つめについては、今回の事件を機に「○○Pay」サービス各社が一斉にeKYCを必須化したように、「本人確認は決済サービスを提供する事業者自身が行なうべき」という金融庁の指導がすでに反映された形となっている。

問題は2番目と3番目だ。

金融庁や政府与党では9月以降に個別に関係各社へのヒアリングを続けており、問題の洗い出しを行なっていたことが取材で分かっている。そうした事情を反映した結果、10月26日の週にも金融庁を中心に全国銀行協会と日本資金決済業協会から新ガイドラインが発表されることになると、筆者の情報源は説明する。具体的には、前述のように資金移動事業者にはeKYCによる本人確認の必須化を促しつつ、銀行は口座振替時のIVR(Interactive Voice Response：音声自動応答)による本人確認導入を進めていくことになる。

今回判明した問題として、Web口座振替時に確認される項目が銀行によってバラバラで、セキュリティレベルに大きな差があったことで対策が弱い銀行から狙われたということが挙げられる。そのため、IVR導入で不正利用のハードルを一気に上げてしまうという方針に傾いたようだ。

全国銀行協会(全銀協)のホームページ

ただし現状で、銀行側が個人情報をほとんど持っておらず、IVR導入におけるハードルになっているという。例えば銀行は住所や家の電話番号情報を持っていたとしても、メールアドレスや携帯電話番号のような認証手段は持っていない。

また、長く維持されている口座は必ずしも新しい情報にアップデートされているとは限らず、数度の引っ越しなどを経て追跡が難しくなってしまっているケースも少なからずある。そのため、本人のあずかり知らぬところで口座振替が設定されてしまっても、銀行側にそれを本人に伝える術がないというわけだ。以前に「強力なデジタルIDの必要性」について解説したが、Web口座振替という仕組みそのものが「強力なIDの不在」を意味していると筆者は考える。その意味で、今回の動きは銀行が「個人情報」と「本人確認」について改めて考え直すいいきっかけになるのではないだろうか。

もう1つは補償の問題だ。

今回のドコモ口座のケースでは、基本的には被害はドコモが全額補償、ゆうちょ銀行については同社とドコモで折半という扱いになっていると関係者は説明する。被害額の規模もあるが、ゆうちょ銀行側が被害者救済に前向きになっているという事情があるようだ。一方で、その他被害が報告された地銀の一部には「問題が発覚した資金移動事業者が弁済して然るべき」という強硬な態度を示すところも存在している。

そのため新ガイドラインでは「基本は銀行が被害者対応にあたる」ということで、被害者救済を最優先する指針が銀行全体として打ち出される見込みだという。今回のケースではどちらにも瑕疵があったため、ドコモの対応でも問題なかったと考えるが、今後似たような事案が発生して銀行側が自身の責任に言及しなかった場合、補償が遅れる恐れがある。新ガイドラインはこのあたりの線引きを行なうのが狙いだと考える。

真に利用者にとってメリットあるサービスに向けて

今回、一連の問題を取材しつつ、関係者へのヒアリングを続けていて気になる点が1つあった。それは銀行の体質の古さだ。筆者は日本全国の銀行関係者に取材を行なっており、実際に対応された方々の多くは収入減の先細る銀行業界の未来を憂いつつ、どのように生き残っていくのか戦略をもって先を見据えていたりした。一方で、「銀行こそが金融のすべて」とばかりに現在の地位にあぐらをかいている関係者も少なからず存在し、話を聞くたびに残念な気持ちを抱くこともある。

問題としては2つある。1つは「最新の金融やデジタルトレンドを追いかけられていない」ことがあり、次に「“すべては銀行口座を通さないと金融サービスは利用できない”と考えている」点だ。

前者については、今後本人確認の場面が増えていくなかで、本人確認のための情報を抱えており「本人確認窓口」として機能するはずの銀行が、そのポテンシャルをまったく活かしていない。IVR導入の話題にもあったように、窓口で本人確認書類を参照して口座を開いておきながら、本人の最新情報を持たないがために肝心の確認作業が適時行なえないといった部分だ。

後者について、現状の送金や決済はすべて「銀行口座間の残高の移し替え」という仕組みがある以上、最終的に全国銀行資金決済(全銀)ネットワークを通じて処理が行なわれる。ここでのオンライン処理能力は全銀ネットワークの自慢の1つであり、ここでの手数料が収益の1つになっている。

一方で、銀行間取引でないものについては行内処理が可能なため、手数料面で優位になる。口座数の多い銀行であれば、その点がメリットになる。これは資金移動事業者が決済サービスや送金サービスにおいて(手数料面で)銀行に勝てないと言われる部分の1つだが、実際には中国のAlipayやWeChat Payのようにサービス事業者側のエコシステムが巨大化して、すべてを経済圏内部で回せるようになればそのメリットは中和され、最終的には利便性や付加価値の部分で不利になっていく。

問題は、銀行側の優位性が薄くなった段階で、こうした新しいサービスに対抗できるだけの付加価値を打ち出せるかという部分で、まだまだ足りないものが多く存在するのではないかと考えている。

いずれにせよ、銀行の優位性は必ずしも永続するものではなく、資金移動事業者などサービス各社と長所や短所を補い合いながら、利用者にとって便利でメリットのあるサービス開発を続けてほしいところだ。