全2568文字
PR

 どこか人ごとのような書き方ではないか――。ドコモ口座を巡る一連の騒動に関する各銀行のプレスリリースを見ていて、ふと感じた。「ドコモ口座において、当行口座の不正利用が発生した」「当行口座からドコモ口座への新規口座登録やチャージを停止する」。少々乱暴にまとめると、騒動の発生当初、多くの銀行がこうした内容をWebサイトに掲載していた。

 人ごとのようだと感じたゆえんは、「ドコモ口座において」という表現にある。つまり、不正が発生した舞台はNTTドコモであると言っているのだ。興味深いことにNTTドコモは、「一部の銀行において、ドコモ口座を利用した不正利用が発生している」と反対の書き方をしている。

 これらのプレスリリースには、2つの問題点が潜んでいるように思う。預金の番人であるはずの銀行に見え隠れする脇の甘さと、NTTドコモをはじめとする決済事業者と銀行間のコミュニケーション不足だ。

銀行ならばセキュリティーを最優先にするはず

 今回の件に関して、NTTドコモに非があったのは否定しがたい事実である。電子メールの認証だけで開設できたドコモ口座の仕組みは、金融サービスとしてあまりに杜撰(ずさん)と捉えられても仕方がない。認証の不備を突かれて不正アクセスを受け、わずか3カ月でサービス中止に追い込まれたスマートフォン決済サービス「7pay」を彷彿(ほうふつ)とさせる。

 NTTドコモもセブン&アイ・ホールディングス(HD)も、業界を代表するビッグプレーヤーだが、金融サービス事業者としてはセキュリティー意識が不足していた。

 NTTドコモは「キャリアフリー戦略」の名の下に、結果的にドコモ口座における厳格な本人確認を事実上不要にしてしまった。セブン&アイHDは、7payという決済機能を販促用アプリ「セブン-イレブンアプリ」に組み込んだ上、SMS(ショート・メッセージ・サービス)認証といった追加認証を実装せずにサービスをスタートさせた。7payの事件当時、金融関係者からは「セブン銀行が主導していれば、事故は防げたはず」との声も漏れ聞こえた。銀行ならば、セキュリティーを最優先に考えていたはずだとの見方である。

 ところが今回、決済サービスへのチャージ機能を実現するために銀行が採用していた仕組みも、セキュリティー水準の高いものではなかった。多くの地方銀行が利用していた地銀ネットワークサービス(CNS)の「Web口振受付サービス」には、「松」「竹」「梅」といった具合にセキュリティー強度の異なる選択肢が用意されている。被害を受けた銀行は、コストの兼ね合いもあり、相対的に低い認証方法を選んでいたとみられる。

 もちろん、銀行側にも言い分があるだろう。NTTドコモからの情報提供が不足していたとする話もある。しかし、同社のドコモ口座を巡る施策に対して銀行側に受け身の姿勢はなかったか。銀行は、預金業務を認められている数少ない組織の1つ。だからこそ、顧客から預かった資金を移動させるサービスに対して人ごとであってはならないはずだ。