PR

 先日,約1年半利用していたインターネット・バンキングを解約した。従来,ユーザー認証にディジタル証明書を利用していたが,それを廃止してパスワードだけによるユーザー認証になってしまったからだ。

 今回の件で,インターネット・バンキングの利便性と安全性にして疑問が生じてきた。既存の銀行の多くがインターネットや携帯電話を使ったバンキング・サービスを提供しており,一方でインターネット専業銀行も登場してくるように,ネット・バンキングが盛んである。しかし,利便性と安全性という相反するものをどのように整理し,それをいかにユーザー(顧客)に説明するのか--などまだまだ課題は多い。

セキュリティの変更がわかったのは10日前

 6月初め,電子メールと郵便で「6月12日開始の新サービスへの切り替えのお願い」という趣旨の案内が届いた。よく見ると,それまで使っていたディジタル証明書を廃止して,ユーザー認証をパスワードだけになるという。

 3月ごろからインターネット・バンキングが生まれ変わると案内はあったが,それはMacintoshやiモードでも使えるようにすることや,定期預金の取り扱いなどサービス・メニューの拡大などの紹介であった。セキュリティが変わることがわかったのは,新サービス開始の10日くらい前である。

 2重のパスワードを使うというものの,パスワードだけでは不安である。ある日,口座の残高がゼロになっていた,とでもなったら取り返しがつかない。大体,そんなサービスに契約した覚えはない。慌てて銀行に連絡をとると,「利用規定にある“規定の変更”」とのこと。つまり,ディジタル証明書の使用を取りやめるのは,銀行側の判断で自由にできるということである。ディジタル証明書は公開カギ暗号を使ってユーザーを認証するために不可欠なもので,セキュリティの高さはパスワードとは比べものにならない。

 確かに,ディジタル証明書を使うのは,ユーザーと銀行の双方にとって面倒なことがいくつもある。同行が従来提供していたインターネット・バンキングは,銀行取引プロトコルであるSECE(セキュア電子商取引環境)を使うため,専用クライアント・ソフト(ウォレット・ソフト)が必要としていた。このためクライアント・ソフトがあるWindowsユーザー以外は利用できない。

 ディジタル証明書をフロッピーに保存するようになっていて,使いやすいとは言いがたい。証明書の更新も煩わしい。銀行にしてみれば,クライアント・ソフトのインストール/操作方法や,ディジタル証明書の発行/更新などの手間や費用が大きい。

 しかし,パスワードではセキュリティ上不安であるため,このような問題は承知のうえで, SECEを採用するなど,ディジタル証明書の使用を推進してきたのではないのか。いつからなぜ,“パスワードだけで安全”となったのだろう。

 パスワードだけでもかなりのセキュリティを保てる。ただ,それはユーザの運用次第の要素が大きい。パスワードは覚えやすさや入力しやすさを考えて,誕生日や名前などに設定しがちである。覚えにくいパスワードならば,どこかにメモしておきたくなる。またiモードで利用する場合は,入力しやすさを考えて簡単なパスワードにする人も出てくる。このような場合は,セキュリティがかなり低くなってしまう。ユーザの責任といってしまえば,それまでだが・・・。

 ディジタル証明書を廃止するにしても,銀行の対応には疑問だらけである。なぜ,3月から始めた新サービスについて案内に,セキュリティについての情報も付け加えないのだろうか。

 これに対して銀行は「ユーザに説明してもわからないから」という。“わからない”ではなく“わかるように説明する”のが筋であるはず。また,利用規定には,“銀行側でセキュリティに万全を期しているが,盗難などにあっても銀行は責任を負わない”という免責事項がある。それならば,どのくらいのセキュリティ対策を実行しているのかを知りたくなる。Webサイトに新サービスのセキュリティについて,専用のページを設けて説明してあるが,それを見てもよくわからない。銀行に問い合わせると「セキュリティ上の問題があるから,それ以上は答えられない」という。

利便性と安全性は人それぞれ

 現在,インターネット・バンキングで証明書を使う銀行は少数派になっている。パスワードだけというのが,時代の流れなのかもしれない。ディジタル証明書なしで利用できた方が,ユーザの利便性が高い。しかし,安全性と利便性は相反する関係にあり,その比重は人それぞれであろう。

 定期預金の取り扱いまでできるといったサービス・メニューの拡大は利便性が向上する半面,危険性が高まることにもなる。頻繁に振り込みなどを利用する人ならば,多少セキュリティに目をつぶってもサービスを利用する。逆に,振り込みなどは年間数えるほどしか利用しないならば,安全性を重視して銀行やATMまで足を運ぶという選択もある。

 問題なのは,ユーザがセキュリティ面についてきちんと納得して契約するように,十分な努力をしているかという点である。ほとんどの銀行のWebサイトには「128ビットの暗号技術を使い安全」と説明しているだけである。

 クレジット・カードが標準で用意しているような保険をセットにするメニューを加えることも考えて欲しい(一部の銀行が,限定的に提供しているが)。セキュリティに関する知識や認識があまりないユーザを,「便利だ,手数料が安い」と勧誘し,問題が発生しても銀行は責任を負わないという姿勢は頂けない。

 この辺は,デビット・カードでも伺える。デビット・カードは,銀行のキャッシュ・カードを使って,買い物ができるようにするものである。"現金を持ち歩かずに済むため便利"としている。問題は,基本的に,ユーザーにほとんど説明がなく,選択の余地がないことである。

 現在持っているキャッシュ・カードに自動的にデビット機能が付加されている。銀行に"デビット・カード不要"と申し込んで初めて,デビット機能が取り消すことができる。便利だろうが,ユーザそれぞれの考え方によって,無用の長物となりうる。

 ユーザのなかには一生デビット機能を使わない人が何人もいることだろ。デビット機能があることすら,知らない人も少なくないはずだ。近いうちにデビット・カードで買い物ができるWebサイトも登場する。不正使用されない保証はない。NTTは,発信者番号を着信側に通知するナンバーディスプレイ・サービスを提供する際に,電話加入者全員に番号を通知するかどうかの意向を聞いた。銀行は,なぜNTTのようにできないのだろうか。

 この話には続きがある。セキュリティについて銀行に質問をしている間に,解約手続きを進めた。メールや電話のやりとりで1週間以上要し,早く解約してしまいたかったからだ。解約申込書をWebで申し込んで郵送してもらい,必要事項を書き込み投かんした。それから1週間以上立っても,なにも連絡がない。私としては,カギはかかっているものの,インターネット上に銀行口座へのドアを用意しているのは寝覚めが悪い。

 そこで“郵便が届いたか,解約手続きが済んだら連絡をくれるのか”とメールで問い合わせてみた。そしたら「解約申込書は届いたが,新サービスの申し込みや変更の手続きが殺到していて解約まで2~3週間かかる。また,解約手続き完了の連絡はしない」と。