人気のタグ
おすすめのサイト
企業ニュース

ドコモ口座の不正利用問題はなぜ起きたのか?

2020.10.24

■連載/法林岳之・石川 温・石野純也・房野麻子のスマホ会議

スマートフォン業界の最前線で取材する4人による、業界の裏側までわかる「スマホトーク」。今回はドコモ口座の不正利用について議論します。

※新型コロナウイルス対策を行っております

問題はドコモだけなのか?

房野氏:今はだいぶ落ち着きましたが、8月後半から9月頭にかけて、ゆうちょ銀行や地銀の口座から、本人が知らないうちに不正に引き出され、ドコモ口座に入金されるという問題が起こりました。これについて、どう思われますか?

房野氏

石川氏:不正が明らかになった時はドコモが非常に悪者扱いされたけど、今、明らかなのは、銀行側のセキュリティも甘かったんじゃないかなということ。ゆうちょ銀行の不正アクセスの話もそうだけど、ドコモと銀行、両社はセキュリティが万全だと思っていたけど、2つがつながったことによってネット上でキャッシュカードのようなものが作れてしまう状態になった。結果として買い物をされ、換金されている状況になっている。確かにセキュリティの不備はあったかもしれないけど、ドコモだけが責められる話ではない。お役所体質だとか色々書かれているけれど、世間の批判は若干、的はずれなものが多かった。

石川氏

石野氏:根本的な原因は、口座振替システムが4桁のパスワードで認証していること。4桁の数字だと最多でも1万通りしかないわけで。それを放置しておいて、なぜドコモだけが悪者扱いされたのか謎だった。ドコモ口座以外も、PayPayとかメルペイとかLINE Payとか、同じような認証をしているサービスがたくさんある。ほかのサービスでも絶対同様のことが起こる、ドコモだけが悪いというよりも、銀行にも不備があったでしょってことを、問題が起こった時にすぐ記事に書いたら、本当にその通りになった。dアカウントの開放を急ぎすぎたせいだとかいう人もいましたが、それは関係ない。dアカウントの開放は、むしろもっと急げよって感じですから。

PayPay

石野氏

お金を預かっている銀行の責任とは?

法林氏:今回の件で一番気を付けないといけないのは、ドコモの配慮が足りなかったところはあるにしても、そもそもの話としてお金を預かっているのは誰かということ。これがほとんど語られていない。預かっているお金に責任を持つのは金融機関。決済サービスとつなげていいといったのも結局は金融機関。お金を守る責任を果たせなかったのも金融機関なので、本来、責任は銀行側にあるはずなんです。確かにフリーアドレスでもdアカウントを作れるけれど、ちょっと待ってくれと。GoogleアカウントもApple IDも、ありとあらゆるアカウントはフリーアドレスで作れます。それは責められることではない。確かに2段階認証があった方がベターなのは事実だけど、ちょっと勘違いしていませんか? とは感じましたね。

法林氏

石野氏:2段階認証はベターだけどマストではない。しかも法律上は、銀行口座を紐付けることで、それが本人確認になっている。ドコモとして何か不法なことをしていたわけではない。

法林氏:そういう本人確認ではなくて、免許証やマイナンバーカードを使えばいいだけのことなんだけど、銀行が許可している以上、それはどうしようもない。でも、どこまで行ってもお金を預かっているのは金融機関なので、そこが責任を持つべき。それが嫌なら最初から開放しなければいい。

石川氏:ドコモ口座に関連する被害に、遭っている銀行と遭ってない銀行が明確に分かれている。明らかに銀行側の考え方の違いだと思う。ドコモの記者会見に行ったけど、ドコモは銀行をかばっている感があって、若干歯切れが悪かった。結果として、ドコモ口座が主語になっちゃうので、ドコモがすごく悪いイメージになっているけれど、実はそれだけじゃないよねってことが色々わかってきた。

石野氏:PayPayやメルペイでも被害があった。ゆうちょ銀行がたくさん被害を受けたんですけど、口座規模が一番大きくて、さらにセキュリティが緩かったことが理由。

法林氏:同じことはデビットカードでもありえるし、コード決済でも起きるかもしれない。

石野氏:ゆうちょ銀行の記者会見で、「2段階認証の許可をお願いしたが、決済事業者がなかなかしてくれなかったから」と田中副社長は言いましたけど、いやいや、設定する時は、ゆうちょ銀行のサイトに飛んで認証しているのに、そこに許可なんかいらないでしょと。ドコモの会見に出ていたような人は言っていませんが、決済事業者の実務を行っている人たちは、「ゆうちょ銀行側にログインできたら、つないだ側のシステムはそれに従うだけ」という風なことを言っていました。

石川氏:今回の問題でやっかいなのは、個人が残高照会しないと被害に遭っているかわからないところですね。

法林氏:後から、ちゃんと本人が利用したものだったことがわかって、被害件数がマイナスになっているけどね(笑)

石川氏:今、クレジットカードの不正利用へのガードが堅くなっているじゃないですか。自分は「Surface Duo」が欲しくて、アメリカのWebサイトでクレジットカード番号を入力したら、「石川さんのカードが海外で使われているみたいですが」といきなり電話がかかってくるくらい、クレジットカード会社は不正利用に対して警戒している。恐らく今後は不正利用されることを前提にして、不正利用をブロックできる仕組みがオンラインの決済サービスには必要なんだなと。早くそういった態勢にしないといけないだろうし、そうしないことにはキャッシュレスに対する世間の盛り上がりがいっきに冷え込んでしまう。早く原因を追求して、業界を挙げて対策しなくてはいけないと思います。

石野氏:そこまでやっていても、クレジットカードの被害は毎月何億円単位である。クレジットカードの被害が声高に言われていないだけで、実際は毎日あるわけで、ちょっと議論のバランスが悪いなとは感じます。

石川氏:今回の件で問題点が浮き彫りになったので、これを機にセキュリティを強化していくことが大事。

石野氏:本当に対策するなら、被害があった銀行の口座からお金を全部引き出すのが一番かもしれない。

石川氏:それを言ったら、取り付け騒ぎになる。

石野氏:そう。だからみんなストレートに言えずにいる。

法林氏:銀行によっては決済サービスにつないでいなかったり、ワンタイムパスワードが何をするにしても必要だったり、それぞれが自衛策を講じている。

石川氏:本当に、地銀とか体力がないところはこれから厳しくなる気がします。

法林氏:地銀、信金だよね。

石野氏:ちょっと気になるのが、システムを提供したNTTデータへの確認がほとんどないこと。

法林氏:会見をした方がいいという意見はあるけれど、似たような話でいえば、東京証券取引所がシステムダウンしたことで誰が謝るのかってこと。後日、富士通が会見で謝罪したんだけど、メモリが壊れたんだったら、メモリを作った会社が謝らなくていいのか、シリコンを作った会社が謝らなくていいのか、シリコンを実際に作った工員が謝らなくていいのかって話になっていく。果たしてどこまで必要かは議論の余地がある。

石川氏:東証の会見は見ていないんですが、会見に参加している記者に追求できるほどのスキル、知識があるのか、それは重要なこと。緊急記者会見に参加できる記者の人数は限られるから。ドコモの会見だったら自分たちにも声がかかるけど。

法林氏:東証のCIOが技術系の人で、質問にバリバリ答えていたね。

房野氏:その様子を見て、かえってシステムの堅牢さをイメージできたという声もありましたね。

石川氏:メディア側も責任があるし、企業側も会見のやり方ひとつでイメージがゴロッと変わる。その点で、ドコモはまぁ……

石野氏:ギリギリで及第点かな。でも、今回の東証の会見に比べると、もう少し毅然としてほしい。

法林氏:ドコモの立場からすると言い難いよね。iモードの時代から銀行と一緒にやってきた。銀行側からすると、ドコモはモバイルバンキングの道を切り拓いてくれた企業だし、ドコモ側からすると、それも含めて過去の取り引き経緯がある。

iモードの時代はドコモの設備側に基本的な窓口があった。そういう意味ではやりやすかったけど、今はネット経由になった。インターネットにつないでいるのに本人確認が4桁の暗証番号というのが問題なのは、まさにそこ。過去の時代の感覚をそのまま引きずったドコモに認識の甘さがあったのは残念ですね。

不正利用にどうやって対策していくのか

房野氏:対策はどのようなものになるのでしょうか。

石野氏:eKYC(イーケイワイシー/electronic Know Your Customer)という、本人確認書類と本人の写真で本人確認するシステムを導入することと、可及的速やかに、電話番号認証を入れることが発表されています。電話番号認証は利便性が下がるし、あまり意味がないと思うのですが。

石川氏:ドコモ口座を使えるのはドコモユーザーだけにすればいいのに。

法林氏:そうなんだよね。オープン化というけれど、ドコモユーザー以外はほとんど使わない。お金がからむようなサービスはドコモユーザーだけのエクスクルーシブなサービスとして提供すればいい。ドコモ口座は海外送金が激安で、それでよく使われている。でも、その話は、会見でほとんど聞かれなかったね。

石川氏:初めてドコモ口座が日の目を見たのが、あの記者会見でしたから。超マイナーサービスとして細々と海外送金需要で使われていた。

法林氏:でも、海外送金ではすごく使われているんでしょ。

石川氏:ほかのサービスを利用した場合、送金手数料が1万円くらいかかるようなケースでも、1000円くらいで送れることがあるんですよね。留学している子どもの口座に送金したりするのに便利。

石野氏:ようやくd払いのウォレットとして日の目を見ようとして、こうなった。

石川氏:名前を「d口座」にしていたら、印象が違ったんだろうな。ドコモ口座は、「ドコモ」と企業名が入っているから、「おやっ? ドコモが悪いのか?」って、みんなが思うじゃないですか。

石野氏:サービス名としてドコモと書いているのに、1社だけが責任を追及される雰囲気になってしまう。

法林氏:スマホ決済で本人確認を銀行口座に頼るのは、本当に正しい行為なのか、もう一度よく考えなくてはいけない。銀行口座で本人認証をとるのと、各携帯電話会社が本人の携帯電話番号で認証をとるのと、どっちが信用できるのかといったら……まぁ、携帯電話会社がやっているサービスだったら携帯電話会社の方で認証がとれるんじゃないかと。

石川氏:銀行口座は入金が0円でも作れる。携帯電話会社の契約は、毎月お金を払わないと維持できない。どちらがちゃんと利用されているかといったら、携帯電話でしょうね。

石野氏:非回線契約ユーザーの問題がありますよね。本人確認は決済事業者にとってハードルが高い。メルペイでも、若者たちが本人確認の手続きができなかったり失敗したりする。ITリテラシーがそんなに高くない人には難しい。スムースにやらせようとすると難しいのは確か。携帯電話の回線契約は、ショップで、人がやっているからこそスムースにできる。

石川氏:先日、妻が楽天モバイルのsSIMの契約をしたんですよ。eSIMなのに、佐川急便で楽天から荷物が届いて、受け取るにはドライバーに対面で本人確認書類を見せる必要があるんです。だから、妻が不在で最初は受け取れず、妻が帰宅した後、本人がパスポートを見せてようやく受け取れた。ただ、開けたパッケージには何も入っていない。ああいった本人確認のためのサービスが成立するんだなと思った。

石野氏:でも、eSIMでそれは本末転倒。さっさとeKYCを導入してほしい。

石川氏:そう。いろんなものがデジタル化されるけれど、ないがしろになっていることが多々あるので、それを点検していかないといけないのかなと思います。

法林氏:根本的な設計を変えないといけないと思う。証券はオンラインサービスを主流にした時期から、セキュリティが厳しくなった。銀行は一部を除いて、携帯電話会社まかせの印象がまだある。

石野氏:いわゆるネット銀行は今回、被害がないですからね。

法林氏:そこが象徴的だよね。

......続く!

次回は、ドコモの完全子会社化について話し合う予定です。ご期待ください。

法林岳之(ほうりん・ たかゆき)
Web媒体や雑誌などを中心に、スマートフォンや携帯電話、パソコンなど、デジタル関連製品のレビュー記事、ビギナー向けの解説記事などを執筆。解説書などの著書も多数。携帯業界のご意見番。

石川 温(いしかわ・つつむ)
日経ホーム出版社(現日経BP社)に入社後、2003年に独立。国内キャリアやメーカーだけでなく、グーグルやアップルなども取材。NHK Eテレ「趣味どきっ! はじめてのスマホ」で講師役で出演。メルマガ「スマホで業界新聞(月額540円)」を発行中。

石野純也(いしの・じゅんや)
慶應義塾大学卒業後、宝島社に入社。独立後はケータイジャーナリスト/ライターとして幅広い媒体で活躍。『ケータイチルドレン』(ソフトバンク新書)、『1時間でわかるらくらくホン』(毎日新聞社)など著書多数。

房野麻子(ふさの・あさこ)
出版社にて携帯電話雑誌の編集に携わった後、2002年からフリーランスライターとして独立。携帯業界で数少ない女性ライターとして、女性目線のモバイル端末紹介を中心に、雑誌やWeb媒体で執筆活動を行う。

構成/中馬幹弘

新型コロナウイルス対策、在宅ライフを改善するヒントはこちら

@DIMEのSNSアカウントをフォローしよう!

DIME最新号

最新号
2021年4月15日(木) 発売

DIME最新号の特別付録は「スマホLIVEスタンド」! 特集は「投資の新常識」&「輸入食材スーパーの極上グルメ」

人気のタグ

おすすめのサイト

ページトップへ

ABJマークは、この電子書店・電子書籍配信サービスが、著作権者からコンテンツ使用許諾を得た正規版配信サービスであることを示す登録商標(登録番号 10401024号)です。詳しくは[ABJマーク]または[電子出版制作・流通協議会]で検索してください。