送金事業者に本人確認義務 金融庁、不正対策強化へ
コメント
注目のコメント
義務じゃなかったのか…というのが率直な感想です。
ドコモだけでなく金融のプロではない業者が「金融取扱機関」として金融庁に届け出ている時代です。事業拡大に伴いインターネットバンキングやネットセキュリティに精通した人の配置が適切にされていたかもポイントだと思います。会社によってはネット金融を買収することでノウハウを得たところもありますよね。ドコモはどうだったのでしょうか。
気になるのは、やはり銀行側の口座情報(氏名、生年月日、暗証番号など)が盗られていること。今年10万円の給付をめぐり、市民が自治体に向けて一斉に口座情報を書いたペーパーを郵送しました。自治体のシステムの脆弱性を突かれたのではないか?地銀が多かったことからの推察でしかありませんが、情報流出のなぜ?は残ります。欧州にもマネーフォワードの様に自分の銀行口座から情報を集めて整理する家計簿アプリ(PFM)が存在しますが、今年に入って銀行口座の再登録を求められる事が続いています。PSD2という欧州規制により銀行口座とアプリの連携には強い本人認証(SCA)が求められるようになったためです。
実際のところ以前まではウェブ口座にログインするためのユーザー番号(口座番号とは異なります)とパスワードだけで良かったのが、加えて銀行に登録された携帯へのSMSも使用される事が多くなりました。二「要素」認証(ユーザーだけが知っているパスワードと、ユーザーが持っている携帯)ですね。これがアプリと銀行口座の連携に必須となりました。
今回の事件では銀行口座の連携をもって本人確認とする事は一般的であるとの指摘もありましたが、連携時の認証の強度に明確な基準が無い点が突かれた形です。PSD2のように基準を決めて、二要素認証を実装していない銀行の口座はチャージに使えず家計簿ソフトにも登録出来ない、といった方向に向かうのでは(あぁ地銀・・・)。
他方でスマホ決済サービスのユーザー登録時にも銀行口座開設時のような本人確認が求められると大きな影響があると思います。良くも悪くも日本の決済サービスは入口が割とカジュアルとの印象です。
フランスでもユーザー登録だけでは利用額や出金等の機能に厳しい制限があるのが殆どで、機能をアンロックするためには公的証明書のアップロードと記載住所への確認コードの郵送を使った本人確認が求められます。アンチマネーロンダリング規制の一環です。
SMSを使った二段階認証にしても飛ばし携帯は捨てアカに比べ入手が面倒というだけの話であって、認証は何所までいっても認証です。本人確認を置き換えるものでは無く、ドコモ口座の方針のようにeKYCの使用が必要になるのでしょうか。地銀でもその銀行のインターネットバンキングは、口座番号と氏名、暗証番号だけでは引き出しも振込もできない。
今回の責任はそもそもドコモ口座開設時にすら本人確認しないドコモ、
地銀と連携して引き出しするのに、口座番号と暗証番号、氏名、誕生日だけでいいようにしたドコモの責任でしょ。
せめてショートメッセージ認証してればもっとマシだったのは明らか。