「決済事業者と金融機関に対し」、「本人認証手続きなどで脆弱（ぜいじゃく）性がないかを確認した上で、問題がある場合には金融庁への連絡を要請。安全対策を強化するまでの間の入金停止を求めた」とのことですが、決済事業者と金融機関のどちらが連絡と入金停止の判断の責任を負うのでしょう。
銀行取引の情報を盗んだフィッシング詐欺の詳細は知らないけれど、そこはたぶん、銀行の与り知らないところで行われたことでしょう。そうだとすると、決済事業者の本人確認の甘さの責任を、金融庁の監督権限が強く及びそうな銀行側に転嫁することにならないか　(・。・？
不正で稼ぐ連中が出るのは社会正義に反することですから、何でも直ぐ規制で対応したくなるのは今の我が国の風潮からして分からないではないですが、決済事業者であれ銀行であれ、責任のある側に賠償を含めしっかり事後責任を負わせることで自ずと規律が働くようにするのが本筋であるような気がします。 (・。・; ウーン

金融庁の責任問題もありそう。
ドコモ払いは電子決済代行業で登録制でしょうか。許認可にしなかったのは規制緩和の流れからでしょう、そうであれば登録業者へのグリップは登録後こそ厳しく監督すべきと考えます。一方、提携金融機関へのグリップも甘かったのではないかと。
詳しい方のコメントを拝読いたします。

違う課題ですが、多くの銀行が採用しているinternet explore の電子証明書縛りもよく検討した方がいいのではないかと思います。

すでにinternet explore のサポートは終了していっており、最新版も来年には基本としては終了する予定なってます。
特にみずほ銀行のビジネスバンキングは、ブラウザ縛りになっており、いつアップデートするのだろうと心配です。

Internet exploreをアップデートしてない、変更してないは、深刻な問題なんでないかと思います。セキュリティ追加対応するコストももったいないので、レガシーは捨てる覚悟も必要かと。

本件のこの対応は、場当たり感がしますね。
デジタル庁に期待です。

補足です

銀行口座との紐付け手続きをKYCとして、決済事業者が使うことを改正銀行法が許容しています
↓
犯収法施行規則として定められている本人確認方法のひとつの銀行等への照会（６条１項１号ト(1) ）

これは、「免許証等本人確認書類の画像またはICチップ情報」と「銀行API等を利用した顧客情報の照会」を組み合わせることで行う本人確認で、本人確認書類のチェックに加えて、過去に銀行等の金融機関において本人確認済みであるという事実を利用して認証するもの。事業者側のアプリ等を通して銀行等に顧客情報を照会する。

既存の銀行口座にひもづけされた個人情報をもとに、銀行のAPIを使って本人確認する「金融機関認証」を活用したeKYCであり、金融機関が外部事業者にサービスを提供する

以上、https://innovation.mufg.jp/detail/id=391
三菱UFJ銀行の説明を使わせて頂きました。


元々、金融庁は、この銀行口座との紐付け手続き→銀行口座振替サービスを、決済事業者が行う本人確認手続きとして認めています。

実際には、事故が起きていない銀行もあります。メガバンクとSBI銀行やソニー銀行などのネット銀行です。
私は、この2つのネット銀行を使っていますがメガバンクと同様に、手元にキャッシュカードか通帳がないと手続きが出来ません。SBI銀行は、パスワードや生体認証を組み合わせて、3つ必要になります。

これらの銀行は、ネット利用を想定してサービスを構築しています。そこが地銀などと大きく違います。

仮に金融庁が良いと言っても、VISAやマスターカードなどは独自のルールを持っています。日本では、両ブランド共に詰めが甘いのは、海外のようにIDカードであるマイナンバーカードの利用を日本政府が広く認めないからです。

こうして考えると、本来ならば本人確認手続きの究極の手段であるマイナンバーカードを使いこなせていないことで、簡易な本人確認手続きを認めざる得なかった日本政府の対応のちぐはぐも問題です。
けれども、免許証等を使ったeKYCは日本でも浸透していますので、各決済事業者は、自ら判断することも出来ますので、改善して欲しいと思います。

地銀の手続きは、金融庁のスタンスを考慮したら、素人設計です。そこは確かに甘いです。

口座確認とかいうが、どんどん、ＡＴＭは減らしているし、お知らせサービスも、へらしている。いろいろメールが来るが、怖くて、開けない。
もっと、行政指導を望む。
結局、タンス預金が安全かも。