｢甘すぎる本人確認に戦々恐々｣デジタル庁の創設で預金不正引き出しは防げるのか

デジタル改革関係閣僚会議で発言する菅義偉首相（左）。右は平井卓也デジタル改革担当相＝2020年9月23日、首相官邸 - 写真＝時事通信フォト

■ドコモ口座、ペイペイを通じた預金不正引き出しの深刻さ

NTTドコモが提供する「ドコモ口座」、ソフトバンク系の「PayPay（ペイペイ）」など複数の電子決済サービスを介して、銀行などの金融機関の口座から不正に預金などの顧客資金が引き出される被害が相次いでいる。最大の問題は本人確認（認証）が徹底されなかったことだ。客観的に考察すると、わが国の電子決済サービスには信頼できる本人確認がなかった。

背景の1つには、「自社のITシステムは安全で問題ない」という組織的な過信があったはずだ。その結果、預金の不正引き出しの発覚後も、関係者が事態の深刻さを理解するのに時間がかかり、対応が遅れた。企業経営者は組織内の偏った心理を是正し、組織全体が常に事業環境の変化に迅速かつ的確に対応する体制を整備しなければならない。

今回の問題発生によって、「フィンテック（金融ビジネスとIT先端技術の融合）」など最先端のデジタル技術の利用に不安を感じる消費者は増えている。それは、わが国の規制改革などに無視できない影響を与える。各企業は最先端の本人認証技術の導入などによって不正なアクセスを許さないITシステムを構築し、消費者の信頼を得なければならない。

■常識では考えられない甘すぎる本人確認

ドコモ口座は、メールアドレスと任意に設定したパスワードを用いることで誰でも利用できた。電話番号あてにショートメッセージなどでセキュリティーコードを送信して本人確認を行う「2段階認証」は採用されなかった。その結果、悪意ある者が偽サイトでIDなどを手に入れる“フィッシング”などによって預金者の口座番号、暗証番号とパスワードを不正に入手してドコモ口座のアカウントを開設し、預金が不正に引き出された。

実体としては、ドコモ口座などの決済サービスには本人確認の手段がなかったといわざるを得ない。システム接続時に利用者が口座名義者であることを照合する手続きが省かれていたのだ。その状態が放置された要因の1つに、銀行と決済サービス事業者の双方が自社の情報セキュリティー体制は安全と過信したことが指摘できる。

銀行サイドには、わが国を代表する通信キャリアが提供する決済サービスだから安全との楽観があっただろう。NTTドコモの組織全体にも問題は起きないという過信があったはずだ。

また、対応の遅れにも、思い込みの強さが影響したと考えられる。七十七銀行での不正出金発覚から2日経過した9月9日時点でも、従来通りの方式でドコモ口座を開設できる状況が続いた。十数行でドコモ口座が利用可能な状況も続いた。

本来なら不正出金が発覚した時点で該当する決済サービスを採用する銀行と決済サービス事業者はシステム接続を遮断しなければならない。しかし、そうはならなかった。それが示唆することは、銀行と決済サービス事業者の双方が問題の深刻さを即時に理解できなかったということだ。

問題には相手側が対応する、との思い込みもあっただろう。銀行側、NTTドコモ双方の説明を確認すると、責任を擦り付け合っているよう見える。

■「問題発生後の日本企業の対応は不安極まりない」

ドコモ口座以外の電子決済サービスなどでも預金などの不正出金が相次いだ。その状況は、わが国の監督官庁や企業などがIT先端技術を活用する世界標準の十分なノウハウを持たないままネットサービスを導入したことを意味する。IT技術に関するわが国の“ガラパゴス化”と言ってもよい。海外の知人は、「問題発生後の日本企業の対応は不安極まりない」と話していた。

海外では、秒針分歩のスピードで最先端の本人認証技術が開発され、実用化されている。特に、中国の取り組みは目覚ましい。中国では、急速に“フィンテック”が普及した。アリババグループの「アリペイ」やテンセントの「ウィーチャットペイ」は、中国で暮らす人々に不可欠なアプリだ。

具体的には、アプリが買い物などの決済に加え、個人の信用力評価（スコアリング）や、免許証や保険証などの公的な電子証明書（身分証）としても活用されている。

2017年、広東省ではテンセントと共同して電子証明書の試験運用が開始された。電子証明書の活用には、公共サービスの効率化や身分証の偽造防止などの目的がある。本人確認を徹底するために広東省の電子証明書では顔認証や声紋認証が採用された。そのほか、中国では金融サービス、公安などさまざまな分野で声紋認証を用いた本人認証が普及している。

■世界の本人認証のスタンダードから取り残される

人間の身体的特徴に基づく生体認証は、パスワードを覚えるといった手間がない。アリババグループでは、創業者のジャック・マー氏が顔認証技術の可能性を重視し、顔認証によるセルフレジを導入するなど、小売店舗の革新も進んだ。

問題は、生体認証データが盗まれると、更新ができなくなることだ。それを防ぐために、中国は量子暗号技術の開発を強化している。量子暗号の分野で中国の研究論文数は米国の2倍程度に達する。

そうした最先端の技術を積極的に活用することは、経済のデジタルトランスフォーメーション（DX）が進む中での利用者の安心感や信頼感を得るために重要だ。そう考えると、パスワードのみで本人確認を行った電子決済サービスが普及したわが国の状況は、世界の本人認証のスタンダードからかなり遅れている。

■不正な預金などの引き出しは続く恐れも

わが国企業は、利用者が安心して使用できるシステムを可及的速やかに構築しなければならない。9月にドコモ口座を介した不正な預金引き出しが起きた以前にも、「セブンペイ」などで不正アクセスが発生した。

不正アクセスが海外から行われた場合、捜査は困難だ。本人認証の不備から類似の問題が続いていることは軽視できない。多くの企業や金融機関の本人認証は不十分であり、不正な預金などの引き出しは続く恐れがある。

わが国企業はそうした事例をひとごとではなく、自社に関わる問題と真摯に受け止め、対策を練らなければならない。不安がある場合には、システムの稼働を止めなければならない。それが利用者を守ることにつながる。企業はかなりの危機感を持ってシステムの強化に取り組むべきだ。

それは、わが国の規制改革にも大きく影響する。新型コロナウイルスの発生を境に、世界経済全体でDXがこれまで以上のスピードで進み始めた。欧米では、個人の納税情報と銀行口座情報がシステム上で紐づけられ、迅速に現金や各種補償が支給された。

それに対して、わが国では自治体がマイナンバーカードを用いたオンラインでの給付金申請に対応できず、紙ベースでの対応に追われた。信頼できる仕組みを整えてデジタル技術を活用することは、人々の安心感と社会の安定に無視できない影響を与える。

■デジタル庁創設「数少ないチャンスを生かせるか」

そのほかにも、テレワーク、ネットショッピング、オンラインでの動画視聴や施設の利用予約など、日常生活におけるネットワーク空間の重要性は格段に高まっている。人々が安心してその利便性を享受するためには、しっかりとした本人認証などのシステムを整備することが不可欠だ。

菅内閣は「デジタル庁」の創設を目指し、官民問わず能力ある人材を集め、社会全体のデジタル化を推進しようとしている。その状況は、わが国がIT先端技術の弱さを克服し、遅れを取り戻す数少ないチャンスだ。

世界経済全体でDXが加速化する中、そうした発想で消費者が安心して利用できるシステムを構築することが、企業の社会的信頼感を高め、長期存続を目指すためには欠かせない。

----------

真壁 昭夫（まかべ・あきお）
法政大学大学院 教授
1953年神奈川県生まれ。一橋大学商学部卒業後、第一勧業銀行（現みずほ銀行）入行。ロンドン大学経営学部大学院卒業後、メリル・リンチ社ニューヨーク本社出向。みずほ総研主席研究員、信州大学経済学部教授などを経て、2017年4月から現職。

----------

（法政大学大学院 教授 真壁 昭夫）