常識では考えられない甘すぎる本人確認
ドコモ口座は、メールアドレスと任意に設定したパスワードを用いることで誰でも利用できた。電話番号あてにショートメッセージなどでセキュリティーコードを送信して本人確認を行う「2段階認証」は採用されなかった。その結果、悪意ある者が偽サイトでIDなどを手に入れる“フィッシング”などによって預金者の口座番号、暗証番号とパスワードを不正に入手してドコモ口座のアカウントを開設し、預金が不正に引き出された。
実体としては、ドコモ口座などの決済サービスには本人確認の手段がなかったといわざるを得ない。システム接続時に利用者が口座名義者であることを照合する手続きが省かれていたのだ。その状態が放置された要因の1つに、銀行と決済サービス事業者の双方が自社の情報セキュリティー体制は安全と過信したことが指摘できる。
銀行サイドには、わが国を代表する通信キャリアが提供する決済サービスだから安全との楽観があっただろう。NTTドコモの組織全体にも問題は起きないという過信があったはずだ。
また、対応の遅れにも、思い込みの強さが影響したと考えられる。七十七銀行での不正出金発覚から2日経過した9月9日時点でも、従来通りの方式でドコモ口座を開設できる状況が続いた。十数行でドコモ口座が利用可能な状況も続いた。
本来なら不正出金が発覚した時点で該当する決済サービスを採用する銀行と決済サービス事業者はシステム接続を遮断しなければならない。しかし、そうはならなかった。それが示唆することは、銀行と決済サービス事業者の双方が問題の深刻さを即時に理解できなかったということだ。
問題には相手側が対応する、との思い込みもあっただろう。銀行側、NTTドコモ双方の説明を確認すると、責任を擦り付け合っているよう見える。
「問題発生後の日本企業の対応は不安極まりない」
ドコモ口座以外の電子決済サービスなどでも預金などの不正出金が相次いだ。その状況は、わが国の監督官庁や企業などがIT先端技術を活用する世界標準の十分なノウハウを持たないままネットサービスを導入したことを意味する。IT技術に関するわが国の“ガラパゴス化”と言ってもよい。海外の知人は、「問題発生後の日本企業の対応は不安極まりない」と話していた。
海外では、秒針分歩のスピードで最先端の本人認証技術が開発され、実用化されている。特に、中国の取り組みは目覚ましい。中国では、急速に“フィンテック”が普及した。アリババグループの「アリペイ」やテンセントの「ウィーチャットペイ」は、中国で暮らす人々に不可欠なアプリだ。
具体的には、アプリが買い物などの決済に加え、個人の信用力評価(スコアリング)や、免許証や保険証などの公的な電子証明書(身分証)としても活用されている。
2017年、広東省ではテンセントと共同して電子証明書の試験運用が開始された。電子証明書の活用には、公共サービスの効率化や身分証の偽造防止などの目的がある。本人確認を徹底するために広東省の電子証明書では顔認証や声紋認証が採用された。そのほか、中国では金融サービス、公安などさまざまな分野で声紋認証を用いた本人認証が普及している。