「ドコモ口座」不正出金の問題点と求められる本人確認方法 法的観点も念頭に南知果弁護士が解説

IT・情報セキュリティ 公開 更新

2020年9月、株式会社NTTドコモ(以下、NTTドコモ)が提供する電子決済サービス「ドコモ口座」を利用し、提携銀行の口座から不正出金が行われる被害が相次いで発生。同サービスやNTTドコモ回線の利用者以外に被害が生じうることが明らかになるとともに、NTTドコモの本人確認や連携先銀行の認証手続きに甘さがあったことも指摘されています。

本稿では「ドコモ口座」問題の概要や論点、法的観点にもとづく考察とともに、今後のキャッシュレス決済の普及へ向けた環境整備の展望等について、法律事務所ZeLo・外国法共同事業の南 知果弁護士に解説いただきました。

「ドコモ口座」はメールアドレスのみでアカウントが作成できるなど、その仕組みの不備などが指摘されています 1。NTTドコモにおけるサービス設計や対応には、どのような問題点があったと考えられますか。

NTTドコモ自身が認めているとおり、「ドコモ口座」を開設するにあたっての本人確認が不十分であったことは指摘できます。本件は、犯人が被害者の氏名、口座番号、4桁の暗証番号、生年月日等を不正に入手し、被害者になりすまして「ドコモ口座」を開設したうえ、不正に入手した銀行口座情報をつかって「ドコモ口座」と銀行口座を連携して不正出金を行ったものと考えられています。

引用元:2020年9月10日NTTドコモの記者会見資料

引用元:2020年9月10日NTTドコモの記者会見資料

NTTドコモによれば、「ドコモ口座」を保有しているユーザーには2種類おり、ドコモ回線を契約しているユーザーについては、「ドコモ口座」を開設するときに「回線認証」と「ネットワーク暗証番号」による強固な認証が実施されていました。これに対して、今回の不正利用の対象となったのは、ドコモ回線を契約していないユーザーで、メールアドレスさえあれば誰でも「ドコモ口座」を開設できることとなっていました。資金移動のアカウント開設時にSMS認証などの多要素認証を取り入れている他事業者と比較すると、本人確認が脆弱であったとの指摘は免れないと思われます。

そもそも「ドコモ口座」とはどのようなサービスなのでしょうか。

「ドコモ口座」には、前払式支払手段のサービスである「口座(プリペイド)」と資金移動のアカウントである「口座」の2種類がある点に留意が必要です

ドコモ口座を開設した時点では、前払式支払手段のサービス「口座(プリペイド)」であるため、d払い加盟店での支払いや送金の受取りができるに留まり、現金を出金することはできません。ドコモ口座と銀行口座を銀行の本人確認済み情報をもとに紐付けることで、資金移動のアカウントである「口座」が開設され、銀行口座からの資金のチャージや現金の出金が可能となります。

「ドコモ口座」には、前払式支払手段のサービスである「口座(プリペイド)」と資金移動のアカウントである「口座」の2種類がある

「ドコモ口座」には、前払式支払手段のサービスである「口座(プリペイド)」と資金移動のアカウントである「口座」の2種類がある
「ドコモ口座」公式サイトより引用)

電子決済サービス等の提供企業(出納企業)と地方銀行との間での預金口座振替の仕組みを提供していた地銀ネットワークサービス株式会社や、提携銀行等における、セキュリティ・チェック体制の不足を指摘する声もみられます 2。同サービスに関わる他事業者のサービス設計や対応においては、どのように考えられますか。

ドコモ口座と接続している一部の銀行側にも落ち度はありました。銀行口座とドコモ口座を紐付ける際の本人確認(身元確認)が十分でなかったことも問題だといえます。

今回被害に遭った銀行のなかには、カナ氏名、口座番号とキャッシュカードの暗証番号だけで口座振替登録が可能であり、ワンタイムパスワード等による多要素認証を実施していない銀行がありました。この場合、銀行口座を保有している本人の関与なしに銀行口座から資金移動のアカウントであるドコモ口座へ資金をチャージすることが可能であり、不正利用のリスクが高まります。

本事案について法的観点から留意すべき点はありますか。

NTTドコモは、資金決済法上の資金移動業者として、ユーザーが資金移動のアカウントであるドコモ口座を開設するにあたり、犯罪による収益の移転防止に関する法律(以下、「犯罪収益移転防止法」といいます)上の取引時確認が義務づけられています(犯罪収益移転防止法4条1項、2条2項30号)。

取引時確認においては、ユーザーの本人特定事項(氏名、住居、生年月日)等を運転免許証などの本人確認書類の提示を受ける方法で確認する必要があります。ただし、口座振替の取引においては、銀行が実施した取引時確認の結果に依拠する形で本人特定事項の確認を行うことが認められています(犯罪収益移転防止法4条1項、同施行規則13条1項1号)。資金移動業者がこの方法を実施する場合、下記3点を満たすことが必要となります。

  1. 振替の対象となる預貯金口座の契約締結時に銀行が顧客に係る取引時確認を行い、その確認記録を保存していること
  2. ①の確認記録を保存していることを確認すること
  3. 資金移動業者が、銀行の取引時確認に依拠することについて銀行と資金移動業者との間で合意していること

NTTドコモは、犯罪収益移転防止法に則り、銀行の取引時確認の結果に依拠して取引時確認を行っていたようですが、上記で述べたようなドコモ口座開設時の本人確認の脆弱性と、銀行とドコモ口座との連携時の認証手続きの甘さが相まって、本件のような不正出金が発生してしまったものと考えられます。

金融機関における口座開設時、および電子決済サービスでのアカウント作成時には、本来どのような本人確認の方法がとられるべきでしょうか。

NTTドコモは、今後ドコモ回線を契約していないユーザーのドコモ口座開設にあたり、「SMSによる二段階認証」に加えて「eKYC」による本人確認を実施するとしています。eKYCとは、ユーザーの身元確認をオンライン上で実現する本人確認方法で、ユーザー自身の撮影画像および写真付き本人確認書類をアップロードし、撮影画像の人物と本人確認書類上の人物の同一性を確認するものです 3。これらの対策により、口座が不正に開設されるリスクは低減すると思われます。

また、銀行側においても、資金移動業者のアカウントと銀行口座を連携して口座振替を行うプロセスにおいて、多要素認証を実施していない場合には当該認証を導入するなどのセキュリティ強化が必要と考えられます

本事案の問題点について検討するうえで、参考となる過去の事例などはありますか。

2019年の7pay(セブンペイ)における不正チャージ・不正利用の事例は記憶に新しいところです。7payの事例では、7payのアカウントに登録したクレジットカードやデビッドカード、nanacoポイントから不正にチャージされる、7pay残高を第三者に不正利用されるなどの被害が発生しました。

7payを運営していたセブン&アイ・ホールディングスは、不正アクセス事案発覚の3日後には「セキュリティ対策プロジェクト」を立ち上げ、被害状況の把握と発生原因の調査、今後の対応等を含めた検討をし、結果、サービス開始からわずか2か月でのサービス廃止を決定しています 4

事案発生の原因としては、システム上の認証レベルが十分ではなかったこと、開発体制やシステムリスク管理体制に問題があったことが報告されています。7payの事例を受け、金融庁・個人情報保護委員会・経済産業省がキャッシュレス決済機能を提供する事業者に対し、不正アクセスに備えた対策について注意喚起を行うなど 5 業界全体に対しても大きな影響のある事案でした。にもかかわらず、今回のドコモ口座の事案が発生するまで、ドコモ口座開設時の本人確認方法や、銀行とドコモ口座との連携時の認証手続きが見直されないままであったことを教訓とし、将来に向けて業界全体で改めて不正対策に関する健全な議論と実装を行う必要があります。

今後、本事案についてはどのように進展し、対応されるものと見通されますか。

NTTドコモは、金融庁から資金決済法に基づく報告徴求命令を受け、2020年9月16日に不正の原因や再発防止策について金融庁に報告書を提出したと報道されています(報告書の内容は非公表)6。今後、利用者に対しても、不正の内容、原因、補償の対応方針、再発防止策の詳細が公表されることが望まれます。

金融庁は、2020年9月8日、預金取扱金融機関向けにスマホ決済等サービスを利用した不正出金に関する注意喚起を行い 7、9月15日には預金取扱金融機関と資金移動業者の双方に対して要請を実施しています 8

金融庁の要請にもあるとおり、今後、NTTドコモのみならず、金融機関と他の資金移動業者の双方において、資金移動業者等のアカウントと銀行口座を連携して口座振替を行うプロセスに脆弱性、問題がないかの確認とセキュリティ強化が行われるものと思います。確認のプロセスでは、責任の在り処を争点とするのではなく、利用者のための健全な議論を期待したいです。また、業界の信頼回復のため、被害を心配する利用者への真摯な対応も求められます。

本事案のように提供サービスにおいてインシデントが発生した際、事業者はどのような考えにもとづき対応するべきでしょうか。

本事案は、NTTドコモの口座開設時の本人確認や取引モニタリングの問題、金融機関のセキュリティ対策に関する問題、また利用者への対応や補償に関する問題が複雑に絡み合っています。こうした事案では、第一に、事実を正確に確認し、問題の所在の冷静な把握に努めることが不可欠です。また、利用者の財産に被害が発生している状況のため、判明した事実関係を速やかに公表し、利用者に対して丁寧かつ迅速に対応することも肝要です。原因の把握と再発防止策についても、可能な限り速やかに確認、検討し、公表する必要があります。この場合、信頼回復のため、社内調査だけではなく社外の第三者委員会を設置することも少なくありません。

本事案による影響も念頭に、今後、電子決済サービスの普及はどのように進んでいくと考えますか。

政府は、キャッシュレス決済比率を2025年までに4割程度、将来的には世界最高水準の80%を目指すとして、キャッシュレスの環境整備を進めています 9。また、一般社団法人キャッシュレス推進協議会では、本事案が発生する以前からコード決済における不正利用対策についての検討が行われており、2020年9月18日付で「コード決済における不正な銀行口座紐づけの防止対策に関するガイドライン」が公表されています。同ガイドラインは、コード決済事業者側で行う不正利用対策について定められたものですが、協議会では今後、金融機関側が行う不正利用対策についても検討を進める予定としています。

キャッシュレスが社会実装されるためには、誰もが安心して使える決済手段であることが不可欠です。本事案をきっかけにキャッシュレス推進が後退することなく、キャッシュレス決済が当たり前である未来に向けて、安全性と利便性を両立させた本人確認の仕組みが業界全体で共創されることを強く願っています。

<追記>
2020年10月9日:下記点の表現を改めました。
  • 「――電子決済サービス等の提供企業(出納企業)と地方銀行との間での預金口座振替の仕組みを提供していた地銀ネットワークサービス株式会社や、提携銀行等における、セキュリティ・チェック体制の不足を指摘する声もみられます。同サービスに関わる他事業者のサービス設計や対応においては、どのように考えられますか。」への回答内における表現を一部改めました。

  1. ITmedia News「「ドコモの甘さが大きな原因」 ドコモ口座謝罪会見、銀行不在の違和感」(2020年9月11日、2020年9月24日最終閲覧) ↩︎

  2. ITmedia News・前掲注1) ↩︎

  3. 2018年11月に新設された口座開設手続きがオンラインで完結する本人確認方法とは」(2019年1月30日)も参照ください。 ↩︎

  4. 株式会社セブン&アイ・ホールディングス「「7pay(セブンペイ)」 サービス廃止のお知らせとこれまでの経緯、今後の対応に関する説明について」(2019年8月1日、2020年9月24日最終閲覧) ↩︎

  5. 個人情報保護委員会・金融庁・経済産業省「キャッシュレス決済機能を提供する事業者の皆様への注意喚起」(2019年8月6日) ↩︎

  6. 日本経済新聞「ドコモ、金融庁に報告 口座不正で」(2020年9月16日、2020年9月24日最終閲覧) ↩︎

  7. 金融庁「スマホ決済等のサービスを利用した不正出金に関する注意喚起」(2020年9月8日) ↩︎

  8. 金融庁「資金移動業者の決済サービスを通じた銀行口座からの不正出金に関する対応について」(2020年9月15日) ↩︎

  9. 経済産業省 商務・サービスグループ キャッシュレス推進室「キャッシュレスの現状及び意義」(2020年1月) ↩︎

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する