自分の銀行口座からいつの間にか預金が引き出されてしまうという、金融セキュリティの根幹を揺るがした「ドコモ口座問題」。ドコモ口座にとどまらず、複数の決済事業者でも同様の不正利用が発覚した。KYC(本人確認)の追加や2要素認証の追加で、ひとまず同様の事件の発生は止まったが、この問題の本質はどこにあったのだろうか?

 「口座振替という“裏口”ではなく、セキュリティが高い表玄関を利用すべきだった。ネットバンキングや銀行API接続の中で、電子マネーチャージをうながしていくべきだった」。そう話すのは、電子決済等代行事業者協会の代表理事であり、マネーフォワードの取締役を務める瀧俊雄氏だ。

●二種類の玄関と、ゆるい運用の裏口

 今回の事件は、KYCが甘く匿名アカウントを作れてしまう決済サービスへ、銀行からWeb口座振替の仕組みを使って不正送金できてしまったことに起因する。口座番号と4桁の暗証番号で口座振替が設定でき、その銀行との連携をもってサービスの本人確認を完了としてしまうという仕組みが狙われた。

 この仕組みに潜むぜい弱性はある程度ふさがれたが、根本的な問題は、“裏口”にあたるWeb口座振替にあると瀧氏は言う。

 「銀行には2種類の玄関があって、裏口(Web口座振替)がゆるく運用されていた。表玄関は、ネットバンキング契約でしっかりとした認証を用意して作っていた。一方、裏口を作ったときに、けっこうなことが簡単にできてしまうのに放置されていた。本来はつなぐ相手を選ぶべきだった」

 銀行が提供するネットバンキングと銀行オープンAPIと呼ばれる仕組みを使えば、高いセキュリティ強度をもって、口座から電子マネーへのチャージが行える。いずれの銀行でも、口座番号と4桁の暗証番号だけでは引き出しは行えず、少なくとも2要素認証は必須になっている。

 もし銀行APIを使ってチャージをするなら、どんな形になるのか。ネットバンキングの契約後、銀行は信頼できるアプリに合鍵(トークン)を作成して渡す。アプリは、この合鍵を使って、銀行のデータ参照や取引指示を行う。決済サービスへのチャージも、この仕組みを使えばセキュアに行える。銀行側もユーザー側も、合鍵を後から無効化できるのも特徴だ。

 ではなぜネットバンキング&銀行APIが使われず、裏口が使われたのか?

●2割程度しかないネットバンキング契約

 「なぜ裏口が必要だったのか? それはネットバンキングが普及していないから。電子マネーのチャージのためにネットバンキング契約をしてもらうのを、簡単に迂回(うかい)しようとしたから裏口が使われた」(瀧氏)

 決済サービスの電子マネーにチャージするために、銀行のネットバンキング契約を必須としたら利用できる人が限られてしまう。そのためにセキュリティの低い裏口を使ってしまったのが、今回の本質的な原因だというわけだ。

 ネットバンキングの普及率は低い。日本銀行が6月に行った調査によると、個人のネットバンキングの利用率は23.6%、法人は27.4%でしかない。この契約を増やしていくのが重要だと瀧氏は言う。「ネットバンキングは金融DXの初歩。にもかかわらず進んでいない。金融DXを唱える以上は、ネットバンキングを使えるようにしておかないと進まない。ネットバンキング利用率を少なくとも計測すべきだ。私たちはKPIを置くべきだと思っている」

 ただしネットバンキングの契約だけでは、電子マネーのチャージは行えない。併せて、口座からの資金移動を行える「更新系API」を、銀行側の機能として実装する必要がある。2020年の春に、情報を取得する「参照系API」の実装は金融庁のKPI設定もあって進んだが、更新系APIについては進捗が見えない。

 「銀行は更新系APIの利用事例がないので困っていた。APIを作って開放しても使われないんじゃないか? というおそれがあった。しかし、今回電子マネーのチャージという明確な用途が出てきた。裏口を運用し続けていくコストと、更新系APIを作るのとどちらが安いか。更新系APIの必要性が強調された出来事だった」(瀧氏)

 金融庁も2020事務年度(20年7月〜21年6月)の金融行政方針の中で、コロナ後の顧客ニーズに応える金融サービスづくりとして「金融デジタライゼージョン」を挙げている。本質的な対応を果たすならば、ネットバンキング契約を伸ばすとともに、更新系APIの活用を進めるべきだろう。 

 「今後の社会で電子マネーは主役になっていく。表玄関から堂々と接続すべきだ」(瀧氏)