写真左からNTTドコモの田原務氏(ウォレットビジネス部長)、丸山誠治氏(代表取締役副社長)、前田義晃氏(常務執行役員マーケティングプラットフォーム本部長)。
撮影:小林優多郎
「この度、ドコモ口座を利用した不正利用の被害者の方々にお詫び申し上げます」
9月10日に、東京・千代田区のNTTドコモ本社で開かれた記者会見で、副社長の丸山誠治氏や同社の担当者は冒頭、深く頭を下げた。
会見は、連日報道されているNTTドコモのキャッシュレスサービス「ドコモ口座」の不正利用問題を受けて緊急開催されたもの。
同社は、現状の被害状況や補償対応の方針、今後の対応策などを明らかにしたが、その内容には「歯切れが悪い」「判然としない」という印象が拭えない。
被害総額は約1800万円。ドコモは今後2カ月程度で対策を実施
NTTドコモが会見で示した今回の不正利用(チャージ)の流れ。
出典:NTTドコモ
今回の事件のメカニズムや時系列などは小山安博氏による別記事が詳しいが、簡単にまとめると、悪意あるユーザーがドコモ口座を悪用して、他人の銀行口座から残高を送金していた、という事件だ。
同日にNTTドコモが発表した被害件数は、銀行側からの申告ベースで66件。11行の利用者の口座が対象で、被害総額は約1800万円にのぼる。
NTTドコモは、今回の事件の被害者に対し、銀行と協議を重ねた上で被害額の全額を補償する方針。
また、9月10日0時以降、被害が発生した11行を含む、ドコモ口座と連携可能な35行の銀行口座すべての新規登録を停止し、被害拡大を押さえ込む手立てをとった。
NTTドコモは9月10日時点で、被害件数は66件、被害総額は約1800万円だと報告した。
撮影:小林優多郎
今後、口座登録時のeKYC(インターネットを通した本人確認)の実装(9月末まで)と、SMS認証の実装(1、2カ月以内)といったセキュリティー強化施策を実施して状況を見て、再開時期を検討する。
丸山氏は会見で、“非NTTドコモ回線契約者”がドコモ口座を開設する際、任意のメールアドレスの認証だけで本人確認を完了できてしまう点が事件の1つの原因になっている旨を説明。ドコモ口座をめぐるセキュリティー確保の状況について、「外部から悪意を持って踏み台にされる(可能性を防ぐ)視点は抜け落ちていた」と語った。
「銀行連携停止」だけで対策は万全なのか?
NTTドコモは今後、「SMS認証」「eKYC」といった対策を施す。
出典:NTTドコモ
NTTドコモは約100分間の会見の中で、さまざまな質問に答え続けたが、筆者が“判然としない”と感じた理由は以下の点にある。
- NTTドコモ側の対策は発表されたが、今回の不正利用の原因の1つである“連携する銀行側の責任と課題”については、何も語られなかった
- 不正に紐づけられた銀行は、「口座番号」「4ケタ暗証番号」「生年月日」など、比較的予想がしやすい情報で連携可能だったと予想されるが、その条件について正確な情報が出なかった
- つまり、現時点で「まだ明らかになっていない被害者がいる可能性」「今後被害がまだ増える可能性」が完全には否定できない
代表取締役副社長を務める丸山誠治氏。
撮影:小林優多郎
ドコモ口座の性質上、どの口座が不正にチャージされたものなのかは、NTTドコモからは把握のしようがない仕組みになっている。
今回発表された被害件数なども、あくまで銀行側からの申告ベース。丸山氏は今後の被害拡大の可能性について「(被害額の)桁が変わるほどではないだろう」としながらも、「正直わからない部分はある」「(不正利用が続く可能性は)まだあるかもしれない」と話している。
そうであれば、被害拡大を食い止める対策として「チャージ機能自体の一時停止」や「全ユーザーに対する銀行口座紐付けの解除」を行うべき、という意見も現地では聞かれた。全額補償されるとは言っても、ひとたび被害にあえば、多かれ少なかれ面倒に巻き込まれることは避けられないからだ。
抜本的な抑制策まで踏み込まない理由は1点、1日1万3000件ほど発生しているという、ドコモ口座でチャージをしているユーザーへの影響に配慮したからだという。
「不正が起こりうる状況が、なぜ発生したのか」は霧の中
会見会場に銀行関係者の姿は見えなかった。
撮影:小林優多郎
質疑の中では何度か、連携する銀行側の責任の所在にかかわる質問が出た。
しかし、NTTドコモ側はあくまで「まずドコモ口座の本人確認の甘さを直し、その後銀行とも協議する」と答え、銀行側の責任の有無に対しては終始、歯切れが悪い。
「銀行側の本人確認が十分か」のチェックは、事実上、NTTドコモ側では実施していなかったと見られる。実際、「銀行のセキュリティーに関する考えと仕様があると思うので、明らかにセキュリティに問題がなければ、銀行の仕様に従って接続している」と回答している。
なぜ、セキュリティーに厳しいはずの銀行、NTTドコモの連携サービスが、このようにセキュリティが緩い状態で動き続けていたのか。
そこには、NTTドコモ側の「本人確認が甘かった」ことだけではない、構造的な問題がなかったか。
ドコモ口座のホームページにはすべての銀行との新規口座登録を停止する旨と、チャージを停止している銀行名が列挙されている。
撮影:小林優多郎
また、被害にあった11行の名前も公表されなかった。この点も問題があると感じる。
NTTドコモは消費者に対して「通帳やネットバンキングなどで残高や履歴を確認する」「暗証番号などを漏らさない」という、防衛策とはほとんど言えない対策の実施を求めている。
せめて被害にあっている銀行が公表されれば、消費者も当事者意識を持って注意を払いやすいのではないだろうか。
少なくとも、今回の不正利用の全体像を把握するには、銀行側の説明は欠かせない要素だ。
ある業界関係者は「今回、(ドコモが)会見を行なう旨は銀行側に通達済みだが、銀行側が今後アクションを起こすかどうかは聞いてない」と語っている。
不正利用できる状況を生んだ根本原因が両者にあるのだとすれば、銀行側も説明責任を果たすべきなのは明らかではないか。
からの記事と詳細
https://ift.tt/2Fp9KCi
ビジネス
No comments:
Post a Comment