なぜ、ドコモ口座は「本人確認が不十分」だったのか 「ドコモユーザー以外にも開放」戦略の“誤算”：丸山副社長が謝罪

[秋山未里，ITmedia]

　「本人確認が不十分だった」──全国の地方銀行などで決済サービス「ドコモ口座」を使った不正出金の被害が相次いでいる問題で、NTTドコモの丸山誠治副社長は9月10日、記者会見でそのように繰り返し謝罪した。本人確認の甘さの一因には、競合他社との回線契約数獲得争いの中で、ドコモ回線契約者（ドコモユーザー）以外にもサービスを開放する戦略へと舵を切った影響もあるようだ。

記者会見の様子

ドコモ回線利用者“以外”が狙われた

　ドコモによると、被害にあったのは連携する銀行のうち11行にある66件の口座。被害総額は約1800万円（10日午後時点）。被害者には、銀行と連携して全額保証を行う方針という。

　今回の不正出金の流れはこうだ。まず（1）第三者が銀行口座番号、キャッシュカード番号などを何らかの方法で不正に入手、（2）それらの情報を使って被害者になりすまし、ドコモ口座を開設し、（3）ドコモ口座と銀行口座を連携、（4）預金をドコモ口座へ送り、（5）ドコモ口座とd払いを連携して商品などを購入、現金化している──とみられるという。

不正出金の流れ

　ドコモ口座の開設方法には、ドコモ回線を契約している場合と、ドコモ回線を契約していない場合の2種類がある。今回の不正出金では、後者が標的になった。

　ドコモユーザーの場合、ドコモ口座を開設するには「回線認証」など本人確認の仕組みが設けられている。一方、回線を契約していない人には、メールによる2段階認証を導入していたが、dアカウント取得時に登録したメールアドレスにセキュリティコードが送信される仕組みだったため、「本人確認が甘かった」（丸山副社長）。

　名義、口座番号、暗証番号といった銀行口座の情報がそろっていれば、メールアドレスの数だけ、ドコモ口座を開設できる──という状況だった。丸山副社長は「口座を持っている顧客の情報をどう守るかという観点で設計・運用していたが、ドコモ口座に悪意で口座を開く人を排除できるか、という観点が抜けていた」と説明した。

ドコモ回線利用者以外へのサービス開放が裏目に

　ドコモは2019年10月、それまでドコモ回線利用者のみに提供していたドコモ口座のサービスを、ドコモ回線利用者以外でも開設できるよう開放した。競合キャリアとの回線契約数を巡る争いの中、ドコモは「会員を軸とした事業運営への変革」（18年10月発表の中期経営戦略より）を掲げ、回線利用者でなくてもdアカウントを取得した会員に、広くサービスを提供していく方針を打ち出した。この方針が裏目に出た。

ドコモの丸山副社長

　丸山副社長は「ドコモ回線を契約していなくても、ドコモ口座をはじめ多くのサービスを使えるように取り組んできた。提供範囲を広げるため、（メールアドレスだけで登録ができるという）簡易な手段を取っていた。今考えれば不十分な対応であり、反省している」と話す。

　今後は、本人確認を厳格化する。電話番号を用いた「SMSによる二段階認証」に加え、利用者の顔と本人確認書類を画面表示に従って撮影・提出させる「eKYC」（Electronic Know Your Customer）も実施する予定だ。こうした対策で、回線を契約しているユーザーと同等レベルの本人確認になるとしている。

eKYCの流れ

りそな銀行での不正利用とは「関連性はない」

　不正出金の被害は、今回が初めてではない。2019年5月には、りそな銀行でも不正利用が発覚していた。丸山副社長は「当時はドコモ回線の契約者のみに向けたサービスだった」と説明。口座名義と回線名義者が一致していなくても利用できたため、不正出金が起きたという。

　その後は、回線名義と口座名義が一致しなければ利用できないようにし、以降は回線契約者での不正利用は発生していなかった、と釈明。あくまで今回の不正出金は、ドコモ回線利用者以外へサービスを拡大したことに起因するとし、りそな銀行での不正利用との関連性はないとしている。