ゆうちょ銀行、ずさんな本人確認 なぜ二要素認証の導入が遅れたのか 田中副社長「決済事業者と合意に至らず」

[秋山未里，ITmedia]

　ドコモ口座をはじめとする複数の決済サービスを使った不正出金の被害が相次いでいることを受け、ゆうちょ銀行が9月16日に記者会見を開き、被害件数は109件で被害総額は1811万1000円（同日午後時点）と発表した。被害が発生したものを含む10社の決済サービスでは、連携する際の本人確認で二要素認証を導入していなかったため、現在は新規口座の連携と各口座へのチャージを停止している。

ゆうちょ銀行の田中副社長＝9月16日、記者会見で撮影

　田中副社長は「二要素認証の導入は、これまでも強く決済事業社にお願いしたが、合意に至らずここまで来てしまった」と説明する。例えば、NTTドコモとは被害発覚前から協議をしており、9月中にはドコモ口座との連携時に二要素認証を導入予定だったという。

　直近では不正出金の報道を受け、連携している決済サービス事業者にあらためて二要素認証の導入を交渉したという。事業者側も早急な対応を取り、連携している10社中9社が9月17日までに二要素認証を導入する計画だ。「この1〜2週間、事業社にも協力いただいて、このようなスケジュールが固まった」（田中副社長）

各事業者の被害額、二要素認証の導入予定時期

　ゆうちょ銀行は現時点で、2種類の二要素認証を採用している。19年1月には、通帳残高の入力を求める方式を導入。20年5月からは電話をかけてワンタイムパスワードを発行する方式も取り入れた。

　こうした方式に対応後、各決済事業者に二要素認証の導入を依頼してきたという。しかしゆうちょ銀行と決済サービス事業社の双方が、顧客の利便性向上などを理由に、二要素認証導入の合意がないまま、サービスの連携を始めてしまったという。

　田中副社長は、この1〜2週間で二要素認証の導入について、多くの決済サービス事業者と話がまとまったことを振り返り、「もう少しうまく進める方法があったのかもしれない。セキュリティを軽んじたわけではないが、反省すべき点は反省していきたい」と話した。

　被害発覚前から二要素認証を導入していたファミペイとpringは、サービスを継続している。田中副社長は「現時点では、二要素認証を入れていただければかなり（高いレベル）のセキュリティを確保できると考えている」と述べ、その他サービスでも二要素認証の導入を急ぐ。