ニュース
» 2020年11月28日 08時00分 公開

法律的問題性は?:弁護士が解説する「ドコモ口座」不正出金の元凶と求められる本人確認方法 (1/2)

2020年9月、NTTドコモの電子決済サービス「ドコモ口座」を利用した不正出金の被害が相次いで発生した。口座開設時のNTTドコモによる本人確認や、連携先銀行の認証手続きに甘さがあったと指摘されている。本稿では法的観点に基づくドコモ口座の不正出金に対する考察とともに、今後のキャッシュレス決済の普及に向けた環境整備の展望を、南弁護士が解説する。

[BUSINESS LAWYERS]

本記事は、BUSINESS LAWYERS「「ドコモ口座」不正出金の問題点と求められる本人確認方法 法的観点も念頭に南知果弁護士が解説」(2020年10月5日掲載)を、ITmedia ビジネスオンライン編集部で一部編集の上、転載したものです。

 2020年9月、NTTドコモが提供する電子決済サービス「ドコモ口座」を利用し、提携銀行の口座から不正出金が行われる被害が相次いで発生。同サービスやNTTドコモ回線の利用者以外に被害が生じうることが明らかになるとともに、NTTドコモの本人確認や連携先銀行の認証手続きに甘さがあったことも指摘されています。

 本稿では「ドコモ口座」問題の概要や論点、法的観点にもとづく考察とともに、今後のキャッシュレス決済の普及へ向けた環境整備の展望等について、法律事務所ZeLo・外国法共同事業の南 知果弁護士に解説いただきました。

photo

――「ドコモ口座」はメールアドレスのみでアカウントが作成できるなど、その仕組みの不備などが指摘されています(※1)。NTTドコモにおけるサービス設計や対応には、どのような問題点があったと考えられますか。

 NTTドコモ自身が認めている通り、「ドコモ口座」を開設するにあたっての本人確認が不十分であったことは指摘できます。本件は、犯人が被害者の氏名、口座番号、4桁の暗証番号、生年月日等を不正に入手し、被害者になりすまして「ドコモ口座」を開設したうえ、不正に入手した銀行口座情報をつかって「ドコモ口座」と銀行口座を連携して不正出金を行ったものと考えられています。

photo 引用元:2020年9月10日NTTドコモの記者会見資料

 NTTドコモによれば、「ドコモ口座」を保有しているユーザーには2種類おり、ドコモ回線を契約しているユーザーについては、「ドコモ口座」を開設するときに「回線認証」と「ネットワーク暗証番号」による強固な認証が実施されていました。これに対して、今回の不正利用の対象となったのは、ドコモ回線を契約していないユーザーで、メールアドレスさえあれば誰でも「ドコモ口座」を開設できることとなっていました。資金移動のアカウント開設時にSMS認証などの多要素認証を取り入れている他事業者と比較すると、本人確認が脆弱であったとの指摘は免れないと思われます。

(※1)ITmedia NEWS「『ドコモの甘さが大きな原因』 ドコモ口座謝罪会見、銀行不在の違和感」(2020年9月11日、2020年9月24日最終閲覧)

――そもそも「ドコモ口座」とはどのようなサービスなのでしょうか。

 「ドコモ口座」には、前払式支払手段のサービスである「口座(プリペイド)」と資金移動のアカウントである「口座」の2種類がある点に留意が必要です。

 ドコモ口座を開設した時点では、前払式支払手段のサービス「口座(プリペイド)」であるため、d払い加盟店での支払いや送金の受取りができるにとどまり、現金を出金することはできません。ドコモ口座と銀行口座を銀行の本人確認済み情報をもとにひも付けることで、資金移動のアカウントである「口座」が開設され、銀行口座からの資金のチャージや現金の出金が可能となります。

photo 「ドコモ口座」には、前払式支払手段のサービスである「口座(プリペイド)」と資金移動のアカウントである「口座」の2種類がある(「ドコモ口座」公式サイトより引用)

――電子決済サービス等の提供企業(出納企業)と地方銀行との間での預金口座振替の仕組みを提供していた地銀ネットワークサービスや、提携銀行等における、セキュリティ・チェック体制の不足を指摘する声もみられます(※2)。同サービスに関わる他事業者のサービス設計や対応においては、どのように考えられますか。

 ドコモ口座と接続している一部の銀行側にも落ち度はありました。銀行口座とドコモ口座をひも付ける際の本人確認(身元確認)が十分でなかったことも問題だといえます。

 今回被害に遭った銀行のなかには、仮名氏名、口座番号とキャッシュカードの暗証番号だけで口座振替登録が可能であり、ワンタイムパスワード等による多要素認証を実施していない銀行がありました。この場合、銀行口座を保有している本人の関与なしに銀行口座から資金移動のアカウントであるドコモ口座へ資金をチャージすることが可能であり、不正利用のリスクが高まります。

(※2)前掲注1

――本事案について法的観点から留意すべき点はありますか。

 NTTドコモは、資金決済法上の資金移動業者として、ユーザーが資金移動のアカウントであるドコモ口座を開設するにあたり、犯罪による収益の移転防止に関する法律(以下、「犯罪収益移転防止法」といいます)上の取引時確認が義務付けられています(犯罪収益移転防止法4条1項、2条2項30号)。

 取引時確認においては、ユーザーの本人特定事項(氏名、住居、生年月日)等を運転免許証などの本人確認書類の提示を受ける方法で確認する必要があります。ただし、口座振替の取引においては、銀行が実施した取引時確認の結果に依拠する形で本人特定事項の確認を行うことが認められています(犯罪収益移転防止法4条1項、同施行規則13条1項1号)。資金移動業者がこの方法を実施する場合、下記3点を満たすことが必要となります。

(1)振替の対象となる預貯金口座の契約締結時に銀行が顧客にかかる取引時確認を行い、その確認記録を保存していること

(2)(1)の確認記録を保存していることを確認すること

(3)資金移動業者が、銀行の取引時確認に依拠することについて銀行と資金移動業者との間で合意していること

 NTTドコモは、犯罪収益移転防止法にのっとり、銀行の取引時確認の結果に依拠して取引時確認を行っていたようですが、上記で述べたようなドコモ口座開設時の本人確認の脆弱性と、銀行とドコモ口座との連携時の認証手続きの甘さが相まって、本件のような不正出金が発生してしまったものと考えられます。

――金融機関における口座開設時および電子決済サービスでのアカウント作成時には、本来どのような本人確認の方法がとられるべきでしょうか。

 NTTドコモは、今後ドコモ回線を契約していないユーザーのドコモ口座開設にあたり、「SMSによる二段階認証」に加えて「eKYC」による本人確認を実施するとしています。eKYCとは、ユーザーの身元確認をオンライン上で実現する本人確認方法で、ユーザー自身の撮影画像および写真付き本人確認書類をアップロードし、撮影画像の人物と本人確認書類上の人物の同一性を確認するものです(※3)。これらの対策により、口座が不正に開設されるリスクは低減すると思われます。

 また、銀行側においても、資金移動業者のアカウントと銀行口座を連携して口座振替を行うプロセスにおいて、多要素認証を実施していない場合には当該認証を導入するなどのセキュリティ強化が必要と考えられます。

(※3)「2018年11月に新設された口座開設手続きがオンラインで完結する本人確認方法とは」(2019年1月30日)も参照ください

       1|2 次のページへ

© BUSINESS LAWYERS

アクセスランキング
  • 本日
  • 週間

    Digital Business Days

    - PR -