運転免許証などとの照合を行うeKYCに対し、SMS認証は「手元に“生きている”携帯回線がある」ということを確認するだけだ。例えばプリペイド契約などで本人確認が不十分な状態で開通が可能なケースも想定され、「本人確認手段としては弱いのでは?」という意見が多かった。
しかし関係者の話では「ドコモ口座の場合、回線がひも付いているアカウントでの不正利用件数はゼロ」ということで、悪意のある第三者の最初の“取っかかり”をくじき、少なくとも露払い的な役割が期待できるという。パスワードレスはオンライン経由でアカウント乗っ取りを防ぐ効果があり、決済サービス側としてできる対策はこれで網羅されるというわけだ。
ここからが本題となる。先ほど挙げた4つの問題点のうち、2番目の「Web口座振替で本人確認」と3番目の「銀行によって異なるセキュリティレベル」は銀行側の問題だが、銀行が本人確認を行うための“基本情報”をほとんど持っていないことが課題だ。
ゆうちょ銀行のケースでは、ドコモ口座と関係ない事件(SBI証券の不正引き出し事件)で本人確認が不十分なまま口座開設を許してしまったことが報告されているが、基本的に口座開設時には名前や住所、生年月日、電話番号などの基本情報を、本人確認書類を確認した上で登録を行う。
ところがこうした情報は適時アップデートされない可能性があり、いざというときに本人に連絡が取れないというケースが少なからず存在する。
最近の連絡先といえばメールアドレスや携帯電話番号などだが、これら個人情報を組み合わせて適時リアルタイム通知を行うだけで不正利用は発見しやすくなる。
現在、本人が転居などを行わずアクティブではない口座を除けば、多くの人はおそらくスマートフォンや携帯電話などで銀行との何らかの連絡手段を持っている可能性が高い。
難しいのは、「適切なタイミングでの個人情報のアップデート」という作業負荷と、本人確認の方法だ。昨今、銀行ATMでお金を引き出す、あるいは自身の口座がある銀行まで行かないという人もいるだろう。そうした状況下で、現在銀行にどのような情報が登録されているのかを気にしていない人もいるのではないだろうか。
一方で、自分が普段使用するスマートフォンやコンテンツサービスの契約情報であったり、SNSの情報というのは割と小まめにチェックするものだ。特に、アクティブなユーザーなら1日まったくSNSをチェックしないという人はほとんどいないはずだ。つまり、銀行が持っている情報とユーザー自身のアクティブな情報にかい離が発生している可能性が高い。
また銀行側の悩みとして、仮に項目を増やして本人確認の確度を上げようとすると、ユーザーが登録段階で断念してしまうケースが少なからずある。筆者もスマホ教室のようなものの取材で何度も目撃しているが、特に高齢者が断念するケースが多々見られた。「情報の不一致」という問題と、「利便性とセキュリティのトレードオフ」という2つの問題がここには存在している。
最近でいえば、Kyashが「VCAS」という3Dセキュアのサービスを導入し、オンライン決済時の認証コードをスマホ上に3種類の方法で通知するサービスサービスを導入したが、安全性と利便性を両立しているという点で興味深い。
3Dセキュアでは古い仕様で共通パスワード、比較的最近のものでワンタイムパスワードを入力させることで、オンラインでのクレジットカード利用の安全性を高めているが、このワンタイムパスワードをさらに使いやすくしたのがVCASといえる。
Kyashではワンタイムの認証コードを「SMS」「メール」「プッシュ通知」のいずれかで受け取れるが、プッシュ通知であればスマホ上でオンライン決済をしながらすぐに3Dセキュアの認証コードを受け取れるわけで手間いらずだ。
こうしたスマホ連動の仕組みは銀行アプリでも少しずつ広がってきている印象だが、利便性やユーザーへの拡大の面ではまだまだ課題もある。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR