　しかし関係者の話では「ドコモ口座の場合、回線がひも付いているアカウントでの不正利用件数はゼロ」ということで、悪意のある第三者の最初の“取っかかり”をくじき、少なくとも露払い的な役割が期待できるという。パスワードレスはオンライン経由でアカウント乗っ取りを防ぐ効果があり、決済サービス側としてできる対策はこれで網羅されるというわけだ。

NTTドコモ本社

銀行の抱える課題は「個人情報のアップデート」

　ここからが本題となる。先ほど挙げた4つの問題点のうち、2番目の「Web口座振替で本人確認」と3番目の「銀行によって異なるセキュリティレベル」は銀行側の問題だが、銀行が本人確認を行うための“基本情報”をほとんど持っていないことが課題だ。

　ゆうちょ銀行のケースでは、ドコモ口座と関係ない事件（SBI証券の不正引き出し事件）で本人確認が不十分なまま口座開設を許してしまったことが報告されているが、基本的に口座開設時には名前や住所、生年月日、電話番号などの基本情報を、本人確認書類を確認した上で登録を行う。

　ところがこうした情報は適時アップデートされない可能性があり、いざというときに本人に連絡が取れないというケースが少なからず存在する。

　最近の連絡先といえばメールアドレスや携帯電話番号などだが、これら個人情報を組み合わせて適時リアルタイム通知を行うだけで不正利用は発見しやすくなる。

　現在、本人が転居などを行わずアクティブではない口座を除けば、多くの人はおそらくスマートフォンや携帯電話などで銀行との何らかの連絡手段を持っている可能性が高い。

ゆうちょ銀行など日本郵政グループの入る大手町プレイス

　難しいのは、「適切なタイミングでの個人情報のアップデート」という作業負荷と、本人確認の方法だ。昨今、銀行ATMでお金を引き出す、あるいは自身の口座がある銀行まで行かないという人もいるだろう。そうした状況下で、現在銀行にどのような情報が登録されているのかを気にしていない人もいるのではないだろうか。

　一方で、自分が普段使用するスマートフォンやコンテンツサービスの契約情報であったり、SNSの情報というのは割と小まめにチェックするものだ。特に、アクティブなユーザーなら1日まったくSNSをチェックしないという人はほとんどいないはずだ。つまり、銀行が持っている情報とユーザー自身のアクティブな情報にかい離が発生している可能性が高い。

　また銀行側の悩みとして、仮に項目を増やして本人確認の確度を上げようとすると、ユーザーが登録段階で断念してしまうケースが少なからずある。筆者もスマホ教室のようなものの取材で何度も目撃しているが、特に高齢者が断念するケースが多々見られた。「情報の不一致」という問題と、「利便性とセキュリティのトレードオフ」という2つの問題がここには存在している。

　最近でいえば、Kyashが「VCAS」という3Dセキュアのサービスを導入し、オンライン決済時の認証コードをスマホ上に3種類の方法で通知するサービスサービスを導入したが、安全性と利便性を両立しているという点で興味深い。

　3Dセキュアでは古い仕様で共通パスワード、比較的最近のものでワンタイムパスワードを入力させることで、オンラインでのクレジットカード利用の安全性を高めているが、このワンタイムパスワードをさらに使いやすくしたのがVCASといえる。

　Kyashではワンタイムの認証コードを「SMS」「メール」「プッシュ通知」のいずれかで受け取れるが、プッシュ通知であればスマホ上でオンライン決済をしながらすぐに3Dセキュアの認証コードを受け取れるわけで手間いらずだ。

　こうしたスマホ連動の仕組みは銀行アプリでも少しずつ広がってきている印象だが、利便性やユーザーへの拡大の面ではまだまだ課題もある。