ゆうちょ銀行の不正引き出し、記者会見の一問一答まとめ（1/3 ページ）

ゆうちょ銀行の口座から不正に預金が引き出された問題を受け、ゆうちょ銀行は9月15日、被害者やサービスの利用者に謝罪した。同社が同日に開催した記者会見の内容を一問一答でまとめた。

[谷井将人，ITmedia]

　複数の決済事業者の決済サービスを通して、ゆうちょ銀行の口座から不正に預金が引き出された問題を受け、ゆうちょ銀行は9月15日、被害者やサービスの利用者に謝罪した。同社が同日に開催した記者会見の内容の一部を一問一答でまとめた。

ゆうちょ銀行の田中進副社長

――公開している被害額（約1811万円）と件数（109件）の期間は？

田中：各決済事業者から聞いているもの。主に2020年になってからの数字だ。

――ドコモ口座の事案以降、（銀行と決済事業者の）セキュリティのシステムに問題があるように見える。どのように認識しているか、どちらに責任があると考えているか

田中：現時点で銀行サイドとしても、2要素認証を強力に実装していく必要があると強く考えている。セキュリティの問題は完全なゴールがない領域だ。技術の進歩にも目を配りながら、お客さまが安心して使えるサービスを引き続き提供していきたい。

――技術の問題でなく、決済事業者とのやりとりなど別の問題点もあるのではないか

田中：ご指摘の通り、（決済事業者とのやりとりなどにも）改善を図るべきという点もあり、2要素認証を入れたということを言っている。

――現在も稼働中の決済事業者として「ファミPay」と「pring」の2社を挙げているが、ファミPayは最初から2要素認証を導入していた。始めから2要素認証を入れていた決済事業者とそうでない事業者にはどのような違いがあったか

田中：私どもと決済事業者との間で相談をしながら、最終的には決済事業者側のテストなどを合わせてやっている。私どもとしては2要素認証を強く入れて頂きたいと（ドコモの事案が発覚する以前から）各決済事業者にお願いをしていて9月中に実施する予定だった。

――ドコモ以外に（2要素認証導入を）交渉していた事業者はあるか

田中：先週のドコモの報道以降、（ゆうちょ銀行の）スタッフに2要素認証未導入の決済事業者に対して、もう一度導入の交渉をするようにと指示した。決済事業者も極めて積極的に動いて頂いている。この1、2週間で現在のスケジュールが固まってきつつある。

――2要素認証をドコモ口座の事案以前から導入していた決済事業者とそうでない決済事業者について。ゆうちょ銀行が2要素認証の導入を連携の条件としていれば、全決済事業者が導入していたのではないか

田中：2要素認証を要件として交渉してきた事実はない。ただ、ドコモの事案以前から2要素認証をやらなければならないという認識があり、各決済事業者に強く依頼してきた。

――ファミPayとpringが2要素認証を導入したのはいつか。ゆうちょ銀行が2要素認証が必要であると認識した時期はいつか

田中：（ゆうちょ銀行が導入している2要素認証は）通帳の残高を入力するものを2019年の1月、電話認証（IVR）を2020年5月から導入している。ファミPayとpringとは同意の上で（2要素認証）が実現できている。2要素認証を準備した時期からできるだけ速やかに導入していただきたいと（各決済事業者に）お願いしている。

――ファミPayとpringのIVR導入は2020年5月以降からという認識であっているか

田中：はい。

――キャッシュレス決済が広まりだしてから、各決済事業者は口座数が多いゆうちょ銀行との連携を強く求めていたと思う。連携についてもっと慎重になるべきだったと考えているか、（キャッシュレス決済が）発展途上で仕方ない事案と考えているか

田中：これは2択の問題ではない。キャッシュレス決済事業者との連携は利便向上の観点から強く推奨していくべきだと考えている。一方で、セキュリティがないがしろになっていいものとは考えていない。両立しなければならない。セキュリティの強化については努力してきた。これからも努力していくべきものと考えている。

――預金口座情報の流出経路で分かっているものと、可能性が考えられるパターンはあるか

田中：流出経路については、現在分かっていないため申し上げられない。

――ゆうちょ銀行側から、不正が行われた情報と預金者の口座情報を照らし合わせて、注意喚起するようなことは技術的に可能なのか

田中：一度立ち止まって検討していきたい。銀行口座に対して第三者が不正アクセスしてきているわけではないため、一定の限界があるのではと現時点では考えている。決済事業者と協力することで、（注意喚起に）近いようなことができないか勉強させていただきたい。

――記者会見の冒頭から、（同日発表された）SBI証券で発生した不正送金事件に触れていない。ゆうちょ銀行と三菱UFJ銀行に作られた偽の銀行口座に送金、出金されたと（SBI銀）が発表しているが、ゆうちょ銀行として大した話ではないと考えているのか

田中：SBI証券の件のついては、午後3時以降に発表されたものと承知している。SBI証券の口座に不正アクセスがあり、出金用の口座にゆうちょ銀行が含まれていた件だが、セキュリティの問題なので決して軽く考えているわけではない。SBI証券の発表にもあるように、まずは全容の解明に尽くしたい。

――（SBI証券の件について）かなりクリティカルな問題だと思われる。回答がかなり受け身のように聞こえるが、ゆうちょ銀行としてあまり把握していないということか

田中：SBI証券からも情報共有されている。どのような手口かなど、調べてからでないと話すべきではないと考えている。ゆうちょの口座開設方法などを再確認しなければならないと私は認識している。

――証券口座からの振替出金で被害が出るのは初めてか

田中：全記録を調べたわけではないが、私の認識上では初めてのケースだ。

――ゆうちょ銀行から各事業者に2要素認証について協力にお願いしていたというが、最近まで導入していなかったサービスが多かった。これはなぜか

田中：過去にうまくいっていなかったが、現時点でできていることを考えると、もっと強力にお願いするべきだったと反省している。

――ゆうちょ銀行側は強くお願いをしていたが、各事業者が受け入れなかったということか

田中：（2要素認証を全てのサービスで）導入できていなかったのは、決済事業者だけの問題とするのは申し訳ないと考えている。ゆうちょ銀行側の説得性（を高めるなど）など、汗をかくべきだったと思っている。

――メルペイやKyashなどの2要素認証導入は最近だが、それまでは相手は否定的だったのか

田中：少なくとも合意はできなかったと認識している。

――15日昼の時点では、2要素認証を入れていないサービスも、サービス提供を継続しながら2要素認証を導入していくという方針だった。同日夜には提供を停止するという判断に変わったが、なぜ15日昼の時点でサービスを継続しようという考えになったのか

田中：（決済事業者の）利用者がゆうちょ銀行の預金者の口座数とほぼイコール。とはいえ、何も関係がないゆうちょ銀行の利用者が大変不安に感じている。できることなら、（サービスの）利用を続けていただきながら、不安を取り除く方法はないかと15日昼時点では考えていた。しかし、その後の関係者会議で、不安を取り除くには誠に申し訳ないが、サービスを停止することが妥当ではないかと判断した。