43Picks
Pick に失敗しました

選択しているユーザー
ガバナンスプロセスに力点を置くのはいいけど、基礎体力なさすぎるんですよ。
あえて、主語をボカしますけど。
人気 Picker
今回のドコモ口座の不正事案の議論を見るに、資金移動事業者のアカウント開設プロセスとオンライン口座振替契約のプロセスを一括に議論しているケースが散見されます。

ドコモ口座は、前払い部分は前払いとして適切なアカウント登録プロセスであったのか?モニタリングを含めたAML/CFTの与件を満たしていたのか?といった観点で議論するべきです。

その上で、昨今の情勢からしてメールアドレスだけでは不十分であろうといった事は検討して然るべきですが、犯収法規定のKYCがなされていないといった指摘は前払い事業者に対しては的はずれであり、それが不備として指摘されうるのであれば、日本中のサーバ型前払い事業者が同様の議論にさらされることになります。

他方、被害にあった銀行のオンライン口座振替のプロセスがセキュリティ的に不十分ということであれば、それは指摘されて然るべきであり、どうやって改善するかを検討し実装すれば良い話です。これは資金移動事業者ではなく銀行の役割です。

もちろん、資金移動事業者に非がないかと聞かれれば、事前の対策は打ちようはありましたし、実際に他の事業者は過去の経験から様々な不正対策を行っています。狙われたのには理由があるでしょう。

しかし、オンライン口座振替プロセスのセキュリティ強度の高低に大して資金移動事業者に責任を問うのは流石にお門違いでしょう。

決済サービスは、様々なプレイヤーが協力して成り立っていますから、単純に一人が悪いということではなく、複合的な要素を捉え、個々の責任分界点の範囲を理解した上で議論するべきです。
決済サービス事業者と金融機関、いずれか一方を糾弾する論調が目立ちますが、
一義的には決済サービス事業者の問題、ただし金融機関にも問題あり
という評価が妥当と考えます。

まず、今般の不正利用された銀行取引は、「口座振替」。家賃、保険、クレカetc.の引落しと同じ仕組みです。
(cf. 昨今話題になる「オープンAPI」とは別物)

「振込」と比べて安全な(=不正利用の発生可能性が低い)取引形態とみなされており、ゆえに簡易な認証を維持している金融機関が相当数存在していると考えられます。

金融機関側に改善の余地があるのはこの部分であり、ゆうちょ銀の場合は対応が間に合わず止血措置として連携停止の判断を下したと推察します。

改善策としては二要素認証(ワンタイムパスワード等)の追加が挙げられますが、フィッシング等の手法で突破された事例が判明しており完全ではありません。
見かけ上は「普通の」取引に見える口座振替であるため、取引監視にも限界があります。
(cf. 「振込」の場合、振込先の口座情報や振込金額を切り口とした監視が可能です)

そうなると、被害の防止は決済サービス事業者側のセキュリティ対策にかかってくる訳ですが、本人確認等を接続する金融機関にもたれかかっている事業者が残存しているのが実情です。

金融犯罪対策は、関係するプレーヤー各々による多層防御が必須です。
契約数で国内トップの移動体通信事業者。携帯電話サービスを中心とした通信事業のほか、動画・音楽・電子書籍配信を行うdマーケットなどのスマートライフ事業、携帯補償サービスやシステム開発を行うその他事業を展開。中期的に5G通信を軸としたサービス展開拡大を目指す。

業績