ゆうちょ銀行のプレスリリースでは何を言ってるのかが分からなかったが、ようやく分かった。
しかし、僕の結論は変わらない。

これ決済事業者側の責任のようにいってはりますが、必要なセキュリティ要件を満たさない状態で口座を接続させたのは100%ゆうちょ銀行の落ち度だと思いますよ。

ぼくが敬愛する田中副社長が一人で謝罪会見を開く姿が痛々しい。銀行出身の社長がなぜここにおられないのかな・・。

決済事業者の責任だ、というふうに聞こえます。本当にそうなのでしょうか。

決済事業者側が二要素認証を導入していなかったことに焦点が当たっていますが、的外れな印象を受けます。

一般に二要素認証は、正当な顧客によって既に開設された銀行口座や決済サービスアカウントに対する不正アクセスの防止に寄与するものです。
口座/アカウントの新規開設の時点でなりすまされている場合には、二要素認証は無効化されます。ワンタイムパスワード等の送信先のメールアドレスや携帯電話番号からして、犯罪者の手の内にあるものである為です。

今般の事象は、既存のゆうちょ口座への不正アクセス→決済サービスアカウントの不正新規開設の順で発生しており、二要素認証が効果を発揮するのは前者の段階です。
（cf. SBI証券の件においては、既存の証券口座への不正アクセスが端緒である為、証券口座側での二要素認証の導入が有効と考えられます）

議論の焦点を当てるべきは、ゆうちょが提供するオンラインバンキングにおける二要素認証の導入、および、決済事業者における二要素認証「以外」の対策（ドコモが導入するとしているeKYCの他、取引モニタリング、アクセスモニタリング等）の導入です。

【追記】
・ゆうちょはワンタイムパスワードの仕組み自体は既に導入しており、それを口座振替の受付時にも適用することが今後取り得る対策です。
・二要素認証は鉄壁ではなく、振り込め詐欺的な手法で突破し得ます。たとえ金融機関が二要素認証を導入したとしても、決済事業者においても対策の徹底が必要であることは不変です。

決済事業者と金融機関の数が多過ぎるのも問題。
私も複数の決済事業者と金融機関を使っているので他人事ではないです。

何もかも他人のせい。問題に気付いてたならなぜ合意したのか、という話のはず。

「人に厳しく自分に甘い」は例外なくクズ。

二段階認証の導入が遅れていたのは、決済業者に求めていたが、合意に至らなかったということ。