ゆうちょ銀行、ずさんな本人確認　なぜ二要素認証の導入が遅れたのか　田中副社長「決済事業者と合意に至らず」

決済事業者側が二要素認証を導入していなかったことに焦点が当たっていますが、的外れな印象を受けます。

一般に二要素認証は、正当な顧客によって既に開設された銀行口座や決済サービスアカウントに対する不正アクセスの防止に寄与するものです。
口座/アカウントの新規開設の時点でなりすまされている場合には、二要素認証は無効化されます。ワンタイムパスワード等の送信先のメールアドレスや携帯電話番号からして、犯罪者の手の内にあるものである為です。

今般の事象は、既存のゆうちょ口座への不正アクセス→決済サービスアカウントの不正新規開設の順で発生しており、二要素認証が効果を発揮するのは前者の段階です。
（cf. SBI証券の件においては、既存の証券口座への不正アクセスが端緒である為、証券口座側での二要素認証の導入が有効と考えられます）

議論の焦点を当てるべきは、ゆうちょが提供するオンラインバンキングにおける二要素認証の導入、および、決済事業者における二要素認証「以外」の対策（ドコモが導入するとしているeKYCの他、取引モニタリング、アクセスモニタリング等）の導入です。

【追記】
・ゆうちょはワンタイムパスワードの仕組み自体は既に導入しており、それを口座振替の受付時にも適用することが今後取り得る対策です。
・二要素認証は鉄壁ではなく、振り込め詐欺的な手法で突破し得ます。たとえ金融機関が二要素認証を導入したとしても、決済事業者においても対策の徹底が必要であることは不変です。

合意に至らなかったらストップすべきだったのでは？？

言ったけど聞いてくれなかった。だから仕方なく出した。
じゃ、どういうスカスカの状態でもリリースしていいって事にならない？

昨年の7payの問題の時に自社の仕組みを疑わなかったのだろうか。残高の入力や2段階認証などセキュリティは最優先で考えてほしい。信用がなくなり、デジタル化そのものが進まない恐れもある。象徴化してると思います。

アカウント作成時はマイナンバー確認と同様に、顔写真のついた証明書(ない場合は2つ以上の証明書(保険証と学生証とか))などでの確認は必要と思います。

デジタル庁。
マイナンバーとパスワードと生態認証などを簡便にかつセキュリティは強なの作ってください。

忘れてはいけないのは、2段階認証だって完璧ではないということ。

オレオレ詐欺が「あ、もしもし？オレオレ」と言うことだと思い込んで、未だに騙され続ける人がいて昨年被害総額が300億円を突破したように「2段階認証があれば安全」という報道、世論の認識は二次災害に必ず繋がる。

もちろん一定の企業努力は必要だし、企業がセキュリティを甘くして良いというものではないですが、本質は「個のITリテラシー」ではないだろうか。

なぜならセキュリティに完璧なんてないからだ。セキュリティとはそういうものなのだ。

セキュリティとは何なのか？しっかり「セキュリティ」に関して基礎と応用の学びの場を学校教育で提供し、アクティブラーニングで探求し、議論する。ひとりひとりがセキュリティとは何なのか？を理解し、パスワード管理をすることが長期的な未来には必要だろう。