銀行の本人確認を厳格化…パスワードや指紋認証、複数手段で不正引き出し防止
コメント
注目のコメント
メガバンクの例を見ていても指紋認証との組み合わせがいいと思うのですが、インフラ面では導入には時間がかかるでしょう。ルールの厳格化は窓口業務を増やしてしまい時代と逆行する動きにもなりかねないので各銀行がノウハウを持ち寄ることにより導入の時間を短縮することはできるのではないでしょうか。
欧州ではこの辺りはPSD2という欧州議会の指令で規定されています。記事にある金融庁の方針では「複数の手段」と曖昧ですが、PSD2指令ではこれが「多要素認証」とより明確に規定されています。
多要素認証では本人が「知っている」「持っている」「本人そのもの(生体情報)」の三つのうち最低二つを組み合わせる必要があります。
https://www.sharetribe.com/academy/wp-content/uploads/2019/08/Marketplace-SCA-elements.png
バズワードと化した「二段階認証」よりもより厳密な決まりです。ちなみに「持っている」要素については複製困難な事が規定されているため、カメラ一発で複製できるカード裏の製造番号などは使えません。
この辺り、金融庁も多要素認証と明確に規定した方が良いのでは無いかと思います。
フランスではパスワード(知っている)と事前登録された携帯番号へのSMS(持っている)の組み合わせが一番良く使われています。この二つの登録は公的証明書と本人住所への郵送等を用いたKYCと同時に行われます。
生体認証についてはインストールしたアプリ等をまずこの組み合わせで多要素認証した上で生体認証を有効化する場合が多いです。
PSD2指令は決済サービス等も対象となります。最初に変化があったのがクレカやデビットカードのオンライン決済です。所謂3D Secureが義務化され、日本で未だに使われる静的パスワード方式の3D Secure(知っている+知っている)もSMSやアプリでの認証(知っている+持っている)に完全に置き換えられました。
また今年に入ってマネーフォワードのような家計簿サービスも銀行口座との連携が軒並み保留となり、多要素認証を用いて再連携する事が求められました。そもそも当たり前な話しですが、キャッシュカードを持っていることが前提である「口座番号や暗証番号などを入力すれば決済サービスと銀行口座をひもづけることが可能」だけで良しとしていたことが片手落ちです。
けれども、他の国では認めていない銀行口座との紐付け手続きだけで、KYCが成立するというルールそのものは再考しないのでしょうか?
このサービスは銀行は少ないながら課金出来ているので、手を付けないのかなと邪推。
