ドコモ口座不正出金事件:銀行の責任の方がずっと重い

有地 浩

ここのところドコモ口座不正出金事件が、様々なメディアで報道されている。多くの報道ではドコモの本人確認方法の不備が大きく報じられる一方で、銀行の側にも一定の責任があるといった論調となっているが、私はこの事件は銀行の側により重大な責任があると思っている。

写真AC

たしかに、ドコモはドコモ口座のユーザーをできるだけ多く獲得しようとして、ドコモの携帯を持っていない人でも、メールアドレスを登録すれば口座開設できるようにした過ちはある。このときに携帯番号も登録させて二段階認証ができるようにしていたら、やすやすと口座開設はできなかっただろう。

一方、預金流出が生じた銀行側もドコモに負けず劣らず脇が甘く、預金口座からドコモ口座への出金を口座番号とキャッシュカードの暗証番号だけでできるようにしていたため、不正出金が起きてしまった。

預金の口座番号は結構いろいろな場面で使うので、犯罪者がその気になって調べれば容易にわかってしまう。今回の不正出金事件で犯人が使った可能性が高いと言われている、暗証番号を固定する一方で口座番号をいろいろ変えて正しい組み合わせを見つける方法だと、暗証番号のロックがかからずに銀行のバリアーをやすやすと突破されてしまう。

利用者が預金からドコモ口座に出金しようとする際に、もし銀行が利用者インターネットバンキングの画面に誘導しそこでインターネットバンキングのIDと暗証番号を入れさせるようにしていたら、インターネットバンキングのIDは口座番号ほどには外部に漏れ出ている可能性が低いので、今回のような不正出金は起きなかった可能性が高い。さらにこのインターネットバンキングの暗証番号をワンタイム・パスワードにしていたらより強固な防御ができただろう。

もっと言えば、不審な出金があるとAIそれを検知して出金を止めることも検討すべきだ。銀行界ではまだやっているところはないだろうが、私が以前関係していたクレジットカード業界では、AIを使って不正な取引を検知することは珍しいことではない。

写真AC:編集部

私自身の経験をお話すると、ある日クレジットカード会社から私の携帯に電話があって「有地様、最近クレジットカードで3円のお支払いをされましたか?」と尋ねられた。もちろんそのような少額の支払いをクレジットカードでするわけがないので「支払っていません」とったら即座に「カードが不正使用されたと思われますので、お手持ちのカードにハサミを入れて廃棄してください。すぐに新しいカードをお送りします。」という応答があった。これなどはAIがあまりに少額のクレジットカード取引があることを検知してカード会社にアラートを出したのだと思われる。

クレジットカード以外ではPayPayなどでもAIを使って不審な取引をチェックしているそうだ。

我々の大切なお金を預かったり、送金したりしている銀行なのだから、この程度のセキュリティー手段は講じても良いのではなかろうか。これから銀行もフィンテックで新たな収益源を確保すると言っているが、今回のようなの甘いことでは、今後第2、第3のドコモ口座事件が起きてもおかしくない。

銀行法2第2項では銀行業の一つとして為替取引(言い換えれば資金移動)を行うことを定めている。そして同法第4条では銀行業は内閣総理大臣の免許を受けたものでなければ営むことができないとして、送金などの資金の移動は原則銀行の独占事業となっている(原則と言ったのは、やっと最近になって、100万円以下の送金は資金移動業者でもできるようになったからだ)。

我々は銀行にお金を預け、そして銀行を介して預金から各種の支払い・送金を行っている。いわば我々のお金は銀行人質になっているようなものだ。だから銀行には我々のお金をしっかり管理する責任がある。

私がこの記事のタイトルで銀行の責任の方がずっと重いと言ったのは、まさにこの点なのだ。

セキュリティーの向上のためには様々なシステムの改修が必要になるのは当然のことだ。今回の不正出金事件の主な舞台となった地方銀行は長引く低金利と地方経済の疲弊で収益が悪化しており、とてもシステム改修に大きなお金は使えない状況かもしれない。しかしそうであれば、合併して体力を充実させるしかないのではなかろうか。

今度総理になるさん地方銀行は多すぎると言っておられる預金者のお金をしっかり守れないような銀行は整理統合されても仕方ないのではなかろうか。