NTTドコモは一部の地方銀行などでドコモ口座を使った不正利用が発生していることを受けて、9月10日からドコモ口座に対応するメガバンクを含む35行すべての銀行口座の新規登録を当面停止する。9日に発表した。

「バーチャルなお財布」による利便性をうたう「ドコモ口座」

 新規登録を停止する銀行は、みずほ銀行、三井住友銀行、ゆうちょ銀行、イオン銀行、伊予銀行、池田泉州銀行、愛媛銀行、大分銀行、大垣共立銀行、紀陽銀行、京都銀行、滋賀銀行、静岡銀行、七十七銀行、十六銀行、スルガ銀行、仙台銀行、ソニー銀行、但馬銀行、第三銀行、千葉銀行、千葉興業銀行、中国銀行、東邦銀行、鳥取銀行、南都銀行、西日本シティ銀行、八十二銀行、肥後銀行、百十四銀行、広島銀行、福岡銀行、北洋銀行、みちのく銀行、琉球銀行の35行。

 不正利用は、銀行口座番号やキャッシュカードの暗証番号などを不正に入手した第三者が、ドコモ口座に銀行口座を新規に登録することで発生していた。

 口座番号や暗証番号など銀行システムの信用の根幹を支える個人情報が漏えいする脆弱性の問題が指摘される一方で、だれでも登録が簡単にできる利便性を優先した結果、第三者によるなりすましを可能にさせたドコモ口座のセキュリティの弱さも指摘されている。

 NTTドコモでは、ドコモ口座について「ネットやアプリ上で送金や買い物ができるバーチャルなお財布です。どなたでも無料で簡単に開設できます」などと、登録手続きの簡単さや使い勝手の良さをアピールしてきた。ドコモ口座残高である「d払い残高」に銀行口座からチャージすることで、d払いに対応する店やネットショップで買い物ができる。つまり、銀行口座と紐づけられた「バーチャル財布」としての利便性を訴求していた。
 
「dアカウント」を作成した後に「ドコモ口座」を開設

 そして、ドコモ口座を開設する際に必要な「dアカウント」を新規作成する際に必要なのは、「メールアドレスの登録」と「ID・基本情報の登録」の二つだけ。銀行口座と紐づける際も、このdアカウントと利用規約などをタップするだけで、その後は銀行側の認証ステップを踏めば連携する。
 
問題となっている銀行口座との連携

 この銀行側の認証ステップにも各行により差があるようだ。例えば、みずほ銀行などは通帳の最後に記入されている残高を入力するなど、本人が手元にある通帳を確認しなければ知りえない情報を入力するというステップを踏まなければ、外部サービスと連携できない仕組みになっている。

 みずほ銀行のような本人確認は、オンラインで手続きしようと思っても通帳が手元にないと登録が進まないわずらわしさや手間はあるが、より強固なセキュリティといえる。

 ドコモ口座問題は、ゆうちょ銀行やイオン銀行でも被害が確認されたと報じられるなど、当初NTTドコモが考えていた一部の地方銀行だけの問題ではなくなりつつある。

 NTTドコモは、セキュリティを強化するためにd払いアプリでユーザー自身と運転免許証など写真付きの本人確認書類を撮影したり、撮影した画像をアップロードして画像の人物と本人確認書類の人物が同一であることを確認するeKYC(electronic Know Your Customer)システムの導入を検討する。

 また、本人のスマートフォンのショートメールに認証コード番号を通知して本人確認をするSMS認証を導入するなどの対策を講じた上で、ドコモ口座への口座登録の再開時期を検討するという。(BCN・細田 立圭志)