「本人の通帳やオンラインで口座明細を確認できる場合は、そちらの残高の取引履歴をチェックしていただくしかない」ーー。NTTドコモの丸山誠治副社長は、第三者が「ドコモ口座」を通じて、銀行口座から不正に預金を引き出したかどうか把握するために、消費者が取れる対策についてこう述べた。およそ日本を代表する情報通信企業のナンバーツーから発せられた言葉とは思えないほど、アナログな対処方法だった。しかも、ドコモ口座を知らず、ドコモとまったく関係のないユーザーほど危険にさらされるというから厄介だ。

「ドコモ口座」の対策強化の会見をするNTTドコモの丸山誠治副社長

「被害が大きく拡大することはない」

 ドコモ口座の不正利用による9月10日正午時点の被害件数は11行の66件で、被害総額が約1800万円。ドコモは銀行と連携の上、全額補償をする。また、10日時点でドコモ口座における銀行口座の新規登録は停止し、今後の被害の拡大については「桁が変わるほど大きく拡大することは想定していない」(前田義晃常務執行役員)とする。

 被害が起きたことについて、「口座と結びつくところの本人確認が不十分だった」と反省の弁を述べる一方、不可解なのがドコモ口座のサービス自体を停止しない点だ。

 今回の不正引き出しで問題なのは、いまだにドコモと何らかかわりのないユーザーに被害が及ぶ可能性が残っていること。突然、銀行口座から最大30万円の預金が、悪意のある第三者のつくったドコモ口座にチャージされ、「d払い」で商品を購入するなどして換金されてしまうかもしれないのだ。

 しかも、今回狙われたのは、ドコモ口座とひもづけることが可能なみずほ銀行や三井三友銀行、ゆうちょ銀行、イオン銀行などを含む35行に口座を持ち、ドコモの回線契約のないユーザーだ。ドコモ回線の契約がない場合、メールアドレスのみでドコモ口座と銀行口座をひもづけることができたためだ。そうしたユーザーが被害を確認する手法は、自分の通帳から不正な引き出しがないか、小まめにチェックしなければならないというのだ。

 逆に、NTTドコモと回線契約のあるドコモユーザーは、回線認証とネットワーク暗証番号による強固な認証でしっかりと守られている。ドコモユーザーは守られて、そうでないユーザーが守られていなかった点に最大の問題がある。
 
ドコモ回線を契約していないユーザーが不正利用の対象になる

ドコモ口座のサービスを停止しない理由

 ドコモ以外のユーザーが危険にさらされることについて丸山副社長は、「当社と関係のない方々にご迷惑をおかけしたのはお詫びのしようがない気持ちだ。深く反省している」と謝罪した。

 10日以前にメールアドレスだけで銀行口座とひもづけたドコモ口座を開設した犯人が、ネットやリアル店舗で商品を購入した場合はデータが残るため追跡できるが、犯人がドコモ口座にチャージした残高が不正であるかどうかの判断はできないという。現在でも、ユーザーが自分の口座残高に不審な引き出しがあるかどうかを確認し続けなれければならない状況は改善されていない。

 どのようにしてその危険性を認知させるかについてドコモは、「何らかの形でコミュニケーションを取りたいが、適切な手段が見つからないのが現状」としつつ、何らかの手段を講じることを検討しているという。少なくとも、その手段が講じられるまではサービスを停止するのが筋ではないだろうか。

 ドコモ口座のサービスを停止しない理由について、丸山副社長は「1日に1万3000件のチャージがある。それを急に止めるのは、お客様への影響が大きい」と説明した。さらに、「なるべく多くのお客様に私たちのサービスを使っていただくという全体の戦略を変えるつもりはない。ただ、厳しいセキュリティが要求されるものと、そうでないものを仕分ける必要がある」と、あくまでもキャリアフリーのユーザー獲得の戦略に変更がないことを示した。

 今後の不正利用防止の対策としては、ドコモ回線と契約していないユーザーがドコモ口座に銀行口座を新規登録する際、SMS認証による二段階認証と本人の顔と運転免許などの本人確認書類の画像を提出するeKYCによる本人確認を実施する。

 自分の銀行口座残高を確認するしか防衛手段のない消費者が、こうしたドコモの姿勢を理解してくれるのだろうか。(BCN・細田 立圭志)