「ドコモ口座」「SBI証券」の不正出金問題で対策強化 eKYC(KYC)やSMS認証の必要性とは?
※本記事は、2020年9月29日時点の公開情報を元に作成しています
大きな社会問題となっている「ドコモ口座(※1)」の不正な預金引き出し、「SBI証券(※2)」の不正流出の問題。
eKYCやSMS認証の必要性について、ネクスウェイが解説いたします!
>>>「eKYC × 二段階認証による安全な取引の実現ガイド」をダウンロードする
※1 「ドコモ口座」の不正な預金引き出し問題 第三者が銀行口座番号やキャッシュカードの暗証番号等を不正に入手し、ドコモ口座に銀行口座を新規に登録することで不正な預金の引き出しが発生した ※2 「SBI証券」の不正流用の問題 第三者が証券口座に不正にログインし、ゆうちょ銀行と三菱UFJ銀行に作った偽の銀行口座に送金・出金した ドコモは、今後、オンライン本人確認システム(eKYC)、SMS認証などのセキュリティ強化対策を導入予定と発表しています。 |
目次[非表示]
SMS認証でのセキュリティ強化とは?
——「ドコモ口座」「SBI証券」の一件から、本人確認やSMS認証への関心や引き合いは増えていますか?
澤本 今回の事件を受け、自社のサービスでも本人確認やSMS認証を強化する対応を行う必要性を感じたお問い合わせが増えた印象です。
——SMSを使った認証でどのようにセキュリティ強化できるのでしょうか?
澤本 SMS認証とは、携帯電話宛てに4桁のショートコードが送信され、そのコードを入力してログインする仕組みです。
サービスにどこまでのセキュリティ・機能を求めるかにもよりますが、SMS認証をやるかやらないかによって、一定のセキュリティ担保はできますよね。
また、メールアドレスに比べて携帯番号の方がセキュリティ面は安心と言われています。GmailやYahooメールなどのフリーアドレスは、一人が複数アドレスを無制限に作成できますが、携帯番号は各キャリアが本人確認書類を用いた厳密な審査を行ったうえで取得できるため、メールアドレス認証に比べてセキュリティ面が強化されると言われています。
参考記事: SMS認証とは?本人確認の重要性やメリット・デメリット、活用例について
——本人確認を行うタイミングはいつでしょうか?
澤本 お客様のサービス設計にもよりますが、サービス開始時の最初の本人認証はもちろん、ログインするたびに認証を求める場合もあります。出入金など、お金の行き来があるという場合には、認証が飛ぶように設計している事業者が多いでしょう。
——ネクスウェイのSMSLINKについて、競合との差別化ポイントは?
澤本 価格面、開発のしやすさが大きいですね。
SMSLINKはWebから操作できる「Webタイプ」とシステム連携に便利な「APIタイプ」の2タイプをご用意しており、SMS認証のシーンでは、「APIタイプ」をご提供しています。
導入いただいている企業や開発エンジニアの方から、ほぼもれなくおっしゃっていただけるのが
- 非常に開発がしやすい
- 使いやすい仕様を準備していただいていたので、当初想定していたリソースよりも少なく、工期が短く済んだ
ということです。
直接的なコストのみならず、このようなリソースも含めた、総合的なコストもおさえていただけることは大きなポイントと思っています。
——SMSLINKは、本人認証シーンでは、どのようなお客様に、どのようなシーンでご利用いただていますか?
澤本 基本的にはやはりお金のやり取りなどが発生する、以下のようなシーンでご利用いただいています。
アプリ開発会社
アプリ内課金があるゲームがありますが、課金の際にSMSで本人認証をするというシーンでご利用いただいています。
保険会社
保険の申込に関する重要書類などのやり取りの際に、SMSによる本人認証が行われています。
新型コロナウィルスなどの影響もあり、書類などのやり取りはメールか郵送で行うようなのですが、例えばメールだと他のメールに埋もれてしまうなどして、なかなか確認してもらえないという課題があるようです。
そこで、保険会社からお客様に「書類を送りましたよ」という連絡と共に、同時にSMSで本人認証もするというシーンでご利用いただいています。
その他
ある建設会社では、アポイントで訪問される方に対して、SMSによる本人認証をするというシーンでご利用いただています。 どちらかというと、セキュリティ面というより、来社されるお客様をスマートにお通しできるようにという意図でご利用いただいています。
eKYCでのセキュリティ強化とは?
——今回の問題について、業界への影響はどのように出てくるでしょうか?
吉田 今回のドコモ口座の件で、同様に対象となるのは、資金移動業のお客様ですね。
SMS認証は、手軽な認証方法でどのような事業者でも導入できる方法です。一方、eKYCというものは、犯罪収益移転防止法(以下、犯収法)に基づく本人確認なので、必要になる事業者が限られています。
ドコモは、資金決済法上の資金移動業にあたります。資金移動業自体は、現在77社しか登録がありません。また、その中でキャッシュレスサービス業者というともっと数は減りますね。資金移動業のように、法律上の本人確認が求められている業者はもともとeKYCを導入されているところは多いですし、金融庁も今回の件は、資金移動業者全体の問題ではなく、キャッシュレスサービスの問題だとコメントを出しています。
——資金移動業77社以外にも、eKYC対応が必要な業種はありますか?
吉田 はい。資金移動業も含めた47業種において、マネー・ローンダリング対策のための本人確認が犯収法により義務付けられています。47業種には、銀行、証券などの金融商品取引業者、仮想通貨交換業者、資金移動業者などが含まれます。
——これら犯収法の対象の47業種は、eKYC対策が必須ということでしょうか?
吉田 そうですね。ただし、eKYCは本人確認の手法の1つでしかありません。企業様によっては、eKYCでやっているところもあれば、対面窓口で本人確認を行っているところもあります。非対面のネット取引のような場合には、eKYCが採用されることが多いですね。
eKYCは最近の法改正で認められた手法ですので、まさに今、金融事業者は過去のアナログな手法から、eKYCに切り替えをしている最中ともいえるでしょう。
——その法改正はいつ行われたのでしょうか?
吉田 2018年11月に施行されてeKYCが追加されました。また既存の方法についても厳格化が定められ、経過措置期間が2020年4月で終了しています。先進的な企業では既に導入していますが、他の事業者の様子を見て導入を検討する金融事業者もかなり多いです。
というのも、eKYCは顔認証で行う本人確認の手法なので、スマホで自分の顔と免許証を工夫をして撮影する等が必要になり、お客様のITリテラシーも課題となります。
ドコモのキャッシュレスサービスであれば、若い方もたくさん使っていらっしゃり、一定のITリテラシーも担保できると判断したかもしれませんが、レガシーな金融機関はどうするか悩まれている話もよく伺います。
——2020年4月の経過措置が終わったということは、今後は基本的にeKYC対応は必須なのでしょうか?
吉田 いえ、eKYCは必須ではありません。転送不要郵便で本人確認をするという従来のやり方も残っており、これはeKYCと併用されることも多いです。
ただ、キャッシュレス決裁のようなサービスの場合、圧倒的にeKYCの方がメリットが大きいです。従来の転送不要郵便では、郵便が届かないとサービスが使えず、サービスを利用するまでに時間がかかります。そのため、決裁サービスのeKYCの導入率は圧倒的に高いです。
とはいえ、ドコモ口座に限らず、ほとんどの決済サービスの本人確認は銀行の口座振替をもって本人確認の代わりにしているのが現状です。ここが今回の問題とも言えます。
違反ではなかったのですが、セキュリティ的に緩かったと言わざるを得ないでしょう。
——「ドコモ口座」「SBI証券」の件を受け、不正出金を止めるための措置が求められ、当局からの要請も出ていますが、実際に不正を防ぐためには具体的にどうしたらいいでしょうか?
吉田 個人的見解ではありますが、図で説明させていただくと、ドコモ口座だけではなく銀行側にも以下のような対応が必要だと思います。
- メールだけで登録が可能だったので、ここでの本人確認をeKYCなどで強化する必要がある
- 銀行連携をする際にも、ログイン情報のみでなくKYCまたは二段階認証を実施する必要がある
- 銀行口座からの入金指示の際に、二段階認証を実施する必要がある
また、「SBI」の件を説明すると、ポイントは以下の3点です。
- 偽造された書類で口座開設がされたとのことなので、銀行側の口座開設の際のKYCを強化する必要がある
- 出金口座や登録の携帯番号を変更する際も、KYCを行うことで二段階認証の突破を防ぐことができる
- 株取引、出金指示などをする場合に二段階認証をする必要がある
今回の事件を受け大手の証券会社などでは、出金口座の変更をネット上での手続きを取りやめ、郵送手続きに切り替えたというニュースもありました。eKYCでオンライン完結の本人確認が実現したにもかかわらず、実施すべきポイントや二段階認証でのさらなるセキュリティ確保を怠ったために利用者にも不便になり、事業者にも大きな作業負担がかかります。
上記でご説明したKYCと二段階認証のかけ合わせで、より安全な取引をしていただけるようになるので、「ネクスウェイ本人確認サービス」や「SMSLINK」などをご提供しながらご支援していきたいと考えています。
——法律のことなど、新規参入する企業にとってはハードルの高い業務が多そうですね?
吉田 ネクスウェイでは、本人確認サービスを転送不要郵便の手法から提供しており、現在100社ほどの金融機関に利用いただいております。ただ、eKYCを行ううえでの企業側のハードルも高いと聞いていますので、2020年6月に「オンライン本人確認サービス<eKYC>」「本人確認BPOサービス」をリリースし、企業の本人確認業務をトータルで支援出来るようにサービスの幅を広げました。
参考記事: ネクスウェイ、犯罪収益移転防止法 施行規則改正に対応した『本人確認BPOサービス』を提供
決済サービス事業者に限らず、これから参入してくるFinTech事業者などをサポートしたいですね。
eKYCも法要件がとても複雑で、歴史のある事業者は自社対応も可能ですが、これからサービスを立ち上げるスタートアップ事業にとっては、安心安全なKYC業務を構築することはとても負担がかかります。
良いサービスを早く世の中に展開しようとしてもバックオフィスの体制構築にパワーがかかります。この部分を弊社サービスで支援し、ビジネススピードをサポートするという形で展開していきたいと考えています。
まとめ
ネクスウェイでは、SMS配信サービス、本人確認のプロとして企業の業務を支援するソリューションを提供しています。本人確認サービスは2017年3月のサービス提供開始以来、100社を超える犯収法 特定事業者様に、SMSLINKは500社を超える企業様にご採用いただいております。
SMS認証、KYC、eKYC等でお困りの際は、ぜひお気軽にお問い合わせください。
ネクスウェイ本人確認サービスの詳細はこちらから
SMSLINKのサービス詳細はこちらから
一覧に戻る >
株式会社ネクスウェイ FinTech推進室 室長 吉田 浩美
営業、スタッフ職を経験しながら、複数のプロダクト開発リリースに携わる。2017年「ネクスウェイ本人確認サービス」を立ち上げ、プロダクト責任者を務める。
株式会社ネクスウェイ SMS推進室 マネージャー 澤本 俊郎
主にtoC領域の企業様のコミュニケーション課題に対し、SMS配信サービス「SMSLINK」を用いた改善策の立案、サポートを提供。