スマホで決済できるキャッシュレス決済サービスを悪用し他人の銀行口座から金銭が不正に出金されていた事件。昨年、ドコモ口座で発覚し、その他のキャッシュレス決済サービスでも同様の不正利用が2017年頃から起きていたことが明らかになった。大きな社会問題となったこの事件に金融行政はどのような対応を図っているのだろうか?
ネット不正送金では銀行に報告を求めていたが…
この事件は、昨年9月に地方銀行が相次いでウェブサイトなどでキャッシュレス決済サービスに紐づいた口座から不正に出金されたことを発表したことに始まる。その後、ゆうちょ銀行やりそな銀行でも同様の不正出金のあったことが判明した。当初は、複数あるキャッシュレス決済サービスのうちドコモ口座のみが問題とされたが、その後、PayPayなどほとんどのキャッシュレス決済サービスが不正出金に悪用されていたことが明らかになった。
ゆうちょ銀行では2017年7月の時点でキャッシュレス決済サービスに紐づけられた口座からの不正出金を把握していながら問題を公表することなく内部で処理をしていた。りそな銀行でも2019年5月にりそな銀行と埼玉りそな銀行でドコモ口座を悪用して不正出金が行われたが、その事実は公表されていなかった。一部の金融機関は以前より問題を認識していたことは明らかだが、リスクが広く周知されることはなく、結果、対策も十分に施されてこなかった。金融機関を監督する金融庁は、この問題を何時から把握していたのだろう?2019年5月に発生したりそな銀行のドコモ口座に紐づいた口座からの不正出金について金融庁は当時、りそな銀行からなんらかの報告を受けていたのだろうか?
金融庁に確認をしたところ、「個別のケースについて回答することはできない」とのことであったが、その上で主要銀行に対する金融庁の監督指針には金融機関と外部決済事業者との連携に関する指針がなかったことを明らかにした。監督指針には多発するネットバンクの不正送金に関しては、「インターネットバンキングによる不正取引を認識次第、速やかに『犯罪発生報告書』にて当局宛て報告を求めるものとする」と定めているが、キャッシュレス決済サービスを悪用した不正出金に対しては特に定めはなかった。しかし、監督指針は電子決済代行業者等に対しては、サイバーセキュリティ上の指針などに加え、「不正送金やシステムのプログラムミスによる誤送金等の利用者や経営に重大な影響がある問題を認識後、30日以内にその事実を当局宛てに報告を求め、重大な問題があると認められる場合には、業務改善命令を発出するものとする」と定めている。
監督指針に「外部の決済サービス事業者との連携」を追加
今回の件に関し金融庁が一番問題視しているのは、顧客の口座とキャッシュレス決済サービスとを紐づける際の認証が十分でなかったという点のようである。これは今回の事件を受けて二重認証が声高に叫ばれるようになったことに通じている。今回の不正出金には2つの犯行パターンがある。1つは口座に紐づけられているキャッシュレス決済サービスそのものが何者かに乗っ取られて本人になりすまして出金されてしまったケース。もう1つは犯罪者が自身でキャッシュレス決済サービスに登録し、なんらかの方法で不正に取得した他人の口座情報を自身で登録したキャッシュレス決済サービスに紐づけして不正出金したケースだ。前者は他人のキャッシュカードと暗証番号を使って口座から現金を引き出したケースと似ていて銀行側に直接過失があるとは言えない。一方で後者は、必ずしも十分でない認証により顧客の口座を犯人のキャッシュレス決済サービスに紐付けてしまったのであれば、銀行側に落ち度があったと言わざるをえないだろう。
今回の事態を受けて金融庁は、主要銀行向けの監督指針を今年2月に改正し、「外部の決済サービス事業者との連携」という項目を新たに設けている。「多要素認証等の導入により預金者へのなりすましを阻止する対策を導入しているか」など銀行とキャッシュレス決済サービス事業者間での取り組みに細かな監督指針を定めたほか、不正送金と同様に「連携サービスによる不正取引を認識次第、速やかに『犯罪発生報告書』にて、当局宛て報告を求めるものとする」と定め、金融庁への報告の徹底を図った。金融庁はこれまでサイバー犯罪に関しては不正送金に主眼を置き、キャッシュレス決済サービスを悪用した不正出金については想定外であったようにも見受けられる。しかし、海外では類似の犯罪は発生しており決して予見できなかった事態ではない。デジタルによる世界の変化は予想を超える未知の犯罪を惹起しサイバー空間を日々賑わせていることは周知の事実だ。デジタル化によりどのようなことが起きる恐れがあるのか、世界の事例を含めて検証し先行して対策を施すべきだろう。
(編集部)