「ドコモ口座」不正被害に見たもたれ合いの唖然 ドコモと金融機関の両方に責任と甘さがある
登録をしたこともない電子決済サービスに、いつの間にか自分の銀行預金で万単位の金額がチャージされていた――。
9月初め、NTTドコモの電子決済サービス「ドコモ口座」を使った預金の不正な引き出しが明らかになった。9月11日午前0時時点で被害件数は73件、被害総額は約1990万円に上る。被害が確認されているのは七十七銀行や中国銀行、大垣共立銀行など地方銀行を中心とする計12行だ。
現在ドコモ口座に接続する35のすべての銀行が、新規の口座登録を停止している。また、18の銀行では入金も停止した。今後ドコモは銀行側と協議したうえで被害者に全額を補償する方針だ。
一体何が起こったのか。まず不正利用者は何らかの方法で氏名や口座番号、生年月日、暗証番号を入手した。そして被害者名義でドコモの「dアカウント」を取得し、ドコモ口座を開設。銀行口座の情報を入力して両口座を接続したうえで、預金口座からドコモ口座へ入金し、ドコモのスマホ決済サービス「d払い」でお金を使ったとみられている。
本人確認のプロセスがなかった
不正利用が発生した裏には、3つの問題点があった。
1つ目はドコモ口座自体が抱えていた問題だ。ドコモ口座はもともとドコモの回線契約者のみを対象としたサービスで、銀行からチャージした金額分を携帯料金の支払いに使ったり、ほかのユーザーに送金したりするのに使われていた。
2018年にd払いのサービスが開始され、銀行口座から入金する手段としてドコモ口座が使われるようになった。その中でd払いをドコモの回線契約者以外にも開放する「キャリアフリー」の戦略を進め、2019年9月末からドコモの回線契約がなくてもドコモ口座が使えるようになった。
ここに落とし穴があった。本人確認の問題だ。ドコモの回線契約者の場合、回線契約の段階で運転免許証などで本人確認が済んでいる。ドコモ口座の開設には回線認証や契約者自身が設定するネットワーク暗証番号が必要だ。だがドコモ以外の通信会社のユーザーの場合は、メールアドレスさえあれば誰でもdアカウントを取得し、ドコモ口座を開設・入金できるようになっており、身分証明書などによる本人確認のプロセスがなかった。
