「ドコモ口座」問題の甘かった本人確認、悪用された非ドコモ回線向けdアカウント――被害額は1800万円に、全額補償する方針を表明

説明を行った株式会社NTTドコモ代表取締役副社長の丸山誠治氏（中央）、常務執行役員マーケティングプラットフォーム本部長の前田義晃氏（右）、ウォレットビジネス部長の田原務氏（左）

　株式会社NTTドコモは10日、電子決済サービス「ドコモ口座」で発生した不正チャージの問題について、現状の説明と当面の対応策を発表した。同日正午時点の金融機関からの申告ベースでの被害件数・金額は11行66件・約1800万円となっている。被害者に関しては金融機関と連携の上、全額を補償するという。

非ドコモ回線者向けの「dアカウント」本人確認に不備、本人確認を強化

　同日実施された記者会見では、NTTドコモ代表取締役副社長の丸山誠治氏、常務執行役員マーケティングプラットフォーム本部長の前田義晃氏、ウォレットビジネス部長田原務氏が登壇した。

株式会社NTTドコモ代表取締役副社長の丸山誠治氏

　ドコモ口座を通じて銀行の預金が不正に引き出される被害が発生していることを受けて、NTTドコモは提携する35行全ての口座の新規登録を10日から当面停止することを発表している。

　今回の不正チャージの対象になったのはドコモ回線を持っていない人向けの「dアカウント」で、ドコモ回線契約者に対して行っている回線認証・ネットワーク暗証番号による本人確認ができず、メールアドレスの二段階認証しか行われていない。

　このため、不正に金融機関の口座名義、口座番号、暗証番号などを取得した「犯人」が被害者になりすましてドコモ口座を作成し、口座情報を入力してドコモ口座に入金した。「ドコモ口座の事件」という事で、ドコモ回線契約者が被害対象と認識されがちだが、第三者が非ドコモ回線契約者としてdアカウントを作成しており、ドコモ口座に紐付け可能な金融機関の口座を持っていれば被害に遭う可能性があることに注意したい。

何らかのかたちで口座情報を手に入れた犯人が本人確認の甘い非ドコモ回線契約者向けのdアカウントを作成し、ドコモ口座を開設。口座情報を入力してそこからドコモ口座に入金した

　昨年10月のdアカウントキャリアフリー化（ドコモ回線を保有していなくてもdアカウントを作成し、サービスを利用できる）に伴い、メールアドレスによる二段階認証を行っているが、これは不正登録を前提にした対策になっていないことを反省点として挙げた。

NTTドコモと契約しなくてもdアカウントが作成できるようになったが、回線契約者と比べると本人確認が甘く、ドコモ口座が作成できてしまったのが問題の一因と分析

　当面の対応策として、非ドコモ回線契約者のドコモ口座開設に対し、SMSによる二段階認証とeKYC（アプリの指示に従って顔写真の撮影と本人確認書類の撮影）を行う。前者は可及的速やかに、後者は9月末までに提供を予定している。これらの対応後に、現在停止しているドコモ口座の登録再開となる予定だ。

非ドコモ回線契約者のドコモ口座作成に対しては、SMS認証とeKYCによる本人確認を実施する。ただし、金融機関が保持する本人確認情報との突合は行われないという

eKYCは2018年に改正された犯罪収益移転防止法に追加された「オンラインで完結する自然人の本人特定事項の確認方法」の1つで、アプリから本人画像と本人確認書類を送信するだけで良い

　被害状況に関しては金融機関からの報告ベースになっている。なお、ユーザーの利便性を優先し、ドコモ口座自体を利用停止にすることはないとしているため、今後も被害が増える可能性があるが「被害者の桁が変わるほどではない」と丸山氏は述べる。

　携帯電話不正利用防止法では音声通話のできるSIMの契約において住居を確認する必要があるが、音声通話のできないSIMに本人確認義務がない。SMS認証では本人確認にはならないと筆者は感じたが「（対策がすぐに）できるところから進めていく」という回答で、eKYCに関してもすでに一部サービスで利用しているサードパーティソリューションを使用するという。

株式会社NTTドコモウォレットビジネス部長の田原務氏

株式会社NTTドコモ常務執行役員マーケティングプラットフォーム本部長の前田義晃氏