2020年9月にドコモ口座経由での不正引き出しをきっかけに、芋づる式に口座振替を利用した銀行口座からの不正引き出しがニュースを賑わせている。現在進行系で進んでいる事件であるため、ここで事細かに事件の全容は書かない。最新の状況は各種ニュースメディア等を参照していただきたい。
一連の事件の発端となったドコモ口座の事件に関するドコモの記者会見でドコモの丸山副社長は「私どもの本人確認が不十分であったということが原因であるというふうに認識をしております」と述べていた[1]。これをきっかけに、かは怪しいが、巷では「決済事業者が本人確認をしてなかったのが悪い」やら「本人確認を強化するべきだ」やらの言葉が飛び交うこととなる。つい最近のニュースでも金融庁は本人確認強化を指示するという話が出ている[2]。
[1] 「ドコモ口座」不正利用問題 NTTドコモが会見(全文1)本人確認が不十分だった(THE PAGE) – Yahoo!ニュース https://news.yahoo.co.jp/articles/b1635d793dc2aa21c472578541f9422bf8d2a1c5
[2] 銀行の本人確認強化 指針改正、不正引き出し防止―金融庁:時事ドットコム https://www.jiji.com/jc/article?k=2020101700441
ただ、巷(大手新聞社などのニュースを含む)の言説でこの本人確認に絡んだ誤りが多く見受けられる。まずは「本人確認」そのものの意味の勘違い、次に現状の「本人確認」の目的の間違い、そして「本人確認」がもたらす効果の誤解である。その結果として「今回の事件で銀行は本人確認をしているから悪くない。決済事業者が本人確認をしなかったのが悪い。」や「本人確認すれば防げたはず。」という意見が出てくる。後者に関しては、あながち間違いとも言い切れないが、これは例えるなら「のこぎりでコピー用紙を切る」様なものであり、部分的に防げなくはないが目的に対する手段が適切ではない。では、それぞれを説明していこう。
「本人確認」は法的な「人」の確認
この領域で一般に「本人確認」という言葉は、例えば銀行口座を開設するときの身分証明書の提示のような、氏名や住所などの確認である。よくある勘違いの一つがまずここにある。インターネットバンキングへのログイン時に行われる認証や今回問題となった「Web口座振替」の画面で行われる認証は「本人確認」ではない。逆にもし「本人確認」の意味をこの「Web口座振替における認証」と勘違いした上で「本人確認がまともなら今回の事件は起きなかった」は、本人の頭の中で考えていることは正しかったことになる。他の人からはわからないけど…。
さて、先程例に上げた銀行口座開設時の本人確認手続きは「犯罪による収益の移転防止に関する法律[3]」(以下「犯収法」)の第四条に基づいて行われている手続きである。「いや、私はそういう意味で本人確認という言葉を使っていない」と言われてしまうと「はい、そうですか」としか返すしかないのだが、それだと会話にならないため「本人確認」が「犯罪による収益の移転防止に関する法律に基づいた手続きであること」は受け入れていただきたい。最低でも金融関係の分野の人は本人確認という言葉をこの意味で使っているため、今回の事件を語る上でここの共通認識は最低でも共有したい。
[3] 犯罪による収益の移転防止に関する法律 https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=419AC0000000022
この本人確認(を含む取引時確認)を行う必要がある条件などは警察庁の資料などを参考にしていただくとして、ここで確認するものは犯収法 第四条で定められている。まずは第一項で記載されている基本的な確認事項を引用する。
- 本人特定事項(自然人にあっては氏名、住居(本邦内に住居を有しない外国人で政令で定めるものにあっては、主務省令で定める事項)及び生年月日をいい、法人にあっては名称及び本店又は主たる事務所の所在地をいう。以下同じ。)
- 取引を行う目的
- 当該顧客等が自然人である場合にあっては職業、当該顧客等が法人である場合にあっては事業の内容
- 当該顧客等が法人である場合において、その事業経営を実質的に支配することが可能となる関係にあるものとして主務省令で定める者があるときにあっては、その者の本人特定事項
犯収法では、第一項に定められたこれら4つの確認と、同第二項で定められた特定条件下で追加でするべき確認をあわせて、同第六項で「取引時確認」としている。「本人確認はどこいったんだ」と思うかもしれないが、この「本人確認」という言い方は古い法律の名残である。旧「金融機関等による顧客等の本人確認等に関する法律」では、この取引時確認の内の「本人特定事項」の確認のみを要請しており、これを「本人確認」としていた。そのため、取引時確認の一部を指して、今でも「本人確認」と呼ぶ。すなわち、本人確認の意味は正確には「犯収法に基づき行われる取引時確認のうち、本人特定事項の確認のこと」となる。
余談ではあるが法律分野で「人」といった場合には、いわゆる人間個人を指す「自然人」と会社などの「法人」の両方を指す場合が多々ある。ここでの「本人」も両方を示しており、カッコ書きで自然人と法人の場合分けをして記述している。今回の事件では個人利用者、すなわち顧客が自然人の場合のみが表に出てきているので、自然人の場合についてのみ触れる。
犯収法に基づいて、本人確認において確認される事項は以下の3つであることがわかる。
- 氏名
- 住居
- 生年月日
逆にこれ以外の事項の確認は本人確認とは言わない。顔写真付き身分証明書が要求されたりするのは、あくまでもこの3つが嘘でないことを確認するための補佐的なものであり、上の3つが正しいことを保証するためのものに過ぎない。
本人確認の目的はマネーロンダリングの防止
先の本人確認などは特定事業者に課せられた法的義務である。わざわざ法律を作って義務化している以上、(真っ当な経緯で法律が成立しているなら)相応の理由がありそれは前文か第一条に書かれているのがセオリーである。犯収法の第一条にも当然書いてある。
(目的)
第一条 この法律は、犯罪による収益が組織的な犯罪を助長するために使用されるとともに、これが移転して事業活動に用いられることにより健全な経済活動に重大な悪影響を与えるものであること、及び犯罪による収益の移転が没収、追徴その他の手続によりこれを剝奪し、又は犯罪による被害の回復に充てることを困難にするものであることから、犯罪による収益の移転を防止すること(以下「犯罪による収益の移転防止」という。)が極めて重要であることに鑑み、特定事業者による顧客等の本人特定事項(第四条第一項第一号に規定する本人特定事項をいう。第三条第一項において同じ。)等の確認、取引記録等の保存、疑わしい取引の届出等の措置を講ずることにより、組織的な犯罪の処罰及び犯罪収益の規制等に関する法律(平成十一年法律第百三十六号。以下「組織的犯罪処罰法」という。)及び国際的な協力の下に規制薬物に係る不正行為を助長する行為等の防止を図るための麻薬及び向精神薬取締法等の特例等に関する法律(平成三年法律第九十四号。以下「麻薬特例法」という。)による措置と相まって、犯罪による収益の移転防止を図り、併せてテロリズムに対する資金供与の防止に関する国際条約等の的確な実施を確保し、もって国民生活の安全と平穏を確保するとともに、経済活動の健全な発展に寄与することを目的とする。
https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=419AC0000000022#2
(法律あるあるだが)長いのでざっくり言えば大目標が「経済活動の健全な発展に寄与すること」であり、その手段にあたる小目標が「犯罪による収益の移転防止を図」る、ということである。組織犯罪や麻薬取引などを根絶するためには、その金の流れを断つのがとても重要になってくる。犯罪を行う組織にとっても、一般市民同様お金というのは非常に重要である。麻薬取引も麻薬を売ったお金が手に入らなければ成立しない。この様な犯罪組織に対して警察庁は、その資金源を断つことを非常に重要視している[4]。
犯罪組織に対して厳しい対決姿勢を堅持し、首領その他の主要幹部の検挙、徹底した犯罪収益の剝奪、資金源の遮断等の諸対策を実施することを基本姿勢とする。
組織犯罪対策要綱 第2より
[4] 組織犯罪対策要綱の制定について(通達) https://www.npa.go.jp/laws/notification/keiji/sosikihanzaitaisakukikaku/20200401sotaiki.pdf
犯収法はその名の通り、この資金を断つための施策の一部として存在している。銀行などの特定事業者に犯罪組織に関わっていそうな疑いのある取引を行政庁(銀行や資金移動業者の場合は金融庁長官)に報告させたり、捜査の材料としてその記録を開示させたりすることで、警察庁などは組織犯罪の捜査に必要な情報を得られる。
本人確認に関するよくある勘違いの一つが、この目的である。本人確認は銀行の口座所有者などの顧客の保護を目的としていない。法執行機関たる警察庁などの警察組織が犯罪者を追跡するための情報として、正確な本人確認に基づく各種取引の記録を残しているのである。「本人確認の目的は顧客の認証ではない」。そんなことは犯収法のどこにも書いていない。もし銀行に顧客保護を目的としたオンラインシステムの認証強化を法的に要請したいのであれば、別の法律を用意するべきであろう。いや、まあ犯収法を持ち出すまでもなく、不正アクセス禁止法 第八条にアクセス管理者による防御措置の努力義務が課されているので「銀行、努力しろ」とはなるのだが…。
確認事項が役に立つのは通常は「事後」
法目的が今回の事件とは無関係であることは述べたとおりだが、「目的は犯罪収益移転だとしても、結果として利用者保護につながるのでは?」「法律の目的が組織犯罪の防止だったとしても、同じ手続きが認証の効果をもたらすのであれば、意味はあるのでは?」といった意見もあるだろう。半分正しいと私も思う。身元を明かさないと利用できない、という事自体が犯罪行為に対する牽制になるのはかなりの確度で事実だし、詳細は後述するが不完全にせよ認証の効果はゼロではないからだ。
だがそれは、家への侵入を防ぐために、鍵をかけずに監視カメラだけ設置するような話である。確かに監視カメラがあることで、侵入者は侵入をためらうかもしれないが、顔を隠したり整形で顔を変えられてしまえばほとんど情報を得られない。それより普通はそんな金がかかり、電源を供給する必要がある監視カメラの前に鍵をかけろ、となるはずだ。
今回の話でもほぼ同様である。ドコモ口座の件で、もしドコモ口座が本人確認をしたら、たしかに大半の事例は防げたかもしれないが、「事前に防ぐ」ためにはある困難を乗り越えないといけない。一方、「事件が起きたあとには役に立つ」可能性は十分にある。つまり、警察の捜査である。というわけで、このあたりの説明のために本人確認が何をもたらすかを確認していこう。
犯収法 第四条では本人確認を含む取引時確認に関して「確認を行わなければならない」としている。つまり、その情報の確からしさを認める、ということになるのだが、これだけでは大変曖昧で目的不明瞭な話である。例えばAさんが口座開設のときに「私はAです。」といって、自分の身分証明書を見せて銀行員が券面事項と顔写真と顔を確認して「確かにあなたはAさんですね。」というわけである。えっ?なにが不明瞭って?確認して何になるんですか?銀行を使う顧客から見れば、口座番号などの銀行口座へのアクセスができる安全な手段さえ得られれば、その名義の真正性やましてや自分の生年月日などまったくもって無意味である。銀行からの現金の出し入れはキャッシュカードで行えるし、振り込みもオンラインバンキングでできる。理屈の上ではSNSのように口座名義がニックネームだったりしても、利用する上では問題ない。現に顧客は銀行口座を利用するにあたって(原則は)本人確認は必要とされていない。
大事なことで再確認する。原則、口座へのアクセス認証に本人確認は使われていない。使われているのはキャッシュカードや暗証番号、パスワードの類である。(なお、額が大きい場合には犯収法に基づきこの限りではない)
でも、犯収法の第一条を呼んだあなたなら、理由はわかるだろう。ここで確認した情報は顧客とのやり取りで使うのではなくて、最終的に警察等の行政機関に提供するために記録される。それが犯収法 第六条の「確認記録の作成義務等」である。
(確認記録の作成義務等)
第六条 特定事業者は、取引時確認を行った場合には、直ちに、主務省令で定める方法により、当該取引時確認に係る事項、当該取引時確認のためにとった措置その他の主務省令で定める事項に関する記録(以下「確認記録」という。)を作成しなければならない。
2 特定事業者は、確認記録を、特定取引等に係る契約が終了した日その他の主務省令で定める日から、七年間保存しなければならない。
https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=419AC0000000022#82
なお、犯収法には銀行側から疑わしい取引を報告する義務しか書かれていないが、犯罪捜査の場合には刑事訴訟法 第二百十八条などに基づいて、犯罪捜査に必要な資料としてこれらが活用されることになる。
犯収法に基づいた本人確認、及びそれの記録により今回起きたような「不正引き出しという事件」が起きたあとであれば、実際に不正操作されたドコモ口座の開設時などの本人確認の記録を元に、犯人を探すことができる。この「犯罪捜査の資料」という意味では、ドコモのような決済事業者が直接本人確認を行う意義は大きいだろう。
だがこの話は事後である。もちろん、事件後に犯人が特定できるようにというのも大事なのだが、事件が起きないようにするほうがもっと大事である。法執行機関も無限のパワーを持っているわけではないので、事件の件数が莫大になればそれだけ他の捜査を圧迫することになる。先の鍵と監視カメラの例のように、「まずは侵入されないようにする鍵を」というのが顧客のために大事である。第一、被害にあえばその補償の話やらなんやらで、顧客は大迷惑するわけである。最悪回収不能とかもあり得るわけで…。
決済事業者が本人確認をしたときにできること
では今回の事件のドコモやPayPayのような決済事業者が銀行と同じ様に直接本人確認を行ったと仮定した場合、どのような効果があるのかを検証してみよう。先の通り、本人確認とは以下3点の確認である。
- 氏名
- 住居
- 生年月日
つまり、この仮定は「決済事業者が自社サービスのアカウント毎の所有者の正確な氏名、住居、生年月日を知っている」ということになる。ちなみに、身分証明書を偽装などされてしまうとこの前提が崩れてしまうが、そうなるともう本人確認そのものが破綻してしまうので、一旦無視する。
今回問題となったサービスは、決済事業者側から銀行に対して「XXXの口座からN円引き落とす」の様な要求を投げるものだった。その準備段階として、銀行口座の登録という手順がある。これを、銀行口座、決済事業者のアカウントそれぞれの開設も含めた時系列で以下に図示する。
よくこの様な図を描くときに、この図における「銀行口座所有者」と「アカウント所有者」を同一の「本人」や「利用者」とすることが多いが、それは認証の結果得られる推論でしかない。今回の事件はまさにその部分を突いたものであるため、ここでは分けて描いた。
銀行口座も決済事業者のアカウントも利用者が何かしらの手続きで開設することで、その利用者が「所有者」となる。銀行も決済事業者も口座やアカウントを利用する際にはそれぞれユーザー認証の手段を用意している。銀行でATMを使うときにはキャッシュカード+暗証番号が基本で、場合によっては静脈認証なども使う。オンラインバンキングなら、それ用のIDとパスワードやワインタイムパッドを用意している。このユーザー認証はかなり強固に作られており、今回も破られてはいない。(昔はザルだったらしいが…)決済事業者の場合はIDやパスワードを、最近はスマートフォンの本体IDを紐付けて用いている場合もあるだろう。こっちも相応に強固であり、今回の事件で破られたという話は聞いていない。
つまり「銀行」と「銀行口座所有者」の間、「決済事業者」と「アカウント所有者」の間の認証は適切であり、ここは十分信頼がおけると言える。
問題となるのは「銀行口座のアカウントへの登録」の部分である。決済事業者によるユーザー認証で確かにアカウント所有者と確認した者が、銀行と認証を行う場面である。この場に銀行口座所有者は直接は登場しない。ここでの銀行の役目は決済事業者のシステムを介してインターネット越しに接続してきた正体不明の「人」が「銀行口座所有者」なのか確認することである。この様に考えると、銀行と銀行口座所有者の間の認証なのだから、普通の直接的なやり取りと同様、ネットバンキングと同じレベルで認証すればいいはずである。ところが、例えばゆうちょ銀行はゆうちょダイレクトを使用していない人でも使えるようにと「氏名」「口座番号」「生年月日」「キャッシュカードの暗証番号」で認証しているのである[5]。最後の暗証番号以外は積極的に秘匿するものではない。口座番号も振込依頼を行うために様々な場所に提出するものである。例えば私は大学院生であるために、研究費や奨学金関係の書類に口座番号を記載するし、学内でその部分をマスキングするなどの措置は取られていない。口座番号はそもそも秘匿するようなものでないというのが一般の認識である。そして、「していた」でなく「している」と書いているように、現在も仕様は変わっていない。事実上、4桁の暗証番号のみで防御されている状況なのである。
[5] 口座振替受付サービス-ゆうちょ銀行 https://www.jp-bank.japanpost.jp/hojin/cs/hj_cs_kozafurikae.html
銀行側の理屈としては、今回の決済事業者に相当収納機関が本人確認をしているから、不正はないだろう的な話らしい。(どこかで記事を読んだ気がするが、見つけられず。)収納機関に東京電力などがあるが、当方は電力の契約のときに身分証明書を提示した記憶はないんですけどね…。
さて、決済事業者は「アカウント所有者」の本人確認をすることで、「アカウント所有者」の正しい本人特定事項を得ることができる。「銀行口座のアカウントへの登録」の場面にいおて、決済事業者ができるのは、これらの情報を銀行に送ることぐらいである。当たり前だが、決済事業者がいくら頑張って本人確認を強化しても、「アカウント所有者の本人特定事項が正しいこと」を確認できるだけであって、「銀行口座所有者」の情報は一切手に入らない。そのため、その情報を銀行に渡すことぐらいしかできない。
なお、このときに銀行側から決済事業者に本人特定事項を渡すのは、個人情報の第三者提供の同意タイミングが無いため難しい。もし事前に取ろうとすると収納機関が増えるたびに、同意を取り直す必要が出てきてしまうため現実的ではない。なお、オプトアウトの手続きをするという方法もなくはないが、話がそれてしまう上に、逆向きが可能だとしてもあまり話は変わらない。
普通に銀行との認証後の画面で同意を取ればいいだけですね。全然可能です。なお、その場合は突合する主体が決済事業者になるだけで、特に話は変わらないです。
決済事業者が本人特定事項を銀行に渡すことで、銀行は「銀行口座所有者の本人特定事項」と「アカウント所有者の本人特定事項」の両方を手にすることができる。というわけで、さっそくこれを突合すれば無事認証…とはいかないのである。
本人特定事項の曖昧さ
まずは本人特定事項に嘘はないという前提で話をすすめる。となれば、単に氏名、住居、生年月日を比較すればいいだけに見えるのだが、実は前者2つには少々厄介な問題がある。
まず「氏名」には「ふりがな」が含まれていない。「えっ、そんな馬鹿な」と思ったあなた、もし持っているなら運転免許証やマイナンバーカードを見てほしい。表にも裏にも氏名のふりがなが書いていない。運転免許証やマイナンバーカードはこれ1枚で本人確認ができる書類とされている。その書類に「ふりがな」が無いのである。実は本人確認において「ふりがな」を確認する義務はない。もっと言うなら法律上、戸籍にも住民票にもふりがなの規定がないのである。そのため、自治体によっては住民票の写しにもふりがなが無いことがある[6]。あくまで検索などの参考のために記録されているという位置づけである。
[6] 市民の声 住民票にふりがなを記載してほしい http://www.city.aomori.aomori.jp/inquiry/detail?sheet-no=9581
本人確認というものが、その人を法的な住民と紐付けるものという見方をするなら、そこに「ふりがな」という情報はそもそも紐付け先にない可能性があるのである。というより、運転免許証を使う人が多い以上、大半の場合でふりがなを確認はしていない。例えば「わたなべ」と「わたべ」などは字面では区別がつかない上に、いわゆるキラキラネームと呼ばれる読み方も、本人申告以外では判断しようがない。
なお、銀行口座の名義はカタカナなことが多いが、これはすなわち本人確認書類に書かれていない事項を元に名義を設定している場合が多いということである。地味に怖い話ではある。
であれば、漢字で書かれた氏名を直接比較すればいいじゃないか、となるのだが、ここで人名を取り扱うシステムのプログラミングをしたことがあるなら「あっ…」となったであろう。そう「字体問題」である。下の名前は人名用漢字のみと定められているので、かなりマシになっているが、名字に関しては先祖代々受け継いでいるため、昔ながらのカオスな状況が今でも引き継がれている。有名なので言えば「わたなべ」さんであろう。字体違いだけで50種類以上存在するのである。これを安全側に倒して厳密にマッチングするか、それとも打ち間違いを考慮して全部OKとするか。考えるだけでも頭が痛い。
「日本人の人名の漢字比較はパンドラの箱である」
そして、住所に関しては言わずもがな、「1-2-3」なのか「1丁目2-3」なのかという表記ゆれや、「102号」なのか「102」なのかなどなど。引っ越し直後などは住所の更新が追いついていないケースも有るため、比較にならないケースもある。引っ越しに関しては「更新しろ」という話になるのだが、後述のようにそもそもそんなものに依存する必要がないのに、全部の手続きを終えないと使えないというのは不親切だろう。
このあたりは人間が見れば一発でできそうなものだが、コンピュータシステムにやらせようとすると、仕様にブレが生じる。その結果として、使えるはずなのに使えない人、その曖昧さに付け入って不正をする人がでてくる。
ちなみに実際のところ、銀行口座と証券口座の間のやり取りなどで、同一人物かどうかの確認は本人に関する情報の中だと名義人、すなわち「ふりがな」だけの比較がほとんどである。当然、事実上自己申告であるふりがなだけに依拠するわけには行かないので、各種パスワードなどを認証したり、印鑑を使ったりするわけである。銀行などの金融界は、認証が破られた本件において新参である決済事業者に本人確認を求めながら、地味に自分の足元の認証ではその情報を利用してないのである。
写真がなくてもOK…?万人が使えるための限界
ここまでは本人特定事項に嘘はない前提だった。それでも、比較の曖昧さの問題もあったが、本人確認そのものにも地味に限界がある。本人確認とは本来的に犯罪収益移転防止という公共の利益のために、顧客に手間をかけて書類を用意してもらうことである。顧客の安全に直接は貢献しないため、特定事業者側としては純粋な機会損失になり得る。また、銀行口座は例えば給与や年金の受け取りなどで必要不可欠なインフラであるために、すべての住民が作れないと困るという社会的な要請もあって、一律に「写真付き身分証明証が必要」とはしていない。具体的に何が必要かは犯収法施行規則[7]に書かれているが、ざっくりとした説明は銀行などのウェブサイトに書かれている。
[7] 犯罪による収益の移転防止に関する法律施行規則 https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=420M60000f5a001
例えば運転免許証がなくても、「健康保険証+住民票の写し」や「年金手帳+公共料金の領収書」などでも本人確認は可能である。どんな人でも本人確認をできるように、というためには仕方がないことなのだが、だんだん後半の方になると偽装のしやすさが上がってきてしまう。そもそも、写真がない時点で目の前の人が本当の持ち主なのかを確認できない。盗まれたものだと書類自体は本物のため窓口で確認することは至難の業である。ここには「複数用意できるなら本人なんだろう」という、若干の甘さがある。これは現実的に社会が受け入れなければならないリスクなのだろう。
このように一口に「本人確認」といっても、その確からしさには幅がある。だが、別の企業との情報システム同士の連携となると、確度の高低に関わらず「本人確認済み」という扱いになってしまう。犯罪捜査で人力で人を追跡することに使うことはできても、本人特定事項そのものは認証に使うのにはそぐわないものなのだ。
ただ、もちろん効果はゼロではない。本人確認書類の偽装はそれ自体が(有印)公文書偽造罪、もしくは(有印)私文書偽造罪に該当し、どれも罰金などの財産刑ではなく懲役刑が設定されており、かなり重い部類に入る。例えば運転免許証を偽装した場合、有印公文書偽造罪に該当するため1年以上10年以下の懲役、法定刑だけ見れば上限は強制わいせつ罪と同じ、下限はそれより重い。そのために、技術的には可能だったとしても偽装をすることは普通はためらわれる。(まあ、免許証偽装が暴行や脅迫を用いてわいせつ行為を行うこと並に重いと知っている人が多いとは思えないが…。)また、偽装には手間や費用がかかるためアカウントの量産などを防ぐことはできるだろう。記事タイトルでは煽っているが、本人確認そのものが不正引き出しに対して無力というわけではない。しかし、冒頭で言ったようにこれはノコギリでコピー用紙を切るような話なのである。そんな大仰なことをする必要なんてない上に、精度が微妙なのである。確かに切れるよ?でも、切り口はギザギザだよ。危ないし。
本当に確認したいのは特定の個人であることではなく「口座所有者であること」
本人確認は非常に手間がかかるハイコストな手続きである。銀行口座開設を経験したことがある人ならわかるだろう。顧客もそうだし確認者たる銀行員の時間も使っている。そもそも、自動化が困難であるため基本的に人力である。その割には得た情報は突合しにくく、それ自身が個人情報であるために取扱に注意を要する。
だが、本来私達が解決するべき問題は、「アカウント所有者の正しい本人特定事項を得ること」ではないはずである。先の「取引全体の流れ」の図における「銀行口座所有者」と「アカウント所有者」の一致を確認したいだけなのである。
ここで、匿名で銀行口座が開設できたと仮定しよう。例えば私はハンドルネームである”Mine02C4″という名義で口座を開いたとする。口座を開くと同時に、口座番号やそこにアクセスするためのキャッシュカード、暗証番号、オンラインバンキングの鍵などなどをもらう。現実との違いは「名義が本名でない」ことと「本人確認をしていないため、私の本名や住所などが正しいかわからないこと」である。とりあえず、本名を適当に指導教員の名前にして、大学の研究室を住所にしたとしよう。こうすれば研究室に書類は届くので、大学事務を無理くり説得して、その銀行からの書類はすべて自分に回してきてもらうとする。なお、偽名で口座を開いても違法ではないこととしよう。どうせ確認もないのだし。そして、その口座にキャッシュカードを使って、自分のお財布から5万円入れておいたとする。名義はハンドルネームだし、銀行が知っている私の名前も指導教員だが、中に入っているお金は私のお財布から入れたので、私のものである。キャッシュカードや暗証番号、その他の鍵を持っているのも私だけなので、使えるのは私だけである。(管理者と名義人が一致していない場合は、その財産は誰のものかという法的な問題もあるが、とりあえずここでは口座の存在を指導教員が知らず、完全に私の財産という前提とさせてほしい。)
こんなハチャメチャな世界でも、ある要点を押さえれば私のお金は外にはもれない。それは口座のお金の入出金はその経路を問わず「キャッシュカード+暗証番号もしくはオンラインバンキングの鍵」を必要とすることである。これは問題となったWeb口座振替でも、オンラインバンキングの鍵を要求するということである。もちろんオンラインバンキングの鍵が漏れたらおしまいなので、これは十分に鍵が長く、私が厳重に管理しているとする。こうすれば、ドコモ口座で私の本人確認書類を偽装して、私名義で開設されたり、もしくは指導教員の書類を偽装して、指導教員名義で開設されたとしても、はたまたそもそも本人確認を必要としなかったとしても、私がオンラインバンキングの鍵を紛失しなければ、私のお金はどこにも行かない。
本当に単純な話なのである。提携先サービスの「アカウント所有者」に対して、「銀行口座所有者」と同等の認証を要求すれば、本当に簡単に解決する話なのである。別にこれは全然難しい話ではない。クレジットカードの引き落とし設定などで実際に行われている。例えばインターネットで三井住友カードを発行するときに、その引き落としを三菱UFJ銀行から行うときには、三菱UFJ銀行のインターネットバンキングへのログインとワンタイムパスワードを求められる[8]。これは、三菱UFJ銀行のインターネットバンキングを使って、どこかに振り込みを行うときと同じセキュリティ水準である。これであれば、決済事業者と連携したからセキュリティ水準が下がるということはない。その水準は通常の銀行口座利用と同水準になる。(もちろんカード会社など提携先への直接侵入はありえるが、そは提携先の責任である。銀行は関知できない。)
[8] インターネットで口座振替設定が可能な金融機関一覧|クレジットカードの三井住友VISAカード https://www.smbc-card.com/nyukai/pop/ol-rakuraku.jsp
今回の件は幅広い人に使ってもらおうと、こんな当たり前のことをサボったがゆえに起きただけである。もちろん「みんながみんなインターネットバンキングを使っているわけではない」という理屈が銀行にはあるのだろう。だがしかし、銀行口座開設は万人に必須でも、Web口座振替は必須ではないはずである。代替手段がいくらでもあるのだ。オンラインバンキングがだめなら、紙だっていいじゃないか。世の中にはインターネットを使いこなせない人だっているよ。誕生してまだ数十年の技術だ。無理にWebを使わせるんじゃなくて、せっかく開設時に銀行印を確認してるんだから、それを使ってもらえばいいじゃないか。そもそも、オンラインバンキングを使いこなせない人にWeb口座振替を使わせようというのは、かなり厳しいものがある。その2つ、何が違うんだ?むしろ普通に考えると第三者を経由する分、Web口座振替の方がハイリスクだろう。
本人が直接だろうと、収納機関を経由してだろうと同じセキュリティ水準で認証する。本当にただそれだけの話なのである。