ドコモ口座の問題はシステム的な部分でいうと「本人確認と認証が甘い」に尽きるんですが、それ以前の問題として、このビジネススキームが何を根拠に成立していて、その根拠に基づいた対応が行われていたか、ということがありますね。なにぶん、それなりに新しいことをやろうとしている話なので必ずしも法整備は十分ではないし、抜け道というか、既存の制度だったらこうすれば使えるよね、というスキームをひねり出して実施していくわけです。なので、根本的な法律や制度の問題とは別に、2者間で成立させるための個別の契約が必ずあるわけです。それがどのくらい今回の事態を想定していたかは定かではないですけれども、少なくともここについて一般に開示されることはないでしょう。でも、そこがキモってのがこの話の難しいところ。
とはいえ、銀行との資金移動に持っていく部分については口振契約ということは明らかですので、そのへんをちょっと考察してみましょう。
例によって僕はシステム屋だし、銀行のすべてをやっているわけではないので、推測、公開された仕様書、過去の特定の銀行での経験に基づいています。用語等は厳密に言うと違うこともあると思いますが、理解の上では問題ないと思います。根本的な部分で違っているのがあったらごめんね(妥当な根拠付きのご指摘あれば修正します)。
口座振替とはなんぞや
もう一度おさらいですが、従来の口座振替ってのはどういうものかというと、収納機関、銀行、利用者の三者が利用者が銀行に開設している口座から「収納機関の指示」で資金を移動することを銀行に認める契約です(実際にはそれぞれの契約についてはもう少し厳密な話ですが)。
これはどういうことかというと、利用者が収納機関に対して「これだけ口振してもいいよ」と指示を出すものではないってことですね。例えば、ドコモの電話料金を口振契約していたら、「一定額」ではなく、月に発生した利用料を引き落とすわけじゃないですか。仮に収納機関のシステムがおかしなことになって、利用者に対して別の人の利用料を含めて請求しちゃいました、ってなっても問題なく口振は実施されます。もちろん、後で間違いへの対応は行われますけど、こういったことを確認するという点では収納機関と利用者の間では「ご利用明細」等であなたにこれだけ請求しますよってのを通知するわけですね。そこでおかしい事になっていたら気付ける。もっとも、最近はウェブ明細になってチェックが甘くなった(そもそも見なくなった)人は結構いるのではないかと…(そういう点で、明細を集積して一覧表示できるサービスにはニーズがあるんですけど)
以下のリンクは全銀協の口振受付業務に対する基本方針みたいなやつです。
https://www.zenginkyo.or.jp/fileadmin/res/abstract/efforts/smooth/kijun1.pdf
なお、このフォーマットは収納機関ごとに違っていて良いので、この紙を一律OCRで読み込むわけにも行かず、手書きの文字もちゃんと読めないこともあるので、タイプ入力せざるを得ず、銀行の事務コストとしては結構な額を占めています(なのでこれをAIのOCRで処理しようって話が一時期めっちゃ流行った…そしてまあまあ撃沈した…)。それを減らしたい、というのがこの後の申込方法の話に繋がります。
後ろの方に、依頼書とか申込書がありますよね。利用者は自分の引き落としたい口座のある銀行に対して、この収納企業に対して口振やっていいよ(すなわち、収納企業を信用しますよ)という申請をし、収納機関へは口振で料金の請求していいよ(あなた方を信用しますよ)、って申請するわけですね。当然ですけど、その信用ってのはご利用明細等で自分の支払う金額が把握できることを一つの根拠としています。多額の引落をされた上でドロンなんてしないよねと。つまり、「信用信頼に足る企業」であることを認めているわけです。あれ、意外と怖いですね。でも、これは銀行としてもどこの馬の骨かわからん企業は口振契約なんてさせないし、月次の引落であればいきなり取扱高が上がったデータが来たらなにかしらは確認するでしょう。実際にみなさんが口振契約するのはインフラ(公共料金系)、クレカ、保険、その他継続的に払い続ける会費等でしょうね。よくある話として、クレカで会費を払うのと口振するのどっちがいいってところですが、まあ契約のことだけ考えても、その後のリスクを考えても、クレカのほうが保証されるスピード感が早そうではあります。
で、割とみんな知らないんですが、この口振契約って無期限なんですよね…
口座振替の申込
一番よく見かけるやつはクレジットカードの申込みに一体になっている口座引落の申し込み欄ですね。これはクレカ会社経由で銀行に回ります。もちろん、上記のとおり、個別の紙だったりもします。ただ、これは事務コストもかかるしタイムラグもでる。できるだけ早く使いたい、という話になると面倒極まりないですよね。なので、こういうサービスがあります。
solution.cafis.jp
出ましたCAFIS!…はどうでもよいとして、例えばデパートの店頭でクレカ申し込むときにキャッシュカード持ってますか?ってやってピッとされるやつってこれです。申込書の代わりにこれで連携できちゃうんですねえ。凄いですねえ。ちゃんと説明受けたことあります?僕はないです。
あと、こういうのもあります。
www.jampa.gr.jp
いずれにしても、収納機関側でちゃんとサービスの利用者と契約を結んだ上で実施するものですよねこれは(まあ、契約するタイミングで、という点ではまだ契約前だったりはしますが本人確認はしているでしょう)。
さて、事務コストの問題やリードタイムの問題を解決するためにはこれらのまあまあ大掛かり(=コストの掛かる)仕組み以外にも何かがいりそうですね。特に、なんとかPayの台頭によって彼らが「チャージ」を実現するために一般的に選択されたのが口振スキームなんですね。これは後で説明するとして、つまり、なんとかPayを使うのに紙の申込みで2週間とかかけるのはナンセンスだし、かと言って手数料安いのが売りのなんとかPayがCAFISだMPNだとコストも時間(接続するテストだけでも数ヶ月準備が必要)もかかるシステムに乗り合うのは現実的ではないです。
(今回の事件、この話を踏まえると、そういうレベルで「ちゃんとしている」はずの収納機関がちゃんとしてなかったという結構な重大事ではないでしょうか)
というわけで、急速に流行ったのが「Web口振受付」です。つまり、収納機関のユーザーが(ここが結構ポイント)、「収納機関のサイトから連携して使える」銀行側のWebサイトで本人確認を実施した上で口振契約を結ぶ、という仕組みですね。話だけでいうと、上記の「キャッシュカードぴってする」のと変わりないですが、I/FがWebであることと、利用者がWebサイトで入力するデータだけ(つまりキャッシュカードの実物は不要)というところが特徴ですね。ところで、インターネットバンキングのログインというのはその後資金移動の取引ができることもあり、本人を認証することを重大なものとして取り扱っていて、かつ、ログインできてしまえば本人であるということ前提に住所変更等の重要な取引も実施できるようになっています。もっとも、資金移動の際に第2認証が必要、等の仕組みも入っていますけどね。
じゃあ、このWeb口振受付の本人確認(認証)ってどうなの?これが今回の問題ですね。なお、本人確認と認証の話がまあまあごっちゃになっていますが、本人確認ってのは「収納機関や銀行が自身のユーザーの身元を何らかの手段で確認していること」であり、身分証明書等で裏を取っているよね、という話です。認証は指定されたユーザーが本当にユーザー自身であることを確認すること、と言って良いでしょう。ユーザー認証ができちゃった時点で「その人」であることを認めてしまうわけですからここが甘いってのはまずダメなんですよね。ただ、普通に考えると収納機関側でも本人確認しているからこそ、ここにやってくるわけなので、仮に不正な利用がされたとしてもすぐバレる、というのが信頼ベースのシステムの依拠する部分でもあります。でも認証が甘いのはダメだ…
チャージの仕組みと口振契約
そもそも、なんでなんとかPayのチャージに口振契約が必要なんでしょうか。口振契約は「収納機関の指示に基づいて利用者の口座から金を動かす」契約です。でもチャージってユーザーが自分の意思でするんじゃないの?っていうとそうなんですが、システム的には「ユーザーが収納機関にチャージの指示を出したら収納機関がそれを受けて銀行に資金移動の指示を出す」ということになります。だからこそ、口振契約が必要だし、逆に言うと「口振契約で実現できる」ということです。口振契約で実現できるということは、新たな契約スキームを作らなくても良いし、この範囲内であれば法制度も確立されていて簡単なわけですね。それ以外の手段を考えると例えば証券会社の入金で使うデビットの仕組みみたいなのはありますが、これは利用者が証券会社のサイトから遷移するインターネットバンキングにログインして取引パスワード認証して云々と何手もかかるし個社対応もいる話になるのでなかなかすぐには難しいってなりますからね。
それに比べると、口振契約であれば収納機関の指示で好きなだけ(は語弊があるかもしれませんが)資金移動できますからね。(もっとも、最後の最後、なんの手段で資金移動するか、がちょっとハードルにはなります)
ということを考えると、収納機関側で「口座連携できた」だけでその人の指示を無条件に受け付けてるのってまずいと思いません?思いますよね?そもそも金融機関から返ってくるのは「この口座が本人確認を終わらせている口座であるかどうか」であり、Web口振受付で認証されたから「収納機関側で登録されたユーザーがその口座の本人であるかどうかを確認できた」とするのはちょっと乱暴じゃないかと思いませんか?だって、収納機関側は依然として「本人は何者かわからないがその口座の持ち主らしい」ということしか情報が伝わってないわけじゃないですか。これ、収納機関として本人確認なんてしていませんよね?
というのは、今回のドコモ口座問題の話であって、通常は収納機関側でユーザー登録をする際に本人確認しますからね。
Web口振受付に頼らない仕組みの構築を急ぎたい
照会系の取引については金融庁の指示もあってこの2年で整備が進んでほぼすべての金融機関がAPI連携できるようになりましたけど、決済系のAPIはまだまだです。背景にはやっぱりそれを利用させることについて預金者とどういう契約をどういう形で結ぶかが問題でありやっぱり口振契約かなって話にもなっています。ただ、手続き系APIの整備が進むことでそちらをI/Fとするのが前提になっていくと思います。が、今のWeb口振受付の最大のメリットは「インバン契約が要らない」ということになるので、そこまで代替するのはすぐには難しいかもしれません。その点、公的個人認証サービスとかがもうちょっとまともに動いていくことで本人確認のユーザー側のハードルを下げれるのであれば、随分問題が減ってくるんではないかと思うんですけどね。
