2020/11/13
金融庁は、11月10日付で電子決済等代行業者のセキュリティの高度化等についてを公表しています。
電子決済等代行業の問題は、9月に当サイトのこちらの記事でも取り上げましたが、ドコモ口座問題に端を発した電子決済業者のセキュリティ対策に対し、いよいよ今回当局として方向性を示した形です。
通知文で、金融庁は以下のように示しており、API接続を利用する予定の接続方式場合には、一刻も早くAPI接続を本利用すること、顧客のIDパスワードを事業者が保有する場合には、漏洩防止策を講ずることを求めています。また、不正出金事案を踏まえ、銀行との連携を含めたプロセスに脆弱性が存在しないか確認することを求めており、銀行口座との連携での多要素認証を事実上義務化する見解を打ち出しています。
① API接続契約への移行を前提とした暫定的な契約により利用者の認証情報を保有する場合、当該契約の期限に関わらず、可能な限り早急にAPI接続に移行できるよう取り組むこと。
② 接続契約が暫定的なものであるかどうかに関わらず、利用者の認証情報を保有する場合においては、自社の漏えい防止等の体制の整備状況を改めて確認し、必要に応じて高度化を図ること。
③ 昨今の不正出金事案を踏まえ、電子決済等代行業者がサービス(電子決済等代行業再委託者が存在する場合は当該再委託者におけるサービスも含む)を提供するにあたり、銀行口座との接続を行うプロセスや、自社のサービス全体を通じた一連のプロセスに脆弱性がないか確認すること。(注)例えば、銀行口座との接続に係る認証に際してワンタイムパスワード等の多要素認証を実施していない場合など、不正に預金者の口座情報を入手した悪意のある第三者が、預金者の関与なしに送金可能なケースは脆弱性があると考えられる。
④ 上記確認により問題や脆弱性が見出だされた場合には、電子決済等代行業者及び銀行が協力し、認証を強化するなどの堅牢な手続きの導入を検討すること。
セキュリティを考えれば多要素認証は、ある意味で至極当たり前のことであり、国内の銀行系サービスでも多要素認証を導入するのが一般的です。しかしながら、国内決済サービスでは顧客利便性等も考慮して極力シンプルなインターフェースが採用されてきた歴史があり、セブンペイの失敗もこの延長線上にあるものと考えられます。
国内ではpaypay、linepay、felica等の決済系サービスが乱立しており、サービス間で激しく競合していることから、突き詰めるところユーザー利便性の低下に繋がりかねない複雑な多要素認証の導入は、サービスとしての競争力低下に直結するため、採用できなかったのだと考えます。いわばユーザー利便性とセキュリティのトレードオフ関係です。
今後はより詳細で統一的な指針を示したうえで、最低限の技術的使用に関しては公的に規制していくのが望ましい規制の在り方なのかもしれません。
