2021年3月3日8:00
「コード決済における不正な銀行口座紐づけの防止対策に関するガイドライン」を策定
産学官が連携し、業界横断でキャッシュレスの普及促進に取り組む組織として設立された一般社団法人キャッシュレス推進協議会は、スマートフォンアプリなどにおいてバーコードやQRコードを用いる「コード決済サービス」に関し想定される不正利用事案のうち、銀行などの金融機関口座の不正な紐付けによる利用への対策について記した「コード決済における不正な銀行口座紐づけの防止対策に関するガイドライン」を策定し、2020年9月18日に公表した。同ガイドライン策定の経緯について、事務局長の福田好郎氏に話を聞いた。
※書籍「キャッシュレス・セキュリティガイド」より
一部事業者の事件前から検討着手
約370の企業や団体等が加盟するキャッシュレス推進協議会では、金融庁や経済産業省などの関係省庁、有識者等との相互連携を図りつつ、さまざまな活動を通じて、早期のキャッシュレス社会を実現することを目的としている。
同協議会では、コード決済の普及・促進にも力を入れており、2019年4月には不正なクレジットカードの紐付けによる利用を防ぐため、「コード決済における不正流出したクレジットカード番号等の不正利用防止対策に関するガイドライン」を策定した。その後、銀行口座の紐付け時においても同様の不正利用が起こりうると認識し、2020年3月からガイドライン策に向けた検討を進めていた。その途中に一部事業者での事件があったが、当初からガイドラインを世に出す動きをしていたという。
ガイドラインで対策を紹介
国内のコード決済サービスでは、銀行等の口座を紐づけることによって、その口座の残高からチャージしたり、口座から直接決済するサービスが多い。福田氏は「コード決済サービスのアカウントと銀行口座を紐づける際のセキュリティ要件は、コード決済事業者側のセキュリティ態勢だけでなく、銀行側のセキュリティ態勢やサービスにも影響を受けます。まずはコード決済事業者が自らのガイドラインを策定し、自分たちの襟を正したうえで銀行側と対話する動きになりました」と説明する。気運の醸成は検討開始前からあり、検討メンバーからは銀行口座からの不正出金の可能性や、銀行によりセキュリティ対策に強弱があることを懸念する声もあった。
同ガイドラインでは、不正な口座紐づけを防ぐための対策をコード決済事業者、金融機関の双方において講ずることが最も重要な対策の1つであると説明している。また、不正利用の防止はコード決済サービスのアカウント作成から決済時までのプロセス全体を通して実現されるものとした。さらに、不正対策のモニタリングや銀行とのやり取りを含め、不正検知をした場合の対応体制の整備などの重要性も挙げている。
業界としての対応が必要
コード決済のセキュリティ対策は、「各社実施していたとは思いますが、サービスが進展する中でセキュリティと利便性のどこに線引きをするかで悩まれているところもありました。特にN対Nの関係になってくること、銀行口座を資金源として活用している立場から生じる交渉の難しさはあると思いますし、特定の事業者だけではなく、業界全体としての対応が必要であると思います」と福田氏は話す。
