2020年を振り返ったとき、いろいろな意味で社会的にもIT的にもターニングポイントとなる出来事が多くあった。ことキャッシュレスの世界ついて18年からの流れをなぞると、18年4月に政府が発表した「キャッシュレス・ビジョン」において、「2025年の大阪・関西万博までにキャッシュレス決済比率40%」という目標が掲げられ、それに呼応するかのようにQRコードやバーコードを使った、いわゆるコード決済サービスが多数立ち上がった。

 19年には事業者同士が多数の大型キャンペーンを連発する形で競争が激化し、同年10月には中小小売店での買い物を対象にした2〜5%のポイント還元施策が始まった。激化した競争の結果、メルペイによるOrigamiの吸収や、事業強化を目指したZホールディングス(Yahoo!、PayPay)とLINEの統合などが同年末に発表された。

 そうした激動の19年と比較すれば落ち着いていたように見える20年のキャッシュレス業界だが、確実に次の変化へのステップを着実に踏みつつある。その象徴的な出来事の一つが「ドコモ口座」にまつわる一連の事件だ。

 これはNTTドコモが提供するデジタルウォレット・ドコモ口座と接続した銀行口座の残高が不正に引き出され、買い物などに利用されたというもの。しかし問題はドコモにとどまらず、接続先の銀行のセキュリティに対する意識や、ドコモ口座において最大の接続先でもあったゆうちょ銀行のネット対応も含め、金融業界やIT企業が現在抱える問題を浮き彫りにした。

 今回はこの視点から「2020年のキャッシュレス」を整理しつつ、2021年以降にここで何が起きるのかを考えてみたい。

●ドコモ口座問題を振り返る4つのポイント

 ドコモ口座に関する問題を理解するには、決済サービスを提供するドコモなどの資金移動業者と、決済に利用する“残高”のソースとなる銀行側の2つの立場があることを知る必要がある。

 事件の経緯と考察については、筆者が以前にまとめた「“ドコモ口座×ゆうちょ銀行問題”が残した教訓 決済サービスの向かう先を考える」と「ドコモ口座と口座振替サービス不正利用を総括。3つの問題点」の2つの記事を参考にしてほしいが、大枠でいえば次の主に4つの問題があったと考えている。

・NTTドコモは(ドコモの)回線契約があることを前提に作られていたサービスを、リスク評価も不完全な状態で、メールアドレスさえあれば誰でも作れるキャリアフリーアカウントにまで開放してしまった

・資金移動業のサービスが残高チャージのために銀行口座接続を行う場合、銀行が提供する「Web口座振替」での認証作業をもって本人確認完了と金融庁が指導していた

・銀行によってWeb口座振替サービスのセキュリティに対する意識が大きく異なっており、特に本人確認項目の弱い銀行が集中的に狙われた

・この手の不正引き出し事件における被害への補償方法や手順について業界ガイドラインがなかった

 いってしまえば、「ドコモ口座」というサービスを入り口に、セキュリティ的に“弱い”ポイントを結び付けられる形で利用され、一気に資金の不正引き出しが行われたという流れだ。

 注意すべきは、「ドコモ口座問題」のように報じられており、本稿でもキーワードに用いているものの、被害があったのは「ドコモ口座」だけではなかったという点だ。例えば、同じWeb口座振替サービスを利用する決済サービスの「Kyash」でも不正引き出しが発覚しているなど、仕組み自体の悪用は他のサービスでも可能だった。

 ただ、ドコモ口座が狙われた最大の理由は「キャリアフリーで簡単にドコモ口座用のアカウントが作れる」という点だ。ドコモ自体が至急の対策を行う必要があったが、ドコモ口座そのものの停止は同社内部や銀行各方面の反対もあり行えなかったのが、ドコモ口座経由の被害が拡大した要因といえる。

 まず20年10月中にeKYC(デジタル本人認証)を導入。2段階目としてSMS認証、そして最終仕上げとして2021年初頭にパスワードレス認証(生体認証などへの置き換え)の導入で本人確認を強化した。ドコモは2月3日から、銀行口座との連携やチャージの手続きを順次再開している。

 eKYCはもともと決済サービス各社が本人確認手段として導入しており、「Web口座振替」を利用しない場合の本人確認手段として利用されていた。本人の確認ができていないアカウントは仮運用ということで、機能が大幅に制限される。

 従来までは金融庁の指導もあり、Web口座振替利用時はeKYCをスキップすることもできたが、ドコモ口座の件を経てここが“穴”となる可能性が改めて認識された。この結果、銀行との接続のあるなしにかかわらず、全てのアカウントに対してeKYCが必須となった。

SMS認証が不正利用対策のカギに?

 関係者によれば、ドコモ口座の不正利用対策では「SMS認証」が大きなカギを握っているという。

 運転免許証などとの照合を行うeKYCに対し、SMS認証は「手元に“生きている”携帯回線がある」ということを確認するだけだ。例えばプリペイド契約などで本人確認が不十分な状態で開通が可能なケースも想定され、「本人確認手段としては弱いのでは?」という意見が多かった。

 しかし関係者の話では「ドコモ口座の場合、回線がひも付いているアカウントでの不正利用件数はゼロ」ということで、悪意のある第三者の最初の“取っかかり”をくじき、少なくとも露払い的な役割が期待できるという。パスワードレスはオンライン経由でアカウント乗っ取りを防ぐ効果があり、決済サービス側としてできる対策はこれで網羅されるというわけだ。

●銀行の抱える課題は「個人情報のアップデート」

 ここからが本題となる。先ほど挙げた4つの問題点のうち、2番目の「Web口座振替で本人確認」と3番目の「銀行によって異なるセキュリティレベル」は銀行側の問題だが、銀行が本人確認を行うための“基本情報”をほとんど持っていないことが課題だ。

 ゆうちょ銀行のケースでは、ドコモ口座と関係ない事件(SBI証券の不正引き出し事件)で本人確認が不十分なまま口座開設を許してしまったことが報告されているが、基本的に口座開設時には名前や住所、生年月日、電話番号などの基本情報を、本人確認書類を確認した上で登録を行う。

 ところがこうした情報は適時アップデートされない可能性があり、いざというときに本人に連絡が取れないというケースが少なからず存在する。

 最近の連絡先といえばメールアドレスや携帯電話番号などだが、これら個人情報を組み合わせて適時リアルタイム通知を行うだけで不正利用は発見しやすくなる。

 現在、本人が転居などを行わずアクティブではない口座を除けば、多くの人はおそらくスマートフォンや携帯電話などで銀行との何らかの連絡手段を持っている可能性が高い。

 難しいのは、「適切なタイミングでの個人情報のアップデート」という作業負荷と、本人確認の方法だ。昨今、銀行ATMでお金を引き出す、あるいは自身の口座がある銀行まで行かないという人もいるだろう。そうした状況下で、現在銀行にどのような情報が登録されているのかを気にしていない人もいるのではないだろうか。

 一方で、自分が普段使用するスマートフォンやコンテンツサービスの契約情報であったり、SNSの情報というのは割と小まめにチェックするものだ。特に、アクティブなユーザーなら1日まったくSNSをチェックしないという人はほとんどいないはずだ。つまり、銀行が持っている情報とユーザー自身のアクティブな情報にかい離が発生している可能性が高い。

 また銀行側の悩みとして、仮に項目を増やして本人確認の確度を上げようとすると、ユーザーが登録段階で断念してしまうケースが少なからずある。筆者もスマホ教室のようなものの取材で何度も目撃しているが、特に高齢者が断念するケースが多々見られた。「情報の不一致」という問題と、「利便性とセキュリティのトレードオフ」という2つの問題がここには存在している。

 最近でいえば、Kyashが「VCAS」という3Dセキュアのサービスを導入し、オンライン決済時の認証コードをスマホ上に3種類の方法で通知するサービスサービスを導入したが、安全性と利便性を両立しているという点で興味深い。

 3Dセキュアでは古い仕様で共通パスワード、比較的最近のものでワンタイムパスワードを入力させることで、オンラインでのクレジットカード利用の安全性を高めているが、このワンタイムパスワードをさらに使いやすくしたのがVCASといえる。

 Kyashではワンタイムの認証コードを「SMS」「メール」「プッシュ通知」のいずれかで受け取れるが、プッシュ通知であればスマホ上でオンライン決済をしながらすぐに3Dセキュアの認証コードを受け取れるわけで手間いらずだ。

 こうしたスマホ連動の仕組みは銀行アプリでも少しずつ広がってきている印象だが、利便性やユーザーへの拡大の面ではまだまだ課題もある。

銀行サービスとスマホユーザー間の隔たり

 いずれにせよ、スマホ上でのモバイル決済サービスが(アクティブな)ユーザーに比較的近い立ち位置にいる一方で、銀行側ではその接点をあまり持っていない。

 これがドコモ口座などの問題を通じて銀行間でのセキュリティ意識の差になって表れたり、あるいは「いざというときに連絡がつかない」という事態につながる。

 ゆうちょ銀行ではドコモ口座などでの不正引き出し事件を受け、Web口座振替などの仕組みを利用している全ての口座に対して郵便通知を送付し、情報提供を求めるという手段を採った。コストと時間の負担が非常に大きい方法だが、現状で銀行が直面している問題の一端を示している。

 Web口座振替はその性質上、リクエストがあった段階で即座に本人確認が完了しなければ使い勝手が悪い。仮に郵送で登録住所に確認書を送ったり、登録電話番号を呼び出して確認したりすれば安全性は高まるが、仕組みとしては不合格だろう。クレジットカードでさえ最短5分で即時発行できる時代には不釣り合いだ。

●安全かつ利便性の高いモバイル決済が登場しにくい理由

 つまるところ、「ネット上で利用できる手軽で確実な本人確認手段」「状況に応じて最新状態にアップデートされている本人の連絡手段」の2つが欠けていることが、安全で利便性の高いモバイル決済サービスの登場を妨げている要因の一つだと考えられる。

 先日、「2020年のキャッシュレス業界 けん引したのは結局クレカ 」というコラムをまとめたが、あれだけ19年から20年にかけてQRコードやバーコードを使ったコード決済(アプリ決済)がキャンペーンを展開していたにもかかわらず、依然として日本におけるキャッシュレス決済の主役はクレジットカードだった。

 もちろん、コード決済の“ソース”に銀行口座からチャージした残高ではなく、クレジットカードをひも付けているというケースもあるだろう。また「上限が決まっていて少額決済中心の電子マネーやコード決済と比較して、クレジットカードの方が決済金額が大きく出るのは当たり前」という意見もいくつか見たが、複数の店舗や決済サービスの生データを確認する限り「そもそも同じ商店での買い物に使われる決済手段の9割以上がクレカ」なのであり、単価の有利不利以前の問題だ。

 つまり、コード決済などをアクティブに使い、銀行がアクセスにそれほど労を費やさない層というのはキャッシュレス全体の1割ないしはその2倍程度で、マイノリティーにすぎないというのが筆者の考えだ。人口でいえば多くて1000〜2000万程度だが、PayPayのアカウント数が20年夏に3000万突破だったことを考えれば、アクティブな層というのは多くてその半分程度ではないかと予想する。

 クレジットカード決済はある程度日本に根付きつつあると考えている。利用できる場所は現在もなお増え続けているし、非接触の“タッチ決済”のようなものも増えてきた。

 もともと諸外国でのカード決済といえばデビットカードが中心だが、日本ではクレカ決済の大部分が翌月一括払いのマンスリークリアであり、使い勝手としてはほぼデビットカードと同等だ。与信の有無という問題はあるが、その解決手段も登場しつつある。

 とはいえ、まだまだ数百円程度の決済にクレカを使うことに抵抗のある人も少なくないと思われ(実際、筆者は1000円未満は電子マネー支払いにすることが多い)、決済手段の幅が広いに越したことはない。カード発行会社にしても、今後モバイル決済の普及により手数料経由で銀行が潤うにしても、決済回数を増やさなければビジネス的なメリットは薄い。

 ドコモ口座を発端にした一連の事件は不幸ではあったが、これを機会に業界が取り組みを見直し、新たなビジネスチャンスとできるかが問われる。

●菅義偉内閣の「地銀再編」が正念場か

 その意味で、地銀再編をうたう菅義偉内閣がこの2021年のタイミングで到来したのは、銀行にとっても正念場といえるかもしれない。「2021年のキャッシュレス業界 銀行の逆襲が始まるか」でも触れたが、銀行は新たな収益源を探す旅の途中にあり、モバイル決済はその候補の一つとなる。

 一方で、現状の銀行のやり方では不十分で、例えば「J-Coin Pay」や「Bank Pay」のような銀行発のサービスがやってきたとしても、ゲームチェンジャーにはなり得ない。理由は簡単で、まだまだユーザーとの距離が遠すぎるからだ。

 提案にはなるが、利用者の預金を預かってさまざまな金融サービスの基点という立場を生かしつつ、もっとユーザーのことを知るフロントエンド部分を担うサービス企業と密接に動くべきではないかと思う。

 具体的には、よりアクティブな“生”の情報を持つ決済サービスの事業者と連携し、セキュリティの確度を高めつつ、利便性をさらに高めるように深くフロントエンドのサービス群に浸透していくべきではないかと考える。

 実際、ゆうちょ銀行のケースでは「ユーザーの決済部分でのフロントエンドの活動をまるで把握できていない」ことが不正利用追跡での問題となり、ドコモがユーザー対応に当たって逐一銀行側の対応待ちになるなど連携の悪さが目立った。ある業界関係者は「本来Web口座振替はスマホ決済のチャージを目的としたものではなく、フロントのサービス内容に応じた仕組みをきちんと用意する必要がある」と述べており、起こるべくして起こった事件だと筆者は見ている。

●スマホで便利に使える仕組みが国や銀行から出てくるか

 「使わない層を切り捨てる意見だ」という感想を抱くかもしれない。しかし日本においてもスマートフォンの普及率が過半数に達する現在、スマホを使ったモバイル決済はもっと便利になり、人々の生活のさらに中心へと向かう可能性を秘めている。

 一方で、金融サービスの中核である銀行はまだこのトレンドに対応しきれておらず、さらなるユーザーへの歩み寄りが必要だ。北欧でモバイル送金や決済サービスが成功した理由について取材した際、関係者らは「スマホ普及率の高さ」をその理由に挙げていた。シンプルな仕組みを皆が所持しているデバイスで便利に利用できるようにすることで、当たり前のように利用してもらえるというわけだ。

 現在日本でもマイナンバーカードに保険証や免許証の機能を合わせ、さらにそれをスマホに搭載しようという動きが進んでいる。国としてモバイルの比重を高める戦略を採るのであれば、それに合わせていくことが成功の秘訣(ひけつ)につながる。

 正直なところ、スマホへのマイナンバーカード搭載がここまで挙げた問題を全て解決するとは思わない。オンラインでの本人手段として使えるとは思うものの、あくまでそれだけだ。

 それに付随する行政サービスの他、スマホ経由で利用できる各種サービスやアプリがそれと連動して動いてこそ価値が出てくる。現状のスマートフォンを使った決済サービスと銀行の足りない部分を補う役割が期待される。

 2021年は、こうした業界の動きを反映しつつ、今後数年先を見据えて日本におけるモバイル決済はどうあるべきかを改めて考えるタイミングとなるだろう。