ニュース

ゆうちょ銀行、「mijica」はサービス戦略を再検討。セキュリティ総点検

ゆうちょ銀行は6日、キャッシュレス決済サービスへの不正送金や、デビット・プリペイドカード「mijica」の不正利用などの問題をうけ、「セキュリティ総点検」の結果と今後の対応策を発表した。サービス再開に向けて対策を進めていくが、mijicaについては多くのセキュリティ対策が必要となるため、「スコープを今後のサービス戦略まで広げ、ビジネス方針としての対応を早急に整理する」としている。

セキュリティ点検の対象は、即時振替サービスとゆうちょPay、mijica、JP BANKカード。各サービスにおいてアカウント作成から、銀行口座紐付け、チャージ、決済・送金、取引など、各フェーズにおけるセキュリティを点検した。

即時振替サービスのセキュリティ総点検

キャッシュレス推進協議会ガイドラインで定める必須項目を点検。即時振替サービスにおいては、決済事業者のうち、コード決済事業者6社(PayPay、LINE Pay、ドコモ、メルペイ、ファミマデジタルワン、pring)では、5社が項目を満たしていることを確認。1社については、回答受領後追加確認が必要な事項があったため、評価を実施中としている。

その他決済事業者(Kyash、ウェルネット、PayPal、ゆめカード、楽天Edy、ビリングシステム)は、サービス形態などにあわせて点検を実施。3社は必須項目を充足し、1社は追加で評価中。残り1社については、協議中としている。

即時振替サービスにおける、ゆうちょ銀行においては、必須項目をすべて充足。また、二要素認証はすべての決済事業者で9月中旬までで導入を完了した。

ゆうちょ銀行においては、口座紐付け時の監視機能の構築やモニタリング態勢整備のほか、口座紐付け時の顧客向け通知(手紙)を実施。また、口座紐付け時の二要素認証において、残高認証を導入している決済事業者(1社)に対しIVR認証(自動音声応答)の導入に向けた協議を行なう。

今回の件では、不正取引の確認をお願いする手紙をゆうちょ銀行の利用者に出している。そのうち宛先不明等で届けられなかった顧客については、口座紐付けを一旦解除する。これらのセキュリティ強化策は2020年12月を目処に実施する。

なお、公営競技や証券会社、ノンバンク、ECサイトなどでも必須項目の充足を確認。不正リスクは低いものの、預金保護の観点から、公営競技や証券会社などにおいても、二要素認証(IVR認証)の導入に向けて協議を始める。

mijicaは継続も機能代替等見直し

ゆうちょPayとJP BANKカードについては、すべてのプロセスにおいて必須項目の充足を確認した。

一方、デビットカード・プリペイドカードの「mijica」については、必須項目22項目のうち14項目が未実施、または不十分という評価となった。特に会員サービス「mijicaWEB」に関するものが多い。

そのためmijicaは、「サービス継続を前提として検討している(ゆうちょ銀行 池田憲人社長)」としているが、新規サービス構築や他のペイメントサービスによる代替案も含めたサービス戦略の具体的な施策を早急に決定する。

また、今回の不正等の問題に対応できなかった理由については、「苦情等の情報共有に迅速性が欠け、また、重要性の認識に至らなかった」と、グループ内の情報共有に大きな課題があったという。

そのため、キャッシュレスサービス全般の相談窓口一元化や、苦情・相談に対する組織・機能の抜本的強化を図るとともに、補償方針の明確化などにつとめる。

現在停止しているキャッシュレスサービスの再開については、課題の対策と並行して具体的な条件や再開時期を検討していく。