丸山：銀行の口座振替で（ドコモ口座に）お金を充当するサービスは2017年からやっていた。銀行口座とドコモ口座の名義が一致していなくても使えるなど、緩い形で運用していた。その後、いくつかの問題が発生しており、それではセキュリティ上の問題があるだろうという指摘から、名義の一致確認などに取り組んでいた。

　しかし、これらはドコモ回線契約者に限ってサービスを提供していた当時のもの。今回の件は、それと全く違う問題と認識している。

前田：りそな銀行の問題が2019年5月に発生したのは事実。当時はドコモ口座をドコモ回線契約者にのみ提供していた。回線契約で本人確認ができているという前提で、銀行口座とドコモ口座をひも付ける仕組みだった。その中で不正利用事象がいくつか発生しているとりそな銀行から報告があり、回線名義と口座名義が完全一致するという確認事項を追加するなど対策を講じていた。以降、同様の問題は発生していない。

　今回の話は、ドコモ回線契約がない方の不十分な本人確認によって発生した問題と認識している。

――りそな銀行の問題が発生した後に、ドコモ契約者以外への提供を解放している。回線契約で本人確認していたという話に対し、条件を緩めているように見えるがどう考えているか

前田：提供範囲をドコモ回線契約者以外に広げた後は、dアカウントに登録したメールアドレスに認証メールを送信して本人確認するようにしていた。（サービスを）手軽に使っていただきたいという思いでこのようなフローにしていたが、今回のようなお金の絡むサービスについては、本人確認を厳重にするべきだった。認識が甘かったと考えている。

――「日本銀行などが採用するシステムに比べ、地方銀行が使っているWeb口振受付サービスのシステムは信頼性が低いと考えられる。（ドコモ口座のような）フィンテックサービスに接続してしまったのが問題ではないか」という専門家の指摘もあるが

丸山：そのような意見があることは承知している。各銀行がそれぞれの事業に応じて決めることなので、コメントは差し控えたい。

――（銀行側が）総当たり攻撃を受けていたという話もあるが、何か把握しているか

前田：銀行側からそのような情報共有は受けていない。多くのユーザーに使っていただくために（多くの銀行と）連携を進める中で起こってしまった事象だが、各銀行におけるセキュリティ対策は、各銀行で実施されていると認識している。

――（今回の問題は）ドコモ側に原因があるとしているが、銀行側には問題がなかったという認識か

丸山：金融機関のセキュリティとドコモのセキュリティ、お客さまから見れば、トータルで考えるべきものと承知している。今回のケースはドコモの本人確認が不十分だったのが一因だ。しかし、今後キャッシュレスを拡大するためには、全体のセキュリティと使いやすさを両立するために、みんなで知恵を出していく必要がある。

――今回の事象は、ドコモ以外にも発生し得る事象だったのか

丸山：セキュリティに絶対はない。他社のサービスを正確に存じ上げていないが、何かをしたら絶対起きないということはないと認識している。

――ちょうど1年前、d払いの規約改定で補償についてドコモ口座も含めるようになっていた。どのような理由か

前田：（従来の規約では）d払いの不正利用に関する補償について説明していたが、銀行口座とドコモ口座をひも付けた場合の補償について説明していなかった。被害者からの問い合わせに十分対応できていなかった。申し訳ないと思っている。

――不正出金があった銀行は、銀行口座の本人確認が甘かったという情報がある。銀行と口座振替の契約を結ぶ際に、銀行側の本人確認について、ドコモはチェックしていなかったのか。銀行側の認証が甘いと感じることはなかったか

田原：銀行側のチェック体制が十分であったかは、銀行のセキュリティに対する考え方と仕様がそれぞれある。明らかにセキュリティに問題があるということでなければ、基本的には銀行側の仕様に基づくようにしている。

――ドコモ契約者以外にサービス提供を広げる施策について、（今回の一件で）方針転換はあるのか、展開スピードは変わるのか

丸山：今のところ方針転換はない。高いセキュリティが求められると、そうでないものを仕分けし、工夫しながらお客さまに届けるようにしたい。

――被害額は1800万円とあるが、被害を受けたメールアドレスや銀行口座などに共通点はあるか

前田：dアカウントに登録されたメールアドレスの傾向などに共通点はないと認識している。被害を受けた銀行口座などの傾向については、銀行からの情報提供がないとドコモ側は分からない。今後も銀行と協議を進めていく。

――不正に口座を作った犯人のIPアドレスなどに傾向はあるか

田原：情報収集中である。