スポンサーリンク

ドコモ口座事件に見るセキュリティ意識の低さ – part 2

法律時事

PayPayやKyashなど、ドコモ口座以外の決済サービスでも類似の被害が生じているということが報じられ、ようやく世間の視線も少しは銀行のセキュリティに向かったかなーと思ったら、「やっぱ決済サービスとかダメだな」とかいう時代退行的な方向に向かってる意見が多く見られ、ちょっとガッカリしてます。まあ、Suicaでいいじゃんっていうのは私も激しく同意しますけどね(個人的には最近増えてるクレカのタッチ決済が好き)。QRコード含む決済アプリは、消費者目線では存在意義があまり分かりません。

さて、前回のエントリーでは総論的にドコモと銀行の何が悪いのかを見ていきましたが、今回は、もう少し法律的な面からどういう責任を負うのか分析してみようかなと思います。

預金者に対する銀行の責任

1. 銀行の預金返還義務と免責約款

預金者は通常、銀行に対して、預けたお金を返してもらう権利を有していますが、今回のように、銀行が、預金者でない者(犯人)に対してお金を払い出してしまったとしても、銀行は、預金者に対してお金を返していないので、預金者の権利には影響が無い(引き続き、預けた金額を返してもらえる)のが本来の原則です。

とはいえ、通常、銀行の約款において、正確な認証情報(カード+暗証番号、ID&パスワード等)の入力に基づいて銀行が払出しを行った場合には、銀行は責任を負わない(預金者にお金を返したことになる)とされています。こうした銀行の責任を免除する約款は、銀行が、一般的に可能な限度で、無権限者による払戻しを排除できるようなシステムを構築している限りは、銀行内部から暗証番号が漏洩しているなどといった事情が無い限り、有効であると考えられています。

この点、「名前」「口座番号」「キャッシュカードの4桁暗証番号」だけで引き落としができる仕様が一般的に十分なシステムであったと評価されるかは、その時点における業界の慣行や技術水準等も踏まえて総合的に判断されると思われ、断定することは難しいです。しかしながら、仮に、一部で報道されているような総当たり攻撃を簡単に許すような仕組みになっていたとすれば、不十分であったと評価され、銀行は預金者に対して盗まれる前の金額を返還する義務を負う(そもそも預金は減っていない)という結論になる可能性は相応にあると思います。

2. 銀行のセキュリティ対策及び補償に関する業界の動向

上記の銀行の義務に関連して、オンラインバンキングについては、平成28年6月14日付で、全国銀行業協会(全銀協)から、「こんな対策を取りましょう」というアナウンスがされています(https://www.zenginkyo.or.jp/news/2016/n6389/)。今回の事件は、厳密にはオンラインバンキングではなく、「インターネットを利用した口座振替サービス」と認識していますが、決済・送金サービスの持つ機能のオンライン・バンキングとの実質的な類似性に鑑みれば、連携に際して、同アナウンス(別紙1)に記載されているようなワンタイムパスワードその他の二段階認証を要求しないのはどうなのかなと思ってしまいます。

また、上記のような法律論やオンラインバンキングによる不正送金の増加も踏まえて、通常、銀行は、全銀協での申し合わせに従って、オンラインバンキングで不正送金がされた場合の補償規程というものを定めています(通帳・キャッシュカード版もあります)。ざっくり言えば、銀行が悪くなくても、預金者に(重)過失がない限りは、不正送金の全額又は一部補償するというものです。預金者の(重)過失というのは情報技術の状況にも左右されますが、先ほどのアナウンス(別紙2)では、以下のようなケース(一部)が例として挙げられています。

・銀行から(メール等で)注意喚起されているのに、偽サイトで認証情報入力してしまった
・警察や銀行を騙る人に暗証番号教えてしまった

ここには書いていませんが、暗証番号が誕生日というケースは、場合によって過失と判断されるかもしれませんね。この補償規程も、今回のような口座振替サービスを用いたケースには直接適用されないかも知れませんが、少なくとも補償の実施にあたっての判断要素にはなりえると思われ、銀行の認証システムが十分だったかどうか(銀行の過失の有無)関係なく、総当たり攻撃による被害者(過失のない被害者)には補償が行われるという方向に傾くでしょう。

 

預金者に対するドコモの責任

銀行は当然、金銭を預かる者(受寄者)として、預金者に対して一定のセキュリティを提供する義務を負っていると考えられますが、それに対してドコモは、本件の場合、必ずしも被害者と契約関係にありません。果たして、銀行が「認証OK。この預金者のお金出しますね」と言っているのに、それが真の預金者の指示かどうかさらに確認する義務をドコモが負うかというと、簡単にそう言える話ではないと感じますね(それを広げると、お金を受け取る人は常にお金の出所を確認する責任を負う話になりかねない)。銀行の顧客保護(口座保護)は、やっぱり第一には銀行が顧客に対して負う義務(使命)です。

また、ドコモが、金庫番の専門である銀行に対して、「もっと金庫(銀行口座)の管理を厳重にしろよ、四桁の暗証番号とかショボすぎ」というセキュリティ上の助言をする必要があったかというと、全く分析しなくてもいいとは言いませんが、そこは一次的には銀行の管轄なんじゃないかと思います。ドコモが「不便だからもっと金庫の管理緩くしろよ」と呼びかけたのなら問題ですが、それでも、プロの金庫番である銀行はそれに応じたらダメだと思います。ということで、ドコモに契約関係にない第三者の銀行口座を保護する義務があったかというと、法的には微妙なように思います。

したがって、仮に裁判に訴えるとすれば、被害者としては法的にはまず銀行を訴えるのが自然だとは思いますが、(不法行為を理由に)ドコモも一緒に訴えてしまうのもアリでしょう。

 

ドコモと銀行の関係

これは基本的には契約次第だと思います。受取側(本件ではドコモ)の本人確認にミスがあれば、受取側が責任を負う、みたいになっているケースもある気がします。しかし、本件ではそもそも本人確認について銀行に依拠するということになっているので、そういう契約はあり得ないですね。完全に勘ですが、「正確な認証情報を入力した人物が本人かどうかについて、銀行は責任を負わない(本人確認に使っていいけど、自己責任でね)」とかいう趣旨の規定が入っているのではないかと思います。

この点、「銀行は責任を負わない」と書いてあるならドコモが責任を負うのかというと、そういう意味ではありません。今回のドコモの信用の毀損など、ドコモの損害について銀行は補償しないという意味に過ぎず、銀行に生じた損害(顧客への返金)についてもドコモが補償することまでは意味しません(異論あるかも)。したがって、「ドコモが補償します」と書いてない限りは、銀行が顧客に対する責任(返金等)を負担するというのが、ドコモと銀行の関係になると考えられます。まあ、契約がどうかはともかく、お互いに話し合って穏便に解決するとは思いますが。

 

最後に

正直、今回の記事は全くまとまりがなかったので、最後に言いたかったことをざっくりと箇条書きにしておきます。

・4桁暗証番号だけっていう、被害の生じた銀行のセキュリティ意識はやばい。

・追加報道されてるけど、ドコモ口座じゃなくPayPayとかでも普通に本件のような被害は発生する(件数としては相対的に少なくなるけど)。銀行が適切な二段階認証導入してればドコモ口座でもPayPayでも基本起きない。

・だから、ドコモ口座よりもまずは自分の銀行の認証システム見直すべき。

・預金者の数もあって、ゆうちょ銀行での被害(PayPay含む他決済サービスを含む)がクローズアップされ始めてるけど、こっちの被害者はどこかで情報盗まれてる可能性も十分考えられるので、必ずしもみんなアブナイって状況ではないと思う。適切な二段階認証が導入されていればこれも防げたとは思うけど。

・確かにSuicaで十分。通信料とか携帯事業で集めたお金を、どこまで必要か分からんQRコード決済を広めるためのバラマキキャンペーンに使わないで欲しいね。

・p.s. 「二段階認証」って繰り返してるけど、「メールの二段階認証」は結構危ないから気を付けてね。

 

 

 

 

 

コメント

タイトルとURLをコピーしました