コード決済(QRコード決済)における
不正な銀行口座紐づけの防止対策に関するガイドライン
岩田合同法律事務所
弁護士 堀 譲
1 はじめに
昨今、キャッシュレス決済に係る不正利用が問題となっている中、経済産業省は、一般社団法人キャッシュレス推進協議会が本年3月から検討会を開催して策定した「コード決済[1]における不正な銀行口座紐づけの防止対策に関するガイドライン」(以下「本ガイドライン」という。)を公表した。本稿では、本ガイドラインの概要について紹介する次第である。
なお、本ガイドラインは、主にコード決済事業者[2]側で行う不正利用対策に係るものであるものの、金融機関側においても、コード決済サービスにおけるセキュリティ対策の考え方を把握するために参考になるものと思われる。
2 本ガイドラインの目的及び概要
本ガイドラインは、コード決済における不正利用対策のうち、銀行口座紐づけに関する不正利用対策に関するものである。コード決済サービスにおいて、他人の銀行口座が不正に紐づけされてしまうと、当該銀行口座の名義人の残高が不正に利用されることになってしまうことから、そのような不正の対策について記載されている。
本ガイドラインでは、①コード決済サービスのアカウント作成時、②銀行口座紐づけ時、③チャージ時、④決済時及び⑤常時行うべき対策の5つに分類して、その対策を検討している。
以下では、各段階で必要とされる対策の一部のうち、主にその対応が必須とされているものについて紹介する。
【コード決済サービスにおける全体のフローの例[3]】
3 対策
⑴ アカウント作成時
コード決済事業者は、後のコード決済の利用において、コード決済を行おうとする者がアカウントの作成を行った者と同一であることを確認できるようにするため(すなわち、当人認証を可能とするため)に、アカウント作成時に利用者に特定の情報の入力を求めること等により、当人認証を行うために必要な情報を収集することや、利用者のモバイルデバイスに関する情報等の周辺情報を入手することなどが重要であるとされている。また、同一人物又は同一モバイルデバイスからの大量のアカウントの作成を阻止できるように、アカウント作成時において利用者又はモバイルデバイスを一意に特定できる手段での認証を行うことが必須であるとされている。
⑵ 銀行口座紐づけ時
銀行口座の不正紐づけの防止にあたっては、紐づけられようとしている銀行口座について、利用者がその利用について正当な権限を有していることを確認することが重要である。コード決済事業者は、金融機関に利用者の情報を提供し、金融機関から紐づけされようとしている銀行口座の情報と一致するとの回答を得た場合のみ紐づけを認めることが必須であるとされている。
1つの銀行口座を複数のアカウントに紐づけることを制限することも有効である。
⑶ チャージ時及び決済時
利用額に上限をつけるなどの一定の条件で利用時の制限を設定する対策は、不正利用の被害拡大を防止する効果があるほか、利用上限が設定されることにより、不正を行うインセンティブを減ずる効果が期待できる。このため、万一、不正に銀行口座が紐づけられてしまった場合に備え、コード決済事業者は、自己のコード決済サービスの内容等を考慮しながら、チャージ金額又は決済金額について、何らかの形で上限額を設定することが必須とされている。
⑷ 常時行うべき対策
コード決済事業者は、アカウント作成時から決済までの間において不正検知のためのモニタリング体制を構築することが必須である。
そして、不正な銀行口座紐づけや不正な決済を検知した場合、これに迅速に対応するために、不正の対応体制(インシデントレスポンス体制)を整備することが必須であるとされている。
4 まとめ
本ガイドラインでは、ガイドラインに記載された対策を講じたとしても、不正利用が完全に防げることを保証するものではなく、また、考えられる不正利用防止対策を網羅的に記載したものではないとしている。
コード決済事業者は、上記の観点から不正利用の対策がなされているかを確認しつつ、本ガイドラインの対策のみにとらわれることなく、対策の実効性を絶えず検証し、新たな不正が発生するリスクに見合った対策を適時適切に講ずることが重要であるといえよう。また、紐づけされる側の金融機関は、取引するコード決済事業者が上記の観点から対策を行っているかを確認する必要が出てくるものと思料される。
本ガイドラインについては、コード決済事業者や金融機関のみならず、コード決済を含むキャッシュレス決済を利用しようとする事業者などにとっても、昨今、キャッシュレス決済の不正利用が多発しているという状況下において、どのような対策がなされているのかを知るうえで、興味深い内容になっているものといえよう。
なお、キャッシュレス推進協議会は、今後、金融機関側が行う不正利用対策についても検討を進める予定としている。
以上