法人向け携帯バンキング(みずほ銀が来年1月開始)


日経新聞平成18年10月5日号の記事です。みずほ銀行が法人向けに携帯バンキングを始めるそうです。来年1月から残高照会や入出金明細照会を提供し、秋までに振込を可能とする、それも上限額1億円だそうです。ネットバンキング「みずほビジネスWEB」を利用する中小企業や個人事業主が利用できます。月額手数料は1050円。ドコモとauが対象機器ですが、ソフトバンクとも折衝中とのことです。

携帯バンキングは、どこからでも取引できるという利便性はありますが、まず頭に浮かぶのはセキュリティです。率直なところ、良い度胸をしているという印象です。提供するほうも、使うほうもですが。ましてや、振込上限が1億円となると、どうのような取引シーンなのかと興味が沸いてきます。事務所には、ネットバンキングがあるのが前提ですから、出先で携帯バンキングを使うことになります。取引先から入金があったか確認することは、出先でもあるでしょう。退社してから自宅で明細や残高を知りたいこともあるでしょう。小口の支払なら自宅や出張先で行うこともあるかも知れません。しかし、1億円の振込を事務所の外で行う企業は、ITベンチャーのオーナーか芸能人くらいしか思い浮かびません。会社経費で高額商品を衝動買いするには大変便利そうですが。

照会と振込のサービス提供開始には半年以上の時間を空けています。恐らく、顧客に使ってもらいながら、サービス仕様やセキュリティを強化するのでしょう。セキュリティについては、使用権限のある社員個別にIDを振り、電話機も個別認証とし、第三者使用を禁止する設定メニューを用意するそうです。公表しないセキュリティ対策を盛りこんでいるはずです。この程度の対策では、とても企業向けには使えません。企業の命取りになる可能性があります。携帯の場合は、機器の盗難やIDセフトのような判り易い手口ではなく、無線傍受が怖いとされます。当然暗号化するでしょうが、暗号化直前で傍受ないしはジャックされたらそれまでです。利用パターンを知っている従業員(元)であれば、ジャック用機器をどこに設置したら良いかなど簡単に判ります。

最近のセキュリティ専門家は、顧客(個人、企業を問わず)のPCが汚染されていることを前提として、全く信用していません。顧客は、銀行と自分のPC、電話機を全く疑っていません。つまり、顧客側は尻抜け状態です。銀行サーバー、利用者双方の認証を行わなくてはならないでしょう。単純ながら携帯の指紋認証などで多重認証も必要になります。これらは、近く発表される見こみのFISCセキュリティ基準にも明記されるでしょう。相当なコストと操作上の不便が避けられません。それでも、リスクは相当なものになります。みずほのアグレッシブな顧客サービス指向は是としますが、銀行の根幹機能である安全性は確保して欲しいものです。記事では、全面的なサービスインという表現ですが、ベータ版で顧客と実環境を使った様々な試行確認をしてから、顧客を拡大するでしょう。

銀行カード、クレジット・カードが一体化しつつあり、携帯電話も乗車券や電子マネー機能を持ちながら、銀行カードに相乗りしてきています。万一の場合、どこの企業が顧客との窓口になるのでしょう。現状では顧客は、全ての契約企業に手続きする必要があります。その携帯は、ますますWebと一体化しつつあります。そのWebはスパイウェアなどで汚染されています。そのことを利用したなりすまし被害で、銀行から金銭を詐取しようとするケースも増えています。銀行は口には出しませんが、顧客を信用できない状態になっています。それは顧客が意図しているか否かとは無関係です。PCないしは携帯がトロージャンによって、所有者の知らぬ間に銀行取引に使われる状況になっています。その場合の責任は、顧客にあると言いきれるでしょうか?FISC基準を満たしたからといって、顧客が納得する筈はありません。勝てるとしても訴訟リスクと風評リスクはかなり高くつきます。

セキュリティ対策は、個別手当てを行うイタチゴッコでは手におえなくなります。根本から制度を作る必要がありそうです。10月5日付け日経金融では、過誤払い問題で名をはせた野間弁護士が、銀行の顧客保護はクレジット・カードに比べて遅れていると語っていました。保険による補償対象や異常取引検知などのことを指摘しているのでしょう。口座維持手数料もなしに、ユニバーサル・サービスが義務づけられている(法的な規程はないのですが、銀行も顧客もそう思いこんでいる。)銀行としては、事業採算がとれる話ではありません。日銀の中山企画官は、金融法務事情9.25号で、高いセキュリティレベルを提供できない金融機関はサービスを提供すべきではないかもしれない。また、セキュリティ・リテラシーの低い顧客には利用を断るべきかもしれない。・・と書いています。段段とそうした時代になりつつあります。銀行は、きちんと顧客から対価を得て、それ相応のサービスレベルを提供すべきでしょう。裏返せば、コスト負担に応じない、或いは、金融サービスをうける上で最低限必要なセキュリティ対応すらしない顧客は取引を解除するなど、ソーシャルエンジニアリングになります。純テク・セキュリティ対策だけでは、手におえなくなりつつあります。