楽天証券「あらゆる可能性を常に検討」
前述のとおり証券各社も本人認証の厳格化に取り組んでいる。例えば楽天証券は6月1日より、ログイン追加認証を全チャネルで必須化。ユーザーはログインIDとパスワードを入力しログイン後、受信したメールに記載の認証画像を確認し、認証コードの画像を順番通りに選択し認証する。8日からはログイン追加認証で選択する絵文字の組み合わせについて、従来の「絵文字10種類から順番通りに2種類を選択」する仕様から、「絵文字10種類+数字5種類から順番通りに4種類を選択」する仕様に変更する。楽天証券はパスキー認証の導入は検討しているのか。同社は次のようにいう。
「多要素認証などのセキュリティ対策は、今般の事象発生に限らず、従前より注力しており、あらゆる可能性を常に検討しています。絵文字の多要素認証においても、数字10個より数百種類ある絵文字の利用・偽の画面複製のしづらさから、不正アクセスのリスクを低減させるとして2021年より導入しています」
中堅IT企業幹部はいう。
「楽天証券も指紋認証や顔認証を使う認証方式を提供しており、現在では本人認証まわりのセキュリティレベルを上げているので、不正取引は減っていくでしょう。ただ、これまでに関していえば、たとえばメルカリはかなり力を入れてパスキーの登録者の増加に向けて取り組んできており、そうした姿勢の違いが差を生んでいる面はあるかもしれない」
不正取引の被害者に対する補償
5月に入り証券各社は不正取引の被害者に対し一定の補償を行う方針を発表したが、当初、各社は補償には慎重な姿勢をみせていた。金融商品取引法では、証券会社などの金融商品取引業者が顧客の損失を補てんする行為は禁止されていることなどが背景にある。たとえば楽天証券は「総合証券取引約款」の「免責事項 第52条」で、以下の事由により顧客に発生した損失・費用については、その責を負わないとしていた。 「お客様ご自身が入力したか否かにかかわらず、第11条に規定するお客様の認証コード、ワンタイムパスワード、追加認証コード、お問い合わせ番号の一致により当社が本人認証を行い取引注文の申込みを受け付け、当社が受託した上で取引が行われた場合」 「お客様の認証コード等の本人認証のための情報または取引情報等が漏洩し、盗用されたことにより生じた損害につき、当社の故意または重大な過失に起因するものでない場合」
だが、被害の拡大を受けて日本証券業協会は、各社の約款などに関係なく1月以降に発生した不正アクセスによる被害について一定の補償を行う方針で大手10社が合意したと発表した。楽天証券も以下方針を発表した。 「今般のフィッシング詐欺等による不正アクセスにより、第三者がお客様の資産を利用して、有価証券等の売買等を行ったことにより発生した損失について、従前の約款等の定めに関わらず、お客様個別の状況に応じて、一定の被害補償を行う方針です」 「なお、不正取引被害のお申し出を頂戴しているお客様に加え、当社で確認した不正が疑われる取引についても、対象のお客様へのご連絡を予定しております」
(文=BUSINESS JOURNAL編集部)
