4つのトレンドで振り返る2020年の「モバイル決済」--モバイルPASMOやドコモ口座 - (page 2)

3. モバイルPASMO登場、そしてMaaSへ

　モバイルシフトといえば、忘れてはいけないのは今年3月の「モバイルPASMO」の登場だ。噂は長らく出ていたものの、数年越しでようやくの登場となる。3月にリリースされたのがAndroid版で、10月にリリースされたのがiPhone版だ。定期利用など首都圏でSuicaが利用しにくいPASMO圏沿線ユーザーが完全モバイルに移行できる点で大きなメリットあるものだが、今さら感が強いという意見もあった。この詳しい背景については以前のレポートを参考にしてほしいが、交通系ICカードとしてすでに20年選手に突入しつつあるSuicaの仕組みが次のトレンドシフトを目前にした段階で、沿線ユーザーの利便性を高めつつ“現在の形で”実装を行うのはこのタイミングしかなかった、あるいは最後のチャンスだったのではないかと考えている。とりあえずは、寄り合い所帯であるPASMO協議会の意見をまとめて導入を推進したある1社の英断を称えたい。

モバイルPASMO発表会にて、実際にiPhoneを使った乗車デモを披露

　さて、モバイルPASMOは交通系ICのモバイル対応における大きなマイルストーンだが、次の方向性はすでに見えつつある。キーワードは「乗車券のID化」「MaaS」であり、先日発表された「モバイルICOCA」はこの2つのトレンドをにらんで実装が行われるものだ。既報の通り、「モバイルICOCA」はあくまで仮称であり、サービスそのものは2023年春をめどに提供される。

　3年近く先の話題が先行発表された形だが、同プロジェクトを推進する西日本旅客鉄道（JR西日本）によれば、同日に発表された組織改編における「デジタルソリューション本部」設立に合わせて打たれたプレスリリースであり、プロジェクトはこの発表のちょうど1年前にあたる2019年10月にJR西日本を含む関西鉄道7社によって開始されたMaaS共同研究会に紐付く話題だという。つまり「モバイルICOCA」の名称を冠して交通系ICである「ICOCA」をモバイルで実装するものの、その主軸は単なるICカードのモバイル対応だけでなく、この料金徴収システムを使っての「（関西）域内MaaS」のアプリ対応にある。

これは単なるICOCAカードだが、これがどのようにMaaSアプリとしてスマートフォン上で昇華されていくのか]

　現在各社がMaaSアプリを次々とリリースし、どのような形でのMaaSを提供するか最適化を研究している。MaaSにおいて重要なのは、スムーズな移動体験と一貫した支払いシステムだ。現在のところ交通機関によって支払い手段はまちまちであり、このあたりの一貫性のなさが国内外の旅行者によっては不便さを感じる原因となる。ICOCAのモバイル対応で単一アプリ上ですべての交通機関への支払いやゲート通過を処理できればそれはそれで便利だが、将来的には大阪メトロでも実験が進められているように「顔認証ゲート」や「QRコード改札」で、ICカードなしでのフリーパス乗車が実現する可能性がある。大阪では2025年に万博開催を控えており、こうした巨大イベントにおいて最新のMaaSによる交通システムをアピールする狙いがある。2023年春というターゲットも、この大阪万博に先駆けてのリリースを目指したものと考えられる。

　筆者の意見では、このMaaS時代の交通システムで鍵を握るのは「ID」だと考える。現在のSuicaなどの交通系ICカードのように「Value（残高）」を持たせて逐次ローカル処理するのではなく、単一のIDをそれぞれの個人（顔などの生体情報）やICカード（モバイル端末なども含む）に持たせ、その動きを追跡することで乗り物の利用やゲートの出入場を管理し、後で請求する仕組みだ。

　実は昨今話題になっている「QRコード乗車券」はこの「ID」の仕組みを利用しており、仮にQRコードをコピーしたとしてもIDそのものを追跡すれば単一QRコードの複数使用といった“キセル”的な行動を簡単に阻止できる。それにはネットワーク上でIDをリアルタイム追跡できる仕組みが必要となるが、そういった巨大な高速ネットワークシステムを構築できるだけの技術はSuica登場の2000年当時にはなかったものだ。すでにSuica自身が特急券などの一部システムでID化を進めているが、「次世代交通系IC」実現に向けた動きはすでに始まっていると考えられる。

ID乗車の布石となるJR東日本のQRコード改札の実証実験。新宿駅にて

4. 見直されるセキュリティと本人認証

　話題のラストは9月に事件が大きく取り上げられた「ドコモ口座」問題だ。実際にはちょうど1年前にあたる2019年9月にドコモ口座をドコモ回線契約のないユーザーにも広く開放したことが発端であり、その火種はさらに以前にdアカウントをキャリアフリー開放して“本人確認なし”に誰でも登録可能にした点にある。ドコモ口座のキャリアフリー化後、1年をかけて少しずつ不正利用が可能かのテストが悪意ある第三者によって進められ、月あたり30万円の上限のある口座引き出し行為を最大限に利用するため今年8月末から9月初旬までの短期間を利用して一気に引き出しが実行されたことで問題が発覚した。

9月上旬に行われたドコモ口座問題での記者会見の様子

　被害総額はおよそ3000万円で不正引き出しは約130件。その大部分はゆうちょ銀行経由となる。今回の引き出しには「Web口座振替」というインターネット上で銀行が指定する方式で本人確認を行った口座振替要求について、銀行口座からの引き落としを可能にするという仕組みが用いられたが、実際にはドコモ口座以外にも少数ながら同様の不正引き出し被害が発生しており、Web口座振替における本人確認の甘さが問題の1つとして認識された。

　今回不正引き出し被害に遭った銀行口座はゆうちょ銀行をはじめ、地方銀行がいくつか名前を連ねていたが、共通するのは本人確認に用いていたのが口座番号や暗証番号、電話番号の下4桁など、口座番号さえ判明していれば割と類推しやすい情報のみで構成されていた点で共通している。一方で預金通帳の最終記帳残高確認や2段階認証を導入していた銀行では一切被害が出ておらず、銀行間のセキュリティに対する意識の差が浮き彫りになった事件でもあった。

　後に金融庁の指導が入り、Web口座振替を利用して決済などのサービスを提供する資金移動業者には「eKYC」などの本人確認を必須とすることが確認された。もともとのガイドラインでは、Web口座振替による銀行口座との接続では「銀行側で本人確認が終わっている」とされており、その場合はeKYCによる本人確認を行う必要がなかった。

　新しいガイドラインではドコモ口座の問題もあり、すべての事業者がeKYCなどの本人確認がない限りサービス利用を制限する方向へと傾いており、改めてeKYCというキーワードが注目を集めることになった。一方の銀行側もWeb口座振替の本人確認が不十分だという指導が入り、IVRによる音声自動応答など、確認手段の多重化や強化が必須化されるようになる。これは特に地銀など古くからの地元顧客を多数抱える事業者にとって負担が大きいといわれており、2020年は金融サービスとセキュリティに対する意識が改めて確認された年だったといえるだろう。

ゆうちょ銀行が開催した不正引き出し事件の説明記者会見（2回目）

　同時に、意外とインターネット上で本人を確認するための手段が限られているという課題もクローズアップされるようになった。例えばeKYCでは、運転免許証を複数の角度から撮影しつつ（正規の運転免許証であるかを厚みで確認する）、本人が実物であるかどうかを確認するために首を動かす短い動画を撮影して送信しておくことで、eKYCサービスを提供する側が手動で運転免許証と本人写真の一致をチェックしているといった具合だ。

　わざわざ店舗等に出向かずともいいメリットはあるが、正直前時代的だとも思う。現在マイナンバーカードを保険証や運転免許証と合わせてモバイル上で活用していく取り組みが進んでいるが、「インターネット上で本人確認を行うためのサービス」「電子証明書をともなうネット時代の本人確認手段」といった取り組みも2020年は注目を集めた。前者はLINEが独自のID認証サービスを行うことを発表するなど、「ID認証」そのものがネット上のサービスとして成立する可能性を示唆したといえる。