ゆうちょ銀行は1月8日、キャッシュレス決済サービスに関する一連の不正送金を受けて停止していた「即時振替サービス」を再開すると発表した。また、同じく不正送金が発覚したVISAデビット・プリペイドカード「mijica」についても、新ブランドのデビットサービスに移行後、提供を終了するとしている。
即時振替サービスは、収納機関のウェブサイトなどで自身の口座情報を事前に登録しておくことで、決済時に口座情報を入力することなく、収納機関口座にチャージできるもので、キャッシュレス決済サービスでのチャージ手段として用いられている。しかし、「ドコモ口座」を発端とした即時振替サービスによる不正引き出しの実態が判明。2020年9月から一部の決済事業者に対し、「口座登録」と「振替」機能を停止している。
同行では、不正引き出しの発覚にともない、「セキュリティ総点検タスクフォース」を設置。2020年11月に点検結果を公表している。その後、タスクフォースの必須項目やセキュリティ強化策、全銀協ガイドライン、日本資金決済業協会ガイドラインへの対応を完了しており、各決済事業者と再開時期などについて検討してきたという。
まずは、両ガイドラインが求める対応を完了させた決済事業者からサービスを再開。1月13日9時より、メルペイとLINE Payにおいて口座からのチャージなど、即時振替サービスが利用できるようになった(『eKYC』による本人確認が必須)。PayPay、NTTドコモ、PayPal、ゆめカード、ウェルネット、Kyash、楽天Edy、ビリングシステムについては、順次ウェブサイトで再開時期を告知するとしている。
送金機能「おくって mijica」を使った不正送金が発覚したmijicaは、2020年9月に送金機能の取り扱いを停止。タスクフォースによる総点検により、ウェブサイトへの不正アクセスが確認されたため、10月にmijicaウェブサイトと新規申し込みを停止している。
mijicaへの対応については、「スコープを今後のサービス戦略にまで広げ、当行のビジネス方針としての対応を早急に整理する」としていたものの、2022年春にmijicaから新しいブランドのデビットカードへの移行を発表。新ブランドでのカードが発行され次第、mijicaは終了するという。なお、セキュリティの問題がないと確認された機能については、2022年夏ごろまで利用できるほか、会員ウェブサイトでの利用履歴閲欄機能も再開を検討する。
セキュリティ検証態勢については、2線部署(管理部門)の牽制機能強化のため、新商品やサービス導入時の審査基準を明確化。営業・事務系の新商品やサービスを審議する会議体を新設し、継続的なリスク評価・管理態勢、不正利用発生などに備えた態勢を整備する。さらに、提携事業者との連携や、商品・サービスのリスク関連情報の社内共有を強化。サイバーセキュリティ人員の増強や、外部専門家の活用も進める。
そのほか、新商品やサービス導入において、期中リスク評価時のセキュリティ検証に経営陣の関与を強化。評価については、リスク管理部門担当執行役およびシステム部門担当執行役が「重点点検システム」を定期的に選定。2線部署による評価結果を経営陣が検証する。また、経営陣が不正利用発生時に適切な情報開示ができるよう、提携先との連携態勢を強化するとともに、不正利用発生時の社内対応フローを規程化するとしている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」