クレジットカード使用時にサインすることで認証する方法が、2025年3月いっぱいで廃止されました。4月からはPIN(4桁の暗証番号)の入力が必須となり、戸惑った人も少なくないのではないでしょうか。背景にはクレジットカードの不正利用による被害の急増があり、業界団体が他人による「なりすまし」の防止に躍起になっているのです。また、証券口座への不正アクセスにより株式が勝手に売買される被害も、複数の証券会社で最近確認されました。本記事ではこれらの事象から、厳密な本人確認が求められる様々な場面での最適解について考えてみます。目次「PINバイパス」2025年3月末で廃止店頭でクレジットカードを使って支払いをする際、サインによる本人認証が2025年4月から廃止されました。ただ、同じクレジット払いでも、スマートフォンを使ったタッチ決済など、もともと暗証番号を求められない買い物には影響はありません。なぜサインは廃止されたのでしょうか。そもそも、サインで「本人確認」を行う方法は、暗証番号を忘れてしまった場合の一時的な措置として認められていました。店舗では決済端末にカードを差し込み、暗証番号を入力して決済するのが原則なのです。サインが「PINバイパス」と呼ばれていた所以です。そうした中、カード決済の業界団体である日本クレジット協会(JCA)が2025年3月末でPINバイパスを廃止することを決めたのでした。理由は次のとおりです。国際ブランドでは既に、サインの取得は本人確認としての有効性が認められておらず、加盟店の業務上の必要性に応じて任意に実施するものとされている紛失・盗難カードによる不正利用の防止の観点で、サインの取得は本人確認効果を有さない・参考:https://www.j-credit.or.jp/security/pdf/Creditcardsecurityguidelines6.0revisionpoint.pdf(P.18)つまり、サインでは本人確認をしたことにならないという実情を、日本でもようやく官民が認めたわけです。実際、クレジットカードの不正利⽤の被害額は2021年以降、過去最高を毎年更新していて、2024年の被害額は前年比2.6%増の555億円に上ります。ただし、PINバイパスを廃止したからといって、不正利用に大きな歯止めがかかるわけではありません。それは、日本クレジット協会の統計を見れば明らかです。・参考:https://www.j-credit.or.jp/download/news20250307_a1.pdfどういうことかというと、PINバイパスが悪用される盗難・偽造カードによる被害は5.9億円にすぎず、「カード番号の盗用」が513.5億円と被害全体の92.5%を占めているのです。この番号盗用による不正利用はECサイトで多発しています。フィッシングサイト等でカード名義や番号、セキュリティコードを抜き取り、それらを悪用してECサイトで買い物をする手口が典型例です。このため、ワンタイムパスワードや生体認証(スマートフォンでの顔認証や指紋認証など)といった本人確認方法が普及し始めています。ただ、そうした対策が為されていてもなお年間500億円を超える被害が生じている事実は、非常に重いのではないでしょうか。証券口座乗っ取りはなぜ起きた!?クレジットカード決済のサイン認証が廃止された直後に、証券口座に関しても驚きのニュースが飛び込んできました。・NHK:証券会社口座 不正アクセス被害相次ぐ フィッシング詐欺に注意(2025/4/6)・Bloomberg:野村証やSMBC日興などでも不正取引、顧客口座の乗っ取り被害拡大(2025/4/5)・読売新聞オンライン:証券口座の乗っ取り被害、各社で…楽天証券は中国株式582銘柄の買い注文を一時停止(2025/4/5)マスメディア各社が報じているように、楽天証券や野村証券など5社で顧客の証券⼝座が乗っ取られ、株式を勝⼿に売買される被害が確認されました。大手証券における顧客口座への不正アクセスだけでもショッキングですが、口座の持ち主が意図し得ない株の売買により株価が操作された疑いも出ていて、公正な証券市場を毀損する行為として許容しがたい事態と言えます(相場操縦に該当すれば金融商品取引法違反となります)。口座乗っ取りの構図はこうです。証券会社になりすましたメールで利用者を偽サイト(フィッシングサイト)に誘導偽サイトで利用者にIDやパスワードなどを入力させる(フィッシング詐欺)詐取したIDやパスワードで口座に勝手にログインし株を売買この事案では、NHKが被害者2名に取材していて、高度化した犯罪グループの手口と切実な声が伝えられています。一部引用します。富山県の50代の男性は、ことし2月に、楽天証券の口座に不正アクセスされ、ひも付けている銀行口座から、中国株が1500万円以上、購入されていたということです。数十回以上にわたって身に覚えのない株の売買が繰り返され、200万円以上の損失が出たといいます。男性は「10年ほど利用していますが、こうしたトラブルは一切なかったですし、怪しいメールなどは基本的に全部捨てるようにしてたので、自分の知らないところで勝手に取り引きされてることに驚いています。こんな状況では、安心して取り引きすることができないです」と話していました。取材に応じた2人の被害者は、いずれもフィッシング詐欺には注意していたと話していて、送られてきたメールのリンクをクリックして、パスワードなどの情報を入力した覚えはないということです。(https://www3.nhk.or.jp/news/html/20250406/k10014771571000.html)なお、被害者は証券会社側から情報が漏洩したわけではないことを理由に、被害の補償はできない旨を証券会社から伝えられているそうです。こうした被害を受け、日本証券業協会は証券各社に対し、必要なセキュリティ対策の実施や顧客への注意喚起などを呼びかけるとともに、投資家に対してワンタイムパスワード等の使用による二要素認証やセキュリティソフトのアップデートの徹底、公共Wi-Fiの留意点などを改めて周知しました。・参考:https://www.jsda.or.jp/about/hatten/inv_alerts/alearts04/index.htmlJPKIによる本人確認が最適解不正アクセスを未然防止するには、前章で触れたような二要素認証が一定の効果を発揮します。IDやパスワードが漏洩してしまったとしても、生体認証や、本人のデバイスに通知されることになっているワンタイムパスワードの設定により口座乗っ取りのリスクは減らせるからです。とはいえ、株式の取引では、相場に沿った瞬時の判断が求められ、二要素認証が即断即決の足枷になる場面が少なくないのも事実です。日経新聞電子版が2025年4月5日に配信した記事(「証券口座5社乗っ取り、ハッカー暗躍 国内株の相場操る」)は、次のような提言で結ばれています。証券取引は相場の流れに沿って瞬時の判断が求められる場面もあり、認証の手間を嫌う投資家も少なくない。証券各社は二要素認証などを強制導入した場合、苦情や顧客離れを懸念する。口座を乗っ取られる被害が減らない場合、日本証券業協会などを中心に業界で統一した対応方針をつくることも選択肢となる。顧客である個人投資家の利便性を損なうことなく、不正が困難な本人認証を行うことはトレードオフの関係にあります。この二律背反を解決できる解が一つだけあります。それが、マイナンバーカードを用いた公的個人認証サービス(JPKI)*なのです。*公的個人認証サービス(JPKI = Japanese Public Key Infrastructure):マイナンバーカードのICチップに搭載された電子証明書を利用し、オンラインで利用者本人の認証や契約書等の文書が改ざんされていないことの確認を公的に認証する仕組みのことです。安全・確実かつ厳格な本人確認が手軽にできる点が特長です。JPKIがトレードオフを解決できる理由は以下の2点です。UI・UXが優れている他人によるなりすましがほぼ不可能まず(1)です。JPKIによる本人確認は「スマホJPKI」という仕組みを利用すると暗証番号の入力または生体認証だけで完結します。スマホJPKIとは、スマートフォンに搭載されるスマホ用署名用電子証明書とスマホ用利用者証明用電子証明書を利用し、マイナンバーカードが手元にないときでも公的個人認証サービス(JPKI)を利用できるサービスです。マイナポータルアプリを起動して暗証番号を入力するだけ(または生体認証をするだけ)でJPKIによる認証が完結します。ただし、事業者側(この場合は証券会社)がスマホアプリやWebサービス(Webサイト)をスマホJPKIに対応させていることが前提となります。・参考:https://pocketsign.co.jp/news/61次に肝心の(2)です。マイナンバーカードのICチップには、オンラインで本人確認をするための様々なアプリケーション機能(AP)が埋め込まれています。その中で公的個人認証AP(JPKI-AP)を活用することで、利用者が本人であることの確認・認証や契約書等の文書が改ざんされていないことの確認を公的に保証します(下図)。このICチップは、耐タンパー性**を備えているため、偽造や変造はほぼ不可能となっているのです。**耐タンパー性:ICチップ自身が備える偽造・不正防止策のこと。例えば無理に情報を読み取ろうとすると、ICチップのメモリの内容が消去されるといった対策がある(公的個人認証サービス利用のための民間事業者向けガイドライン(第1.4版)より)なお、マイナンバーカードのICチップの堅牢性については、2024年10月15日公開の別記事「公的個人認証サービス(JPKI)を支える技術『デジタル署名』と『公開鍵基盤』を徹底解説」で詳しく解説しています。犯罪収益移転防止法(犯収法)により、証券口座をオンラインで新規開設する際の本人確認は2027年4月から、原則としてJPKI(ワ方式)またはICチップの読み取りのみが認められるようになります(本人確認書類の画像送信は、住民基本台帳法の適用を受けない者や国外転出者を除いて廃止)。これに加え、二要素認証においてもJPKIの導入が進めば、この上ない不正アクセス・乗っ取り対策になるでしょう。「ワ方式」はPocketSign Verifyとはいえ、証券会社をはじめとする事業者にとっては、自社のスマホアプリやWebサイトをJPKI(公的個人認証)に対応させるには相応の手間とコストがかかります。なおかつ技術面の高度さから自社で対処しようとすれば多大な開発リソースとリードタイムも要します。そこで、容易かつ迅速にJPKIを導入できるようにするのが、当社ポケットサインのAPIサービス「PocketSign Verify(ポケットサイン・ベリファイ)」です。PocketSign Verifyは、事業者がJPKIを様々なアプリに組み込むためのAPIサービスです。開発者向けプラットフォーム「PocketSign Platform(ポケットサイン・プラットフォーム)」を通して、各事業者がそれぞれの自社アプリでJPKIを導入できるようになります。なおかつ、PocketSign Verifyと当社のスマホアプリ「ポケットサイン」はマイナンバーカードを使わずにスマートフォンのみでJPKIを利用できる「スマホJPKI」への対応を完了しています。このため、証券会社がPocketSign Verifyを導入し、顧客(投資家)がポケットサインをスマホにインストールしていると、マイナンバーカードなしでJPKIを利用できます。▼PocketSign Verifyの詳細はこちらhttps://pocketsign.co.jp/service/pocketsignplatform#verifyまた、PocketSign Verifyには、Webサービス(Webサイト)にJPKI(公的個人認証)の機能を組み込むための「PocketSign Stamp(ポケットサイン・スタンプ)」というソリューションも用意しています。PocketSign Stampはエンドユーザー(利用者)のための完全なUIを有しているので、自社アプリを持たず、Webサイトでサービスを提供している事業者はPocketSign Stampを活用することで、シームレスにJPKIを導入できます。▼PocketSign Stampの詳細はこちらhttps://pocketsign.co.jp/service/pocketsignplatform#stampなお、こうしたJPKIを他者に提供するには、公的個人認証法に基づき主務大臣の認定を受けて「プラットフォーム事業者」になる必要があります。当社は2023年3月に民間事業者としては16 社目となるプラットフォーム事業者認定を取得しています。「ヘ方式」もPocketSign VerifyJPKI(公的個人認証サービス)は第3章でみた通り、犯収法の「ワ方式」に合致した方法です。一方で、犯収法の「ヘ方式」は2027年4月以降も対面(オフライン)での本人確認の手法として認められます。ヘ方式は、運転免許証などのICチップの読み取りと利用者の容貌画像(顔の自撮り写真等)を組み合わせた方法で、JPKI(公的個人認証)に次ぐセキュリティの高さとされています。2027年以降も、マイナンバーカードは保有していないものの運転免許証は所持しているという人たちは一定の割合で存在するとみられます。当社のPocketSign Verifyは今後、この「ヘ方式」にも対応する予定で開発を進めています。ワ方式とヘ方式の両方に対応することで、さまざまな事業者の幅広いニーズに応え、本人確認における「信用の摩擦」を無くすべく社会経済に貢献していきます。マイナンバーカードのご活用に関する事柄は、ぜひ実績豊富な当社にご相談ください。▼問い合わせはこちらからhttps://pocketsign.co.jp/contact▼ポケットサインについてはこちらhttps://pocketsign.co.jp/