ゆうちょ認証アプリの登録に本人確認

ニュースで知ったんだけど、来年早々にゆうちょ銀行のインターネットサービスがいろいろ変わるそう。

「ゆうちょ通帳アプリ」等の機能追加等について~アプリで投資信託のお取引やご送金が可能に~ (ゆうちょ銀行)

ゆうちょ通帳アプリで投資信託・担保低規定額預金の取引や送金(来年3月頃から)ができるようになり、

他行でいうところの銀行アプリとしての機能を完全に持つことになるようである。

ゆうちょ認証アプリは本人確認が導入され、初回登録方法が変更になるそう。

そして、E-mailによるワンタイムパスワード発行は、新規登録は来年1月、既存登録者は2023年5月頃までに廃止になる。

ゆうちょ認証アプリ または ハードウェアトークン を導入しなければゆうちょダイレクトでの送金ができなくなる。


現在のゆうちょ認証アプリの登録手順は意外とシンプルである。

利用者番号・パスワードで認証した後、電話番号認証を行えばそれで終わりである。

これは端末変更時でもそうで、新しい端末で上記の認証を済ませればそれで終わり。

他の銀行だと手順を間違えるととても手間がかかって大変ということがあるが、そういうことはない。

ただ、パスワードと電話番号認証を突破できれば、それだけで登録できるのは雑ではないかと。

そのため登録時に本人確認を行うこととして、

その一方でゆうちょダイレクトのログイン情報だけでなく、記号番号・氏名・生年月日・暗証番号で口座情報を確認できるようになる。

これはゆうちょ通帳アプリではゆうちょダイレクト登録がない人も使えることと関係しているのだと思う。

これ、認証アプリ使う人は実質的にゆうちょダイレクトのパスワードは使う必要が無いってことかな。

(認証アプリを使わないログイン時に使うが、パスワードログインだと送金などできない)


認証アプリ登録時に本人確認は煩わしいなと思ったが、説明を読むとこう書いてある。

KYC では、本人確認書類に登録されている IC 情報を読み取り、登録されているお客さまの情報と登録時に撮影いただく顔の情報、銀行に届け出いただいている情報を照合することで、お客さまにより強固なセキュリティをご提供することを目指します。

ってことはNFC対応であることが前提ですか? まぁ対応してれば写真撮影より楽だが。

あと、本人確認をスキップして電話番号認証だけでの登録も可能らしい。

ただし、この場合は登録してから送金できるまで24時間待ち(今の認証アプリもその条件)で、

1日の送金限度額は5万円までに制限される。逆に言えば5万円までは暗証番号と電話番号認証だけでいいのか。

どちらかというと本人確認できれば24時間待ちがなくなるというのが重要なんですかね。


ゆうちょ認証アプリは一定期間利用が無いと勝手にリセットされるという仕様があり、

これにひっかかってしまうとそのたび再登録が必要になるという大きな問題がある。

僕は一度やらかしてからは用がなくても時々ログインしてる。それで防げるはず。

これはゆうちょ認証アプリ特有だが、銀行の生体認証・ワンタイムパスワード発行するアプリに共通して言えるのは、

端末を変更するときには再登録手続きを行わなければならないことは共通している。

その手順は銀行によりけっこう異なる。


ゆうちょ銀行(現在)・三菱UFJ銀行・三井住友銀行・りそな銀行はいずれも電話番号認証で初期設定を行う。

このため登録している電話番号さえ使えれば、新しい端末だけで再登録ができる。

来年1月以降のゆうちょ銀行はこれ+本人確認、いずれにせよ新しい端末だけでOK。

ちなみにこの4行はいずれもハードウェアトークンとの選択制だが、

ゆうちょ銀行だけはハードウェアトークンの発行が有料(1650円)である。

今回、メールでのワンタイムパスワードを廃止するにあたって、来年1月~2023年5月の新規発行に限っては半額になるそう。

アプリを推奨するが、一応ハードウェアトークンも可能ということである。


みずほ銀行はアプリでのワンタイムパスワードの初回登録には郵便を受け取る必要がある。

初回登録は第2暗証番号だけあればよいが、再登録は今のワンタイムパスワードが必要である。

もしも従来の端末でワンタイムパスワードを取得できないと、窓口での手続きが必要になる。

ただでさえ再登録には郵送で登録用の情報を受け取るまでのタイムラグがあるのにと。

僕は今はハードウェアトークンを使っているが、新規発行は停止している。

このため、今のトークンが電池切れになったらアプリへの変更を強いられるのだが、やだなぁ。

これも電池が完全に切れてワンタイムパスワードが出せなくなると窓口へ行かないといけない。


最後に住信SBIネット銀行、これはアプリの機能としてスマート認証NEOが付帯されている。

これについては、端末変更前にスマート認証NEOを無効化して、新端末でスマート認証NEOの初期登録をするのが原則。

スマート認証NEOが無効の状態から登録するときには、乱数表と電話番号認証による。

では、スマート認証NEOを解除しないまま、従来の端末が使えなくなったときはどうするか?

生年月日・乱数表、電話またはメールアドレスでの認証を行うと解除できるという。

というわけで、できれば従来の端末で手続きをするべきだが、出来ない場合も即時対応できる。


このあたりは認証器というものをどこまで厳格に考えるかというところでもある。

みずほ銀行の対応はかなり厳格であり、認証器を紛失した場合は対面での本人確認を要し、

また郵送を介することで、登録に必要な情報が本人以外が受け取る可能性を減らそうとしている。

しかし、これは明らかに利便性に問題がある。

電話番号認証だけならば簡単だが、何らかの形で本人以外が認証を通せてしまう可能性がある。

住信SBIネット銀行はスマート認証NEOの登録・解除(端末紛失時)に乱数表を併用して、

スマートフォン・電話以外の物を使った認証手段を併用し、強固にしようとしている。

ゆうちょ銀行はここで本人確認を行うというアプローチを取ったわけですね。


あと、ゆうちょ銀行が本人確認を行う理由としては電話番号変更手続きとも関係するのではないか。

多くの銀行で電話番号認証を使っているということは、登録されている電話番号が使えないと困るわけである。

ゆうちょ銀行はわりと最近まで窓口じゃ無いと登録情報の変更ができなかったので大変だった。

今は電話番号の変更はATMでできるようになっている。(いつからできるようになったんだろ?)

キャッシュカードと暗証番号が必要であるが、電話番号が違って詰むことは減った。

しかし、そうして容易に変更されてしまっては電話番号認証というのは弱い認証手段である。

そこで本人確認を併用するべきとなったのではないだろうかと。


この辺は一長一短あると思うのだが、確かにゆうちょ銀行の対応はもっともだなと思う。

あとはこれで運用上の不便が起きないかですね。NFC非対応端末だとどうかとか。

調べてみると、顔認証(画面ロックの指紋・顔認証が使えない場合のものだろう)が厳しいとか、

長期間未使用だと自動的に無効化することとか、登録後24時間使えないこととか、

いろいろな不満が見つかり、これが来年1月以降、改善される部分とそうでない部分があり、

また新しい方式になることで煩雑になる部分もあるので、これはフタを開けてみないとわからない。