そろそろ国は2段階認証の基準や手順などを明快に示すべきではないか?
今回の7pay問題でそう言う思いを強くした。

 経産省や決済事業者などで構成されるキャッシュレス推進協議会は4月に不正利用を防ぐためにガイドラインを策定したというが、一般市民には何も伝わっていない。なぜもっと利用者目線での分かりやすさと利便性を追求しないのか? 

7Payのセキュリティーの甘さが問題になったが、そもそも2段階認証をよく理解できていない人も多い。

 その名の通り2段階で認証するのだが。2番目の段階にはやり方がいくつかあり利用者にとっては分かりづらい所だ。

2段階認証とは

通常アカウントは
ID+パスワードで構成
それを

ID+パスワード+デバイスの登録
にすること。

(ID=メールアドレスという場合が多い。)

 登録されたデバイスかどうかを証明するためにデバイスのSMS(ショートメッセージ)に送られた番号を入力してもらう手順が必要となる。
2段階認証の番号はSMSで送る場合の他、音声で通知する方法、専用のアプリを入れて通知する方法などがある。

※デバイスとはスマートフォンやパソコン、タブレットのこと
端末という場合もあり。端末とデバイスは同じ意味。

しかし、2段階認証に違う方法、手順を採用しているところもあって

ID+パスワード+他のメールアドレス可能
ID+パスワード+家の固定電話にコード番号を音声で通知可能

としている場合もあり

金融機関、カード会社、保険、証券、ショッピングサイトなどでそれぞれ違う方法を採用している。

 更に言うと2段階認証は多要素認証の一種ということになるが。

別の認証方法として、金融機関の多くはトークンという常に変化数数字(乱数)を発する装置を配布してネット決済の場合にはそれの入力を求めることが多い。

 ショッピングサイトに登録していたキャッシュカードを不正利用されるケースもよくあるらしい。やはり2段階認証は必要と感じながらも。

    • 2段階認証設定は分かりづらいし面倒
    • SMSが上手く受信できない
    • そもそもメールとSMSの違いが分からない。
    • アプリにどう設定したか覚えていない。
    • 間違って削除した。
    • スマートフォンを変えたらわからなくなった。

という声は多い。

 今回の問題は、キャッシュレス推進の立場をとる国の政策に問題を投げかけたと言える。

 増税、軽減税率、ポイント還元、などというが2段階認証が一般的スタンダードになりつつある中、この辺をすっきりさせて利用者目線の改革をしないと、キャッシュレス化はすすまないのではないか?

 手順も基準もバラバラで2段階認証もやるもやらないも自由という現状ではないか?

 国はもっと分かりやすい2段階認証ガイドラインを示し、各キャリア(携帯電話会社)や業界はそれに即した対応をすべきだ。