”FinTech系スマホアプリの危険性と金融API公開の意義をIBMが解説 金融とテクノロジーの融合によるFinTechの波が生まれ、日本でもベンチャーの動きが活発だ。中でも、スマートフォンで個人の金融資産状況を管理するPFM(パーソナル・ファイナンス・マネジメント)や家計簿アプリなどは、かなり便利で個人にも浸透してきている。今回の金融APIの公開を意図した法整備は、こうしたベンチャーを後押しし、イノベーションを促進する動きとも言える。 しかし、現在浸透しているPFMや家計簿などのお金を管理するアプリには「安全性」の面では課題がある。そうしたアプリのほとんどは、「スクリーンスクレイビング」という方法で実現されているからだ、と三澤氏は指摘する。スクレイビングは、プログラミングとしては比較的単純な方法で、外部のWebサイトにアクセスし、自動的にデータを抽出するというもの。PFMのアプリでは登録した後に、銀行や証券などの口座へユーザーのIDとパスワードでアクセスし、口座残高や入出金情報を取得する。ここでの問題は、個人の金融機関のID/パスワードを、アプリを提供する企業が預かることだ。” EZ Press https://enterprisezine.jp/article/detail/9498
個人向けの資産管理アプリは、個人に発行されたIDとPWを預かって、個人の代わりに認証を行い、 資産情報を取得するサービスについての危険性がある。 ID/PWを渡すことでオンラインでは本人そのものとして扱われる。 資産管理の情報を見るだけではなく、引き下ろしも貯金の移動もできる。 当然にアプリの事業者がそれらの行為を行なった場合は、 本人が銀行口座を確認することができる。 アプリの運営をある時まで誠実に実行していて、ある日に突然会員の口座の預貯金を スイス銀行に送金する。そして、不正が発覚した時には、運営会社には誰もいない。 ということも可能だ。 もしくは、ID/PWを販売して、犯罪者集団が口座の引き落としを実行することもできる。 データは、複製されてもコピー数に制限はないし、劣化しないので不正売買は可能だ。 アプリの運営会社がアプリサービスを終了する際に登録していたデータを消去したことに してそれらのデータを第三者に販売することも違法であるが可能だ。 (記事時点でそのような事件は起こっていません。)
アプリにID/PWを登録して、資産をあなたの代わりにアプリ事業者に見てもらうのは、 裏切られた場合の代償が大きい。 不正アクセス禁止法が改正されて、不正にPWを取得することも犯罪となった。 しかし、ユーザーがサービスの利用に同意して渡しているので、アプリ運営事業者が 盗んだわけではないので、悪用された際に不正アクセス禁止法は利用できない。 スキミングの被害防止のために預金者保護法があるが、オンラインバンキングのID/PWを 利用した不正送金などは対象外である。
もしも、あなたがアプリにID/PWを登録し、ある時に口座の預貯金が全て移されてしまった ことが発生した場合に失った資産を取り戻すことができるのだろうか。 アプリ事業者がトンズラしてしまった場合は、犯人逮捕も難しい。そして、被害金額は 犯罪者が使ってしまったり、隠されてしまうと回収も難しい。 つまり被害を受けた場合には、社会的な救済は想像以上に薄い。 あなたの命の次に大事な銀行預貯金を引き出せる鍵であるID/PWを預けることの危険性は、悪用された時の救われなさだ。
貯金や支出をアプリのグラフでカッコよく管理できるメリットの裏にとてつもなく大きなリスクがあったりする。 広告やマーケティングではあなたにとって良い事だけしか見せない。世の中のユーザーの母数が大きいためリスクの認識が あまりない人も相当数存在するので、他の人が利用しているから安全とも限らない。 ID/PWは、脆弱な仕組みであるため他の技術の利用も検討されている。 知られたらアウトですが、情報は必ずどこかで漏れると考えられるので、 しつこくPWの変更を求められるのです。 ID/PWを各サービスごとに変えると流出ID/PWによる不正アクセスの被害を少なくすることができます。 オンラインサービスであなたの身を守るのはあなた