現在の銀行口座管理は不完全

　2020年8月、「ドコモ口座事件」と呼ばれる資金流出事件が起きた。

　この事件に関しては、ドコモ口座の開設手続きが甘すぎたことが批判された。たしかに、それは問題だ。

　だが、銀行口座から不正に引き出せたことも大きな問題だと思う。

　この事件では、犯人は、まずフィッシング詐欺でパスワードを入手した。次に、このパスワードを固定して口座番号の総あたり攻撃をすることによって、正しい組み合わせを見いだしたと考えられる（これは、「リバースブルートフォース攻撃」と呼ばれるものだ）。

　現在のようなIDとパスワードの組み合わせによる口座管理は、この方法で破られることが分かった。それに対応するため、ワンタイムパスワードなどが導入されているが、イタチゴッコになる可能性が強い。

北欧諸国では安全で使いやすい仕組み

　北欧諸国では、IDとパスワードの組みあわせよりは進んだ仕組みが導入されている。

　スウェーデンの仕組みは、個人識別番号（PIN：日本の「マイナンバー」に相当する）と、BankID（日本の「マイナンバーカード」に相当する）を組み合わせたものだ。

　PINは、国税庁が全市民に付番する。個人の本人確認やさまざまな情報の管理に使われている。BankIDは、PINと氏名、電子証明書（認証用・署名用）を統合したものだ。

　BankIDは、パスポート、運転免許証などに匹敵する電子身分証明書だ。2005年に、インターネットバンキングにアクセスする際の共通のデジタルIDとしての利用が開始された。2012年にはモバイルP2P決済サービス「スウィッシュ（Swish）」の認証手段にBankIDが使われ、一気に利用が広がった。

　送金したい相手の携帯電話番号を入力し、BankIDで本人認証することによって、瞬時に相手方の銀行口座に送金できる。

　なお、デンマークにも似た仕組みがある。

電子署名と電子認証による口座管理

　上記のシステムは、電子署名と電子認証を用いるものだ。

　このうち「電子署名」は、公開鍵暗号技術の応用の1つと言える。個人Aは、ペアになった公開鍵と秘密鍵を持つ。公開鍵は公開され、誰でも知ることができる。Bが、A名義の暗号メッセージをAの公開鍵を用いて解読できれば、そのメッセージはAの秘密鍵で暗号化されたものであることが分る。したがって、Aが送ったメッセージだと確認できる。

　問題は、「Aの公開鍵」の所有者が、本当にAかどうかの証明だ。このため、Aが自分の公開鍵を、信頼できる機関に預け、その機関が証明を与える。これを「電子認証」という。電子認証を行う機関を「認証機関（認証局）」という。

日本でマイナンバーカードを銀行口座管理に使えるか？

　電子署名と電子認証を行うシステムとして、日本にはマイナンバーカードがある。現在の仕組みに変えて、北欧諸国と同じように、銀行ログインはマイナンバーカードだけで行なう方式にすることが、技術的には可能だ（なお、日本でも、口座開設の際にマイナンバーカードで本人確認を行うことは、今でも可能）。

　日本では、マイナンバーをすべての銀行口座に紐づけすることはできない。なぜなら、マイナンバーの利用範囲は社会保障、税、災害対策に限定されているからだ。

　もちろん、法律を改定すれば、マイナンバーの利用範囲を広げることができるが、それに対しては、強い反対があるだろう。そうすると、銀行の口座はマイナンバーに紐付けられることになり、税務調査が容易になるからだ。

　税務署は、現在でも職権によって口座の内容を調べることができる。ただし、「どの口座を調べるか」という問題がある。ところが、銀行口座がマイナンバーに紐付けられていれば、名寄せができる。だから、どの口座を調べたらよいかが分かる。

　なお同じことは、すべての銀行口座についてマイナンバーの紐付けを義務付ければ生じる。その提案はなされているが、反対が強いため、現在では任意だ。

【次ページ】国民コントロールの手段に用いられる危険