seegeのまとめサイト

もっと早く教えてくれよって思った内容を書いていきたいと思います。

トップ > 日常エッセイ > 本人確認から情報漏洩しそうで怖くなってきた。

本人確認から情報漏洩しそうで怖くなってきた。

日常エッセイ

色々な本人確認

セブンイレブンのセブンペイの不正アクセス問題、NTT docomoのドコモ口座の不正利用依頼、どの会社も「本人確認」に力を入れるようになってきました。

f:id:seege:20210429052016p:plain

多くの場合は、パスワードを入力する前後に登録してあるメールアドレスや携帯電話番号にSMS(ショートメッセージサービス)に番号が送られてきて、その番号を入力すると本人確認ができたということで次のステップに進むことができるようになっています。

最近、驚いたのが以下のような本人確認でした。

f:id:seege:20210429052748p:plain

登録が完了したあとに、本人確認のために「電話をして欲しい」っていうんですね。

電話をするとオペレーターが出るんですが、なぜこちらが電話をしてきたのか、わからないようで、以下の内容を伝えました。

「登録が完了すると、今、かけている番号に電話して欲しいと表示されたので電話しています」

これが、嫌な予感の始まりでした。

電話の要件がわかったようで、名前と携帯電話番号を聞かれたので答えたのですが、それでは終わらないんですよ。

クレジットカード番号、住所、銀行口座番号まで聞かれ、これで終わったのかと思うと次は、そのクレジットカードを直近で利用された場所を教えてくださいっていうんですよ。

これは、辛うじて覚えていたので答えることができました。

ここまで知ってるのは、本人以外には、まずいません。

本人確認としては、もう十分だと思ったのですが何とまだ続きます。

次はその店舗で利用した日時を教えてくださいっていうんですよ。

f:id:seege:20210429053044p:plain

そんな頻繁に使っているわけでは、ありませんし、利用した店舗まで答えれば十分だろうと思っていたので、流石にイラッとして、「日時までは覚えていません!」と強い口調で答えると、それではWebのメンバーサイトにログインして、利用明細を確認してくださいと言われました(笑)

メンバーサイトには登録していないことを伝えると「登録してください」って言うんですね。

それは、流石におかしいと思ったので、オペレーターに以下のように伝えました。

今、電話で伝えた情報があれば本人でなくてもメンバーサイトに登録できますよ?そんなメンバーサイトで利用状況を調べて教えることに何の意味があるんですか?

すると、オペレーターも、なるほどと思ったのでしょうね、オペレーターが見ていると思われる、利用履歴から正解に誘導してくれる感じで色々とヒントを出してくれました。

僕はクレジットカードを使いそうな曜日から日を予測して全部、言いました。

どれかがヒットしたのでしょう、「本人確認ができました」という声が聞こえました(笑)

更に酷い本人確認

登録に利用していたメールアドレスが変わってしまったのでメールアドレスを変更しようとシステムにログインして登録メールアドレスを変更しようとすると、変更前のメールアドレスに確認メールを送信するっていうんですよ。

既にメールアドレスは変わっているので、変更前のメールアドレスにメールを送られても受信できるはずはありません。

携帯会社のキャリアメールだとMNP乗り換えを利用すると利用した瞬間に乗り換え前のメールアドレスは利用できなくなるんです。

夜だったので、営業時間外で電話はできなかったので、アプリの画面から問い合わせを行うと、4日程度経過してから、問い合わせの際に指定したメールアドレスに返信がありました。

WEBからの変更ができない場合は書面でメールアドレスの変更申請を行って頂く必要があります。郵送に際して本人確認が必要になりますので、氏名と電話番号を返信してくださいって書いてあります。

正直、配慮がない仕組みにイライラしていたところに、更にイライラするような内容の返信だったので、アプリにログインして問い合わせしているんですから、本人確認をする意味がありませんよね?アカウント情報に登録してある住所に送ってくれれば、いいのでは?と返信しました。

また、2日ほどして返信がありました。

問い合わせはメールで送られていて、アカウント情報と紐づいていないので本人確認が必要だっていうんです。

どうやら、アプリに表示された問い合わせ画面はアプリから離脱してWEBサイトに接続されてメールで送られる仕組みになっているようです。

f:id:seege:20210429062550p:plain

流石に面倒になってきて、解約したいので解約方法を教えてくださいと返信すると、書面を送付するために本人確認が必要だっていうんです・・・これ、落語のネタ?みたいな感じになってきました。

すると、返信した日に、その会社から1通の封書が届いてました。

なんだかんだ言いながら、本人確認無しでも送ることができるんじゃないか・・・と思いながら、中を開くとアカウント登録情報の変更申請書と返信封筒が入ってました。

そして、「マイナンバーカード」の情報記入と画像を貼り付ける必要があるって書いてありました。

メールアドレス変更だけでなぜ、「マイナンバーカード」?住所を変えるわけでもクレジットカードを変えるわけでもなく、連絡用のメールアドレスの変更だけで、なぜそこまでしないといけないのか・・・僕の理解を完全に超えています。

これ以上、やり取りしても時間の無駄だと考えて、結局、ウェブからログインして解約申請を申し込みました。

本人確認だということで、オペレーターに個人情報のありったけを伝えるって逆に怖くなってきました。

オペレーターは、僕の本人確認に必要な情報を全てゲットしたわけです。

僕に言わせると本人確認で情報がオペレーターに漏洩しているんです。

コールセンターがどんな風に監視されているのか、わかりませんが、レコーダーで録画録音したりメモすることも行おうと思えば行えるはずです。

実際、以前に会員登録がされていなくて問い合わせた際にオペレーターの人が、こちらのクレジットカード番号を知っている感じなんです。

その翌日くらいに電話があってクレジットカードの怪しい利用が、あったということで連絡がありました。

心当たりがあったのが、あのオペレーターだけだったので、xxのオペレーターが自分のクレジットカード番号を知っていたようだということを伝えました。

被害にあった金額はクレジットカード会社側で処理するということで、自分が支払うことはなかったのですが、クレジットカードは再発行で番号も変わったので、クレジットカード再登録の余計な作業が増えました。

クレジットカード番号を残しているようなサービスは信用できないので速攻で退会しました。

こんなことが、あったので、オペレーターに個人情報を伝えないといけない仕組みは信用していません。

本人確認は、人間を介さず自動処理で行わないと結局、不正利用が発生してしまい本人確認の意味がなくなってしまうので本人確認の仕様を考える方は、しっかりと考えて欲しいものです。