二段階認証は、IDとパスワードに加えて、もう一段階別の方法で本人確認を行う仕組みです。

スマートフォンに届く認証コードや生体情報などを組み合わせることで、万が一パスワードが漏れても第三者による不正ログインを防ぎやすくなります。

ネットバンキングの不正送金被害については、全国銀行協会の申し合わせ（2008年）により、銀行に過失がなくても、利用者に過失がなければ原則として補償される仕組みが整っています。

ただし、利用者に過失・重大な過失があると判断された場合は、補償が減額されたり対象外になったりするケースもある点に注意が必要です。

本記事では、二段階認証の設定の考え方に加えて、商品提供者の解説では触れられにくい「不正送金被害時の補償ルール」と「被害に気づいたときの初動」を解説します。

二段階認証の基本

二段階認証（多要素認証）は、性質の異なる複数の要素を組み合わせて本人確認の精度を高める仕組みです。要素の組み合わせ方を理解しておくと、自分に合った認証方法を選びやすくなります。

認証の3要素

本人確認に使われる要素は、大きく3種類に分けられます。二段階認証では、このうち2つ以上を組み合わせて本人確認を行います。

・知識情報（知っているもの）：パスワード、PINコード、秘密の質問の答え

・所持情報（持っているもの）：スマートフォン（SMS・認証アプリ）、セキュリティトークン、ICカード

・生体情報（本人であるもの）：指紋、顔、虹彩

最も一般的なのは、パスワード（知識情報）とスマートフォンのワンタイムパスワード（所持情報）を組み合わせる方法です。

主な認証方法と特徴

オンラインサービスで採用されている認証方法には、それぞれメリットと注意点があります。

代表的な4つの方法は以下の通りです。

・SMS認証：登録した携帯番号に認証コードが届く方式。手軽な反面、SIMスワップ詐欺（携帯番号を乗っ取る手口）のリスクがある

・認証アプリ：Google認証システムなどがワンタイムパスワードを生成する方式。SMSより安全とされるが、機種変更時の引き継ぎに注意が必要

・ハードウェアトークン：銀行が発行する専用デバイスがコードを表示する方式。安全性が高い反面、持ち歩きと紛失への配慮が要る

・生体認証：指紋や顔で認証する方式。利便性が高いが、対応する機器・サービスが限られる場合がある

二段階認証の設定の流れ

多くのサービスでは、二段階認証を「設定」または「セキュリティ」メニューから登録できます。一般的な手順を押さえておくと、複数のサービスで応用しやすくなります。

設定の一般的な手順

サービスにログインした後、「セキュリティ」「アカウント設定」などのメニューから二段階認証の項目を選びます。

SMS認証なら携帯番号を登録して届いたコードを入力し、認証アプリならアプリで画面のQRコードを読み取って連携させる流れです。

リカバリーコードの保管

機種変更やスマートフォンの紛失に備えて、多くのサービスではリカバリーコード（予備コード）が発行されます。

このコードを紛失すると、認証手段を失ったときにアカウントへ復帰できなくなる恐れがあるため、紙に控えるか別の安全な場所に保管しておく順序が肝心です。

不正送金被害時の補償ルール

二段階認証で防御を固めることに加えて、万が一不正送金被害に遭った場合の補償ルールを理解しておくと、被害時の家計への影響を把握できます。商品提供者の解説では触れられにくい部分です。

預金者保護法とネットバンキングの関係

「預金者保護法」（2006年2月施行）は、偽造・盗難キャッシュカードによるATMでの不正な払戻しから個人を保護する法律で、ネットバンキングの不正送金は預金者保護法の直接の対象ではありません。

この点を補うため、全国銀行協会は2008年2月の申し合わせで、盗難通帳やネットバンキングによる不正な払戻しについても、銀行に過失がなくても利用者に過失がなければ原則として補償する方針を定めました。各銀行はこの申し合わせに沿って補償規定を設けている状況です。

出典：一般社団法人全国銀行協会「『預金等の不正な払戻しへの対応』について」（2008年2月19日）

補償を受けるための要件

補償を受けるには、被害に気づいた後の対応が前提となります。

一般に、銀行への速やかな被害事実の届出、銀行への状況説明、警察など捜査当局への申述（事情説明）が要件とされています。

多くの銀行では、補償の対象は「銀行へ通知した日の30日前以降になされた不正な払戻し」とされているため、被害に気づいたら速やかな連絡が補償につながる仕組みです。

過失で補償が減額・対象外になるケース

利用者に過失や重大な過失があると判断されると、補償が減額されるか、補償されない場合があります。

具体的には、銀行が複数回にわたって注意喚起した手口でIDやパスワードを入力した場合や、警察・銀行をかたる者にIDやパスワードを教えた場合などが、過失とみなされやすいとされています。

暗証番号やパスワードを他人に伝える、フィッシングサイトに認証情報を入力するといった行為は補償の判断で不利に働くため、認証情報を自分で守る姿勢が補償の前提です。

被害に気づいたときの初動

不正送金や口座の不正利用に気づいたときは、初動の速さが補償と被害拡大防止の両面で効いてきます。慌てず順序立てて動くことが家計を守る一歩です。

まず銀行へ連絡して口座を止める

不正な取引に気づいたら、まず利用している銀行の窓口やサポートに連絡し、口座やネットバンキングの利用停止を依頼します。

被害の拡大を止めると同時に、補償の起点となる「銀行への届出」を済ませる意味があります。

警察へ被害を届け出る

金銭被害を伴う場合は、警察への被害申告（事情説明）も補償の要件となります。

まず相談ベースで状況を整理したい場合は警察相談専用電話「#9110」、緊急性が高い場合は110番を利用し、最終的に警察署で正式な被害申告を行う流れです。

出典：警視庁「警察相談ダイヤル#9110」

パスワードの変更と被害範囲の確認

同じパスワードを複数のサービスで使い回している場合、ほかのサービスにも不正アクセスが及ぶ恐れがあります。

被害に気づいた口座だけでなく、同じID・パスワードを使っている他サービスのパスワードも変更し、被害範囲を確認しておく順序が現実的です。

まとめ：認証で守り、補償ルールで備える

ネットバンキングを安全に使うには、二段階認証でアクセスを守ることが出発点となります。

ID・パスワードに加えて認証アプリやハードウェアトークンを組み合わせることで、不正ログインのリスクを下げられます。

あわせて、不正送金被害は全国銀行協会の申し合わせにより、利用者に過失がなければ原則として補償される一方で、過失があると減額・対象外になり得る点を理解しておくことが、家計を守る備えです。

認証情報を自分で守ったうえで、被害時には速やかに銀行へ届出・口座停止、警察へ被害申告という順序で動くことが、補償を受けながら被害を最小限に抑える進め方となります。

本記事は、CFP資格保有者であり、J-FLEC認定アドバイザーの金子賢司が執筆した内容です。当記事の執筆者「金子賢司」の情報は、CFP検索システムおよびJ-FLECアドバイザー検索システムにてご確認いただけます。北海道エリアを指定して検索いただくとスムーズです。