本人認証でSMSを利用する際に注意することとは？

2021年7月16日掲載

デジタルツールの活用が一般的となり、BtoC企業にとって顧客との接点が増えてきました。以前は電話やメール、DMなどが主流でしたが、今ではスマホアプリやWebサイトなどメール以外でもオンラインで顧客と接点がもてるようになりました。一方で、オンラインはサイバーリスクも伴うため、本人認証などのセキュリティ対策が求められます。本稿では、本人認証でSMSを利用する際の注意点について解説します。

ビジネス部門からの要望

まずはオンラインにおける顧客とのコミュニケーションの種類について見てみましょう。オンラインでの顧客とコミュニケーションを検討する際には、経営企画やマーケティングといったビジネス部門と連携して進めることが多いと思います。用途としては

顧客情報の登録・変更と不備があった際の通知
金融におけるインターネット利用での本人確認や各種手続き
物流における配達日時の変更や配達の事前通知
小売／サービスにおけるアプリやWebでの注文やプロモーション施策の案内

などがあり、ビジネス部門からは

顧客に確実に通知したい
リアルタイムにコミュニケーションしたい
本人認証を行った上でコミュニケーションしたい

といった要望が寄せられるでしょう。情報システム部門としては、そういった要望を実現しつつセキュリティを考慮したコミュニケーションを設計する必要があります。

”なりすまし”対策が必要

オンラインで顧客とコミュニケーションするには”なりすまし”対策が不可欠です。

過去に、あるスマホ決済サービスが”なりすまし”による不正利用でサービス停止となりました。その原因の一つとして二段階認証（本人認証）を行っていなかったことが挙げられています。

金融業界においては、金融庁が銀行に対し、キャッシュレス決済と口座を紐づける際に本人認証を徹底するよう監督指針やガイドラインを改正すると発表しています。こういった流れは金融業界のみならず、BtoC企業全てに求められるようになるかもしれません。

本人認証にはSMSが有効

携帯電話番号で送信できるSMSはビジネスでの利用も広がっています。アプリやWebサイトを利用する際に、登録した携帯電話番号宛に本人認証コードがSMSで届くサービスが増えているのもその一つです。そのSMSの送信にはSMS配信サービスを活用するのが一般的です。

SMS配信サービスの種類と注意点

SMS配信サービスは大きく３つあります。

国内直接接続
国内通信キャリアの事前審査をクリアした上で、国内通信キャリアを直接契約しているため安心・安全に顧客にSMSを配信できます。
国際網
国内通信キャリアとの配信契約はあるものの事前審査はしていません。また、海外通信キャリアからSMSを配信するため顧客が海外SMSをブロックしている場合は配信できません。送信元を変えられるためフィッシングなどの”なりすまし”のリスクもあります。
SIMボックス
国内通信キャリアとの法人向けSMSアグリゲータ契約がなく、コンシューマ向けの契約回線（SIM）を組み込んだ配信システムからSMSを配信します。送信元を共用できるため国際網同様フィッシングのリスクがあります。