金融アグリゲートサービスが怖いところ

複数の銀行やらクレジットカードの履歴情報を集約してくれる金融アグリゲートサービスについて、『いやー、家計簿アプリ業界、そのうち絶対にヒドい事件がおきると予想します - ツイナビ | ツイッター(Twitter)ガイド』が ブコメ を賑わしていますが、ネットバンキングサービスへのログイン情報を渡した場合に、それらのサービスがアクセスできる情報には何があるのか、ということで手持ちの分でちょっと探ってみました。


アグリゲートサービスの特性上、以下の情報についてはアグリゲートサービス運用者に開示しても仕方無し、と納得の上だとは思います。

  • 銀行
    • 支店名、口座番号、残高、入出金履歴(日付・金額・入出金先)、振込先情報
  • クレジットカード
    • 利用日、利用先、利用額


しかしながら、住所・氏名・電話番号や専用メールアドレスについてはどうでしょうか?
(アグリゲートサービスに登録する際にここらの情報が要求されるのであれば問題なしかもしれませんが…)

自分がメインで使っている住信SBIの場合は、 住所、氏名、電話番号, 勤務先 については第2パスワードを入力しないと参照することはできませんでした。
但し、SBI証券と連携させている場合は、そちらで保有している株式情報(銘柄、評価額、損益など)が参照できます。

一方、サブの某メガバンクでは、ログインするだけで

  • 住所、氏名、電話番号、勤務先、性別、連絡先メールアドレス

が参照可能でした。


ここらはカワイイ物で、楽天カードの場合は

  • 住所、氏名、電話番号、勤務先、性別、家族構成、年収

までアクセスできてしまいます。

さらに、ログイン情報を楽天のその他サービスと共有しているため、そちらの利用履歴にまで参照可能。
加えて、これらの情報の更新やパスワードの変更、そして楽天にログインできるので、商品購入まで自由自在となります。

楽天の場合は、ログイン処理を共通化しているから特殊とは言え、アカウントとパスワードを渡すだけでやりたい放題にできることには違いなく、『する』『しない』というのをサービス側を信じるしかない、というのが怖いところになります。


最後に、アカウント・パスワード預託型のアグリゲートサービスで一番怖いのは、ブコメにも書いているとおり、
『アグリゲートサービスの如何に関係なく、何らかの不正送金事件の被害者になった場合に、一切の補償が受けられない可能性』
があるところです。
銀行側からすると、利用者はアカウントとパスワードを利用者・銀行と関係のない第三者(アグリゲートサービス運用者)に公開しており、それらを厳重に管理していなかった。従って利用者がわの過失である。と見なしても不思議はないと思います。

ここらへんの危険性を理解の上で、アグリゲートサービスを使っているのなら当人の判断なので何も言うことはないわけですが。。

とっちらかった話ですが、何に危機感を憶えているのかというところ、知っていただければ。