マネーフォワードの連携のセキュリティについて

マネーフォワードは連携クレジットカードのパスワードなどを入力しますが、これは通販サイトにクレジットカード番号を入力するのと比べても危険性やリスクは高めでしょうか。通販サイトなどはVisa Secureなど本人認証サービス？というものが導入されているサイトだと一旦別のサイトに遷移しますが、これがないのは関係しますか（そもそもこういうのを偽装するような悪いサイトとかもあるんでしょうが）？あとこういう情報を別のサービスに入力する際「暗号化してあるのでこちらでは分かりません。安全です。」みたいな話ってそのサイトが本当に暗号化してあるかを検証するような活動を行っている行政機関や第三者機関などはあるんでしょうか。完璧な安全なんてないでしょうから別に危険性が否定出来ないから使わないとはなりませんけれど。

No.1 回答者： taka212qa 回答日時： 2022/02/11 17:38

支払い方法などを取り扱うECサイト構築に携わったことのある者です。

気になったので調べ、実際に通信を確認しながら連携してみましたが、特別リスクは高くありません。なるべく専門用語を使わずに根拠を説明いたします。

まず、株式会社マネーフォワードは電子決済代行業者という、金融機関と情報を連携するために必要な資格を取得しています。これは金融庁による、銀行法で定められた厳正な審査を経てようやく承認されるような資格です。言ってしまえば国家のお墨付です。
https://corp.moneyforward.com/news/release/corp/ …

金融機関のWebシステムへログインできるのは、現状人間だけです。ロボットが自動でログインできないような仕組みになっていて、悪意のあるウイルスやフィッシングサイトによる不正ログインを防いでいます。
しかしながら、マネーフォワードは提携している金融機関であれば自動ログインできますね。これはなぜかというと、提携先金融機関がマネーフォワードに、自動ログインを許可する特別なプログラムを提供しているからです。これは金融機関から信用されている電子決済代行業者でなければ絶対に不可能です。（この「特別なプログラム」の漏洩などもあり得ない話ではないのですが）

また、マネーフォワードは下記リンクで「お預かりするのはログイン情報のみ」「お預かりするデータは通信時も保管時も全て暗号化」と宣言しています。
https://moneyforward.com/features/4

マネーフォワードは国際規格「ISO 27001」と日本工業規格「JIS Q 15001」を取得しています。これらは情報セキュリティ、個人情報保護にまつわる認証です。
これらの認証を取得するには、経済産業省より承認を受けた第三者機関から、定期的に監査を受ける必要があります。もし、上述の宣言が嘘で、通信経路を暗号化していない・金融機関のパスワードを保存している、などのようなずさんな管理体制であれば、確実に審査に受かりません。


もしここまでの認証・資格を継続して承認されながらも、抜け穴を見つけデータを不正に取り扱っていたなどがあれば、それは史上最悪の不祥事です。むしろ、抜け穴を見つけることのほうが難しいでしょう。その程度には情報セキュリティについて徹底した管理体制を敷いている会社だと言えます。
安心して利用していいと思います。

仰る通り、このインターネットの世界において完璧な安全はありません。
マネーフォワードも、大手銀行も大手ECサイトも、どこにでも情報漏洩のリスクは存在します。そのようなリスクがどれほどの影響を及ぼすかを知り、どほどであれば受容できるかを検討することが大事です。