モバイルOTPとは？銀行・ネットバンキングでの使われ方を解説

モバイルOTPとは、スマートフォンアプリなどの携帯端末上で生成・表示するワンタイムパスワードです。銀行やネットバンキングでは、振込、ログイン、登録情報の変更などの取引時に、本人確認や不正操作防止のために使われます。

金融機関によっては「モバイルワンタイムパスワード」や「MOTP」と呼ばれることもあります。銀行アプリ上でPIN番号を入力してOTPを表示する方式が代表的ですが、広い意味では、スマートフォンで受け取るSMS OTPやメールOTPとあわせて説明されることもあります。

モバイルOTPとは

モバイルOTPとは、スマートフォンを使って取引時に必要なワンタイムパスワードを生成・表示する認証方式です。銀行アプリにログインし、あらかじめ設定したPIN番号などを入力すると、一定時間だけ有効な認証コードが表示されます。

表示されたコードは、ネットバンキングの取引画面やログイン画面に入力して本人確認に使います。コードは短時間で無効になり、一度使うと再利用できないため、固定パスワードだけに頼るよりも不正ログインや不正送金のリスクを抑えやすくなります。

用語の注意点

「モバイルOTP」という呼び方は、すべての銀行で統一されているわけではありません。銀行によっては「モバイルワンタイムパスワード」「アプリワンタイムパスワード」「ワンタイムパスワードアプリ」などの名称で案内されています。

本記事では、スマートフォンアプリ上で生成・表示するOTPを中心に、SMS OTPやメールOTPなど関連するワンタイムパスワードの受け取り方法もあわせて整理します。OTPの基本的な意味や仕組みを先に確認したい場合は、ワンタイムパスワード（OTP）とは？もあわせてご覧ください。

モバイルOTPとSMS OTP・認証アプリの関係

OTPは「一度だけ使えるパスワード」という広い概念です。その中で、スマートフォンアプリ上でコードを生成・表示する方式をモバイルOTPと呼ぶことがあります。

一方で、SMSで届く認証コードは一般にSMS OTP、メールで届く認証コードはメールOTPと呼ばれます。どれもワンタイムパスワードの一種ですが、銀行の公式案内では「モバイルOTP」はアプリ上で表示する方式を指し、SMSやメールとは分けて説明されることがあります。

たとえば一部の銀行では、スマートフォンを取引時パスワードを表示するセキュリティ媒体として設定し、アプリ上でPIN番号を入力してOTPを表示する方式を「モバイルワンタイムパスワード」や「モバイルOTP」と案内しています。

銀行・ネットバンキングで使われる場面

銀行やネットバンキングでは、モバイルOTPやワンタイムパスワードは、すべての操作で毎回求められるわけではありません。多くの場合、振込、振込先登録、振込上限金額の変更、住所・電話番号変更、パスワード再設定など、第三者に悪用されると被害が大きくなりやすい操作で追加認証として使われます。

ただし、どの場面でOTPが必要になるかは金融機関によって異なります。実際に利用する際は、利用中の銀行の公式案内やアプリ画面に従って確認することが大切です。

ワンタイムパスワードを登録していない場合、振込や一部の登録情報変更など、追加認証が必要な操作を利用できないことがあります。具体的に制限される機能は銀行によって異なるため、利用中の金融機関の案内を確認してください。

ログイン時や通常と異なるアクセス時の本人確認

ネットバンキングでは、通常のログインだけでなく、普段と異なる端末・環境からアクセスした場合や、本人以外の操作の可能性があると判断された場合に、追加のOTP認証が求められることがあります。

この場合、アプリに表示されるOTPだけでなく、登録済みの携帯電話番号やメールアドレス宛てに認証コードが送られる方式が使われることもあります。

振込・送金時の確認

銀行でワンタイムパスワードが使われる代表的な場面が、振込や送金です。送金操作は不正利用された場合の影響が大きいため、取引内容の確認時にOTPを入力する、または銀行アプリ上で自動確認する仕組みが使われることがあります。

銀行によっては、振込時のOTP認証を必須としている場合があります。一方で、過去に振込実績のある口座や、あらかじめ登録された口座への振込では、条件によってOTP入力が省略されることもあります。

振込先登録や限度額変更の確認

振込先口座の登録や削除、振込上限金額の変更なども、OTPが求められやすい操作です。これらの設定を第三者に変更されると、不正送金につながるおそれがあるためです。

特に振込上限金額の引き上げはリスクが高いため、ワンタイムパスワードや銀行アプリによる追加確認が必要になる場合があります。

登録情報や設定変更の確認

住所、電話番号、メールアドレス、認証方式などの登録情報を変更する場合にも、OTPが使われることがあります。連絡先や認証設定を不正に変更されると、その後の認証コードの受け取りやアカウント復旧を悪用される可能性があるためです。

パスワード再設定やアカウント復旧

パスワードを忘れた場合、認証アプリを削除した場合、スマートフォンを機種変更した場合など、アカウント復旧や認証設定の再登録時にもOTPや追加の本人確認が使われることがあります。

具体的な手順は金融機関によって異なります。機種変更や端末紛失の前後では、旧端末での解除、本人確認書類による再登録、店頭・郵送での手続きなどが必要になる場合があります。

モバイルOTPと関連するワンタイムパスワードの受け取り・表示方法

モバイルOTPを含むワンタイムパスワードの表示・受け取り方法は、銀行やサービスによって異なります。狭い意味でのモバイルOTPは銀行アプリや認証アプリ上で表示する方式を指しますが、利用者向けの案内ではSMSやメールで届くOTPとあわせて説明されることもあります。

銀行アプリ・認証アプリで表示するOTP

銀行アプリや認証アプリで表示するOTPは、スマートフォンアプリ内で認証コードを生成・表示する方式です。銀行やネットバンキングでは、振込、ログイン、登録情報の変更など、本人確認が必要な操作で使われることがあります。

SMSやメールの受信に依存しないため、通信環境や受信設定の影響を受けにくい一方で、機種変更、アプリ削除、端末紛失時には再設定や引き継ぎが必要になる場合があります。

SMSで届くOTP

SMSで届くOTPは、登録済みの携帯電話番号宛てに認証コードを送る方法です。銀行アプリや認証アプリで表示するモバイルOTPとは異なりますが、スマートフォンで受け取る関連するOTP配信方法として、ログイン認証や本人確認で使われることがあります。SMS OTPの基本は、SMS OTPとは？でも詳しく解説しています。

届かない・使えない時の確認点

モバイルOTPが表示できない、SMS OTPやメールOTPが届かない、認証コードを入力しても使えない場合は、方式ごとに確認すべきポイントが異なります。まずは利用中の銀行やサービスの公式案内を確認し、再送信、再設定、認証方式の切り替えができるかを確認しましょう。

SMS OTPが届かない場合

SMS OTPが届かない場合は、まず登録済みの携帯電話番号と現在利用している番号が一致しているかを確認します。銀行によっては、SMSによるワンタイムパスワードを受け取れないと、ログインや一部の取引ができなくなる場合があります。

• 登録済みの携帯電話番号が現在の番号と一致しているか確認する
• 電波状況、機内モード、SMS受信制限、迷惑SMS設定を確認する
• 海外滞在中やローミング中の場合、SMSを受信できる状態か確認する
• 短時間に何度も再送信せず、サービス側の案内に従う
• 電話番号を変更した場合は、銀行の公式手順に従って登録情報を変更する
• 改善しない場合は、金融機関のサポート窓口に連絡する

メールOTPが届かない場合

メールで届くOTPが受け取れない場合は、登録済みメールアドレスが現在も使えるか、迷惑メールフォルダに入っていないか、受信制限やドメイン指定受信の設定に問題がないかを確認します。

• 登録済みメールアドレスが現在も利用できるか確認する
• 迷惑メールフォルダやプロモーションフォルダを確認する
• 受信拒否設定、ドメイン指定受信、メール容量を確認する
• メールアドレスを変更した場合は、金融機関の公式手順で再設定する
• ワンタイムキーや認証コード自体を電話で教えてもらうことはできない点に注意する

アプリでOTPが表示できない場合

銀行アプリや認証アプリでOTPが表示できない場合は、アプリの不具合だけでなく、機種変更、アプリ削除、再インストール、端末初期化、PIN番号の失念などが原因になることがあります。

• アプリが最新版か確認する
• 端末の時刻設定が自動になっているか確認する
• 通信環境やアプリのログイン状態を確認する
• 機種変更前の旧端末で引き継ぎ・解除が必要だったか確認する
• アプリ削除、再インストール、端末初期化後に再登録が必要か確認する
• PIN番号やアプリ認証情報を忘れた場合は、公式の再発行・再設定手順を確認する

機種変更時の注意点

モバイルOTPはスマートフォンと紐づいている場合があるため、機種変更前後の手続きに注意が必要です。旧端末が使える場合は、機種変更前に引き継ぎ設定、解除、認証方式の切り替えなどが必要になることがあります。

一方で、旧端末を紛失した、アプリを削除した、端末を初期化したなどの理由で旧端末を使えない場合は、本人確認書類による再登録、初回ログインパスワードの再発行、郵送・窓口での手続きが必要になることもあります。

• 旧端末が使えるうちに、引き継ぎ・解除・認証方式変更の手順を確認する
• 新端末で銀行アプリや認証アプリを再設定する
• アプリを削除する前に、OTP設定の扱いを確認する
• 電話番号やメールアドレスが変わる場合は、先に登録情報の変更方法を確認する
• 旧端末を紛失・故障した場合は、金融機関の公式窓口やサポートに相談する

身に覚えのないOTPが届いた時の注意点

自分でログイン、振込、登録情報の変更、パスワード再設定などをしていないのにOTPが届いた場合、第三者がログインや取引、認証設定の変更を試みている可能性があります。すぐにコードを入力したり、SMSやメール内のリンクを開いたりせず、まずは落ち着いて状況を確認しましょう。

特に、金融機関を装ったSMSやメールから偽サイトへ誘導し、ID・パスワードに加えてOTPまで入力させるフィッシング手口には注意が必要です。警察庁のフィッシング対策でも、メールやSMS内のリンクを安易にクリックせず、公式サイトのブックマークや公式アプリから確認することが案内されています。

OTPは一度限りのコードですが、偽サイトに入力すると、その場で不正ログインや不正送金に悪用されるおそれがあります。身に覚えのないOTPや不審な取引に気づいた場合は、金融機関の公式窓口から確認しましょう。

• 届いたOTPを入力しない、第三者に教えない
• SMSやメール内のリンクを不用意に開かない
• 公式アプリ、ブックマーク済みの公式サイト、または正規のURLからアクセスする
• ログイン履歴、取引履歴、登録情報や認証方式の変更履歴を確認する
• 心当たりのないログインや取引がある場合は、すぐに金融機関へ連絡する
• 不審なサイトに情報を入力した可能性がある場合は、パスワード変更や利用停止の相談を行う

注意

金融機関やサポート担当者を名乗る相手であっても、OTP、パスワード、暗証番号、確認番号、合言葉などを聞かれた場合は安易に伝えないようにしましょう。判断に迷う場合は、メールやSMS内のリンクではなく、公式アプリや公式サイトから確認することが大切です。

金融機関・会員サービスがOTP配信を設計する時のポイント

なお、OTPは銀行だけでなく、決済サービス、証券・投資サービス、会員制アプリ、ECサイト、海外ユーザーを持つオンラインサービスなどでも使われます。重要な操作を安全に完了させるためには、認証コードを「生成する」だけでなく、必要なタイミングで確実に届ける配信設計も重要です。

金融機関や会員サービスがOTP配信を設計する場合は、ユーザーの使いやすさだけでなく、配信の安定性、不正利用対策、代替チャネル、ログ管理なども考える必要があります。

用途ごとに認証強度を分ける

ログイン、振込、登録情報の変更、パスワード再設定では、求められる認証の強度が異なります。すべての操作で同じ認証を求めるのではなく、リスクの高い操作ほど追加確認を行う設計が重要です。

複数チャネルを用意する

SMSだけ、メールだけといった単一チャネルに依存すると、受信できないユーザーが発生した時に認証が止まる可能性があります。SMS、メール、音声、WhatsApp、アプリ内通知など、ユーザー属性や地域に応じて代替手段を検討すると、認証完了率を高めやすくなります。

再送信と不正リクエストを制御する

OTPはユーザーが届かない時に再送信できる設計が必要ですが、無制限に再送できる状態は不正利用やコスト増加につながる可能性があります。一定時間内の送信回数、同一IP・同一電話番号からのリクエスト数、異常な国番号への送信などを監視することが重要です。

特にSMSを使ったOTP配信では、不正な大量リクエストによって配信コストが増えるリスクもあります。SMSを使った不正リクエスト対策については、SMSポンピングとは？も参考になります。

ユーザーにわかりやすい案内を用意する

OTPが届かない時、機種変更した時、身に覚えのないOTPが届いた時に、ユーザーが次に何をすればよいかを明確に案内することも重要です。認証画面、FAQ、エラーメッセージ、サポート導線を整えることで、問い合わせ増加や離脱を抑えやすくなります。

OTP通知に目的を明記する

OTPはログイン、振込、登録情報の変更、認証方式の再設定など、さまざまな目的で使われます。利用者が身に覚えのないOTPに気づきやすくするためには、認証コードだけでなく、「ログイン用」「振込確認用」「メールアドレス変更用」など、何のためのOTPなのかを通知文面や画面上でわかりやすく示すことが重要です。

ただし、SMSやメールの文面に不必要な個人情報や詳細な取引情報を含めすぎると、別のリスクにつながる場合があります。目的が伝わる範囲に絞り、認証コード、期限、心当たりがない場合の案内を簡潔に示す設計が望ましいでしょう。

EngageLabでOTP配信を運用する

金融機関や会員サービスでOTP配信を運用する場合、認証コードの生成、送信、照合、再送信、ログ管理を安定して行える仕組みが必要です。 EngageLabのOTPサービスでは、SMS、メール、音声、WhatsAppなど複数チャネルを組み合わせたOTP配信を設計できます。

OTP配信では、認証コードを送るだけでなく、届かない時の代替チャネル、再送信回数の制御、不正リクエスト対策、認証ログの確認まで含めて設計することが重要です。こうした運用を自社システムに組み込みたい場合は、API連携できるOTP配信基盤を検討するとよいでしょう。

たとえば、SMSが届きにくいユーザーには別チャネルを案内する、海外ユーザー向けに利用しやすいチャネルを選ぶ、既存のログイン・本人確認フローにAPIで組み込む、といった運用が可能です。

よくある質問

• 1

  モバイルOTPとは何ですか？

  モバイルOTPとは、主にスマートフォンアプリ上で生成・表示するワンタイムパスワードです。銀行やネットバンキングでは、ログインや振込などの本人確認に使われます。広い意味では、スマートフォンで受け取るSMS OTPなどとあわせて説明されることもあります。
• 2

  ワンタイムパスワードはどこに来ますか？

  サービスによって異なりますが、登録済みの携帯電話番号宛てのSMS、登録メールアドレス、銀行アプリ、認証アプリ、ハードウェアトークンなどで受け取る、または表示する方式があります。
• 3

  モバイルOTPが表示できない・OTPが届かない場合はどうすればよいですか？

  SMSの場合は、登録電話番号、電波状況、受信設定、迷惑SMS設定、海外ローミングの状態などを確認します。アプリで表示する方式の場合は、アプリの状態、端末の時刻設定、機種変更後の再設定有無を確認しましょう。改善しない場合は、利用中の金融機関に問い合わせてください。
• 4

  機種変更したらモバイルOTPはどうなりますか？

  銀行アプリや認証アプリでOTPを表示する方式では、機種変更時に引き継ぎや再設定が必要になる場合があります。旧端末が使えるうちに、利用中の銀行の公式手順を確認しておくと安心です。
• 5

  身に覚えのないOTPが届いたらどうすればよいですか？

  自分で操作していないOTPが届いた場合は、第三者がログイン、取引、パスワード再設定、認証方式の変更などを試みている可能性があります。コードを入力したり他人に教えたりせず、SMSやメール内のリンクも開かないようにしましょう。公式アプリや公式サイトからログイン履歴・取引履歴を確認し、必要に応じて金融機関へ連絡してください。
• 6

  ワンタイムパスワードを登録しないとどうなりますか？

  銀行やサービスによって異なりますが、ワンタイムパスワードを登録していない場合、振込、振込先登録、登録情報の変更など、追加認証が必要な一部の操作を利用できないことがあります。具体的な制限は利用中の金融機関の案内を確認してください。
• 7

  銀行のOTPはSMS以外でも受け取れますか？

  はい。銀行やサービスによっては、SMSだけでなく、銀行アプリ、認証アプリ、メール、ハードウェアトークンなど複数の方法に対応している場合があります。実際に利用できる方法は、利用中の金融機関の案内を確認してください。

まとめ

モバイルOTPは、主にスマートフォンアプリ上で生成・表示するワンタイムパスワードです。銀行やネットバンキングでは、ログイン、振込、登録情報の変更など、本人確認が必要な場面で使われます。

利用者側では、OTPの受け取り方法、届かない時の確認点、機種変更時の再設定、身に覚えのないOTPが届いた時の対処を理解しておくことが大切です。金融機関や会員サービス側では、複数チャネルの用意、再送信制御、不正リクエスト対策、わかりやすいユーザー案内を含めてOTP配信を設計する必要があります。