楽天証券は、2026年5月31日よりパスキー認証(FIDO2)でパソコンへの直接保存と複数登録に対応した、と告知している。だが結論から言えば、少なくとも筆者が同日にPCで試した限り、その「対応」は実機で機能していなかった。本記事は、楽天のパスキーがたどってきた迷走の歴史、公式告知と実態の乖離、そして6月から始まる「必須化」への備えを、利用者の実体験に基づいて整理するものである。
前提──技術としてのパスキーは「買い」である
誤解のないよう先に書く。パスキー(FIDO2/WebAuthn)は、フィッシングに原理的に強い優れた認証技術だ。秘密鍵が端末から出ず、通信にも乗らず、ドメインに紐づくため偽サイトでは使えない。ID・パスワードのように盗まれ、使い回しでやられ、リアルタイムフィッシングで抜かれる、という弱点を構造から消す。証券口座のような、実際に狙われる資産にこそ入れたい仕組みである。
したがって本記事の批判は「パスキーを使うな」ではない。**「楽天の実装と告知の出し方に問題がある」**という、実装批判である。
迷走の記録──2025年10月から続く綻び
楽天証券がパスキー認証を開始したのは2025年10月26日。だが滑り出しから問題続きだった。
- 開始2日後の10月28日、楽天は「一部の端末で認証が正常に行えない事象」を公式に告知した。サービス開始直後としては心許ない立ち上がりだった。
- 当初はパスキーの作成・利用にスマートフォンが必須で、PC(Windows Hello)への直接保存は公式には非対応とされていた。PCでログインしようとするたびにスマホのQR連携やBluetoothが必要になり、Bluetooth非搭載PCでは詰むという不便があった。
- 「うっかりパスキーを登録したら従来のログインに戻せない」「PCで先に進めない」といった声が相次ぎ、復旧手順を解説する個人ブログが大量に生まれた。これ自体が導線の分かりにくさを物語る。
- とりわけiSPEEDアプリで「パスキーが有効なためログインできません」というエラーが出やすいという報告も続いた。
筆者自身も、PCでうっかりパスキー登録に進んでしまい、持っていないUSBセキュリティキーの挿入を求められて行き止まり、最終的にサポートへの電話で復旧する羽目になった。金融機関のセキュリティ機能としては、お世辞にも洗練されているとは言えない。
楽天は「5月31日に直した」と告知した。だが──
そして楽天は、本記事執筆の直前に重要な告知を出した。公式の操作ガイドおよび案内ページには、要旨として次のように書かれている。
- 2026年5月31日より、パスキーを設定できる端末を拡充し、パソコンへの直接保存と複数保存に対応した。
- パスキーは10個まで作成可能で、端末ごとに管理できる。
- これにより、Bluetooth非搭載PCの利用者やスマートフォンを持たない人もパスキーでログインできる。
文面だけ読めば、ロックアウトの温床だった「1台しか登録できない」「PCは実質非対応」という二大欠陥が解消された、と受け取れる。
しかし、実態は伴っていなかった。
筆者が施行日当日(5月31日)にPCでパスキーによるログインを試したところ、画面は依然としてスマートフォンとの連携(QRコード等によるクロスデバイス認証)を要求してきた。これは、PCが自前でパスキーを保持・認証しておらず、認証をスマホ側に逃がしている状態──つまり**「PCに直接保存できるようになった」とされる、まさにその機能が働いていない**ことを意味する。告知された改修が、少なくとも当日のこの環境では反映されていなかった。
ここで注意したいのは、出典がすべて楽天証券の自己申告だという点だ。「対応しました」というのは楽天がそう書いているだけで、実際に機能していることの証明ではない。さらに、5月29日付のお知らせでは「できるようになります」「10個まで作成いただける予定」と、未来形・予定の表現が使われていた。施行日を今日に設定しつつ、ページの文言だけ先に過去形へ差し替わり、実機能の展開が追いついていない──そう考えると、当日の挙動とつじつまが合う。発表が実態を先走るという、この製品が繰り返してきたパターンの再演である。
それでも6月から「必須化」は始まる
実装が追いついていないにもかかわらず、楽天は2026年6月より、ログイン時のパスキー認証を段階的に必須化すると告知している。必須化の時期は顧客ごとに異なり、個別に案内されるという。
機能が安定していないものを、期限を切って強制する。これが今の楽天証券ユーザーが置かれた状況だ。だからこそ、案内が来てから慌てるのではなく、迷走の歴史と現時点の不安定さを理解した上で、慎重に備えておく必要がある。
なお現時点の公式案内では、パスキーが利用できない場合は従来どおりID・パスワード+絵文字認証でログインできるとされている。やむを得ず従来方式に戻すには、パスキーを削除すればよい(マイメニュー → セキュリティ設定 → 認証方法 → 登録済みパスキー → 削除)。
必須化に向けた、現実的な備え
リスク管理の観点から、現状で筆者が推奨する準備は以下の通り。
1. PC単体(Windows Hello)でのパスキー運用は、実際に動くことを確認するまで当てにしない。 告知上は対応済みでも、本稿のとおり実機で機能しないケースがある。確実に動く方法(現状はスマートフォンでのパスキー)を主軸に考えるのが無難だ。
2. ID・パスワードと絵文字認証は、確実に控えておく。 これが復旧の保険になる。パスワードは長く・固有にし、ブラウザに保存せず、オフラインの安全な場所に記録すること。
3. 戻し方(パスキー削除の導線)を、事前に確認しておく。 うっかり登録して詰まったときのために、削除手順の場所だけは頭に入れておく。筆者のように電話サポート送りになるのを避けられる。
4. iSPEEDアプリのログイン挙動に注意する。 エラーが出やすいと報告が続く領域だ。アプリは最新版に保つ。
5. 設定は、必須化の案内に追われる前の、時間のある時に、慎重に行う。 強制移行のタイミングで初めて触ると、しくじったときの被害が大きい。
同業との比較──SBI証券の設計は一枚上手だった
参考までに、SBI証券のパスキー実装は当初から複数登録が可能で、PCのWindows Helloにも素直に保存でき、かつパスワード+多要素認証を恒久的な保険として残す設計だった。利用者は「強い鍵を複数持ちつつ、いざという時の戻り道も確保する」ことが最初からできた。
対して楽天は、PC対応も複数登録も後手に回り、その「対応」すら実機での動作が確認できない段階で、必須化という強い手を進めようとしている。技術の方向性は同じでも、移行の設計と運用の丁寧さには明確な差があると言わざるを得ない。
まとめ
- パスキー自体は、証券口座にこそ導入したい優れた認証技術である。
- 楽天は「2026年5月31日にPC対応・複数登録に対応した」と告知しているが、筆者の当日実機テストでは、PCは依然スマホ連携を要求し、その機能は働いていなかった。出典は楽天の自己申告にすぎず、実態が伴っていない。
- それでも6月から段階的に必須化が始まる。機能が不安定なまま強制が進む点に、最大の注意が要る。
- 備えの要点は、確実に動く方法を主軸にしつつ、従来のID・パスワード+絵文字認証を保険として残すこと。そして戻し方を事前に把握しておくこと。
「いずれ強制されるなら、迷走と現状の不安定さを踏まえ、自分の手綱で慎重に整えておく」。それが、今の楽天証券ユーザーにとって最も合理的な構えだ。
本記事は2026年5月31日時点の楽天証券の公開情報、および同日における筆者のPC実機での動作確認に基づく。仕様・動作は予告なく変更される可能性があるため、設定前に必ず最新の公式案内を確認されたい。