楽天グループ株主優待の申し込みが苦行すぎる|30GB無料の手順とUXの実態

2026.03.13

楽天グループ 株主優待の申し込み方法と注意点

楽天モバイル 株主優待申し込みのUX問題を考えるビジネスマン

楽天グループ(4755)の株主優待──楽天モバイルの音声+データ30GB/月プランが6ヶ月無料になるという、額面だけ見れば悪くない特典だ。第29期の通知書が本日届いたので、さっそく申し込もうとしたのだが、その体験があまりにもひどく、IT企業が設計したオペレーションとは到底思えないレベルだった。

控えめに言って、ユーザビリティが壊滅的である。

今回は、この株主優待の申し込みプロセスを実際に体験した上で、何が問題なのか、なぜこうなるのか、そしてどうすべきだったのかを整理してみたい。

通知書が届いた──QRコードと手打ちの地獄

楽天株主優待の申し込み通知書に記載された専用サイトURLとID情報

届いた通知書には、以下の情報が記載されている。

  • 専用サイトURL: https://xxx.xx/xxxx
  • ID(株主番号): 9桁の数字
  • パスワード: 16桁の英数字(大文字)
  • QRコード: 専用サイトURLへのリンク

一見すると親切に見える。QRコードがあるのだから、スマホでスキャンすれば一発で──と思うだろう。だが、ここからが地獄の始まりだ。

QRコードをスキャンすると、確かに専用サイトは開く。しかし開くのはログイン画面であって、そこには空欄のID入力フィールドとパスワード入力フィールドが待ち構えている。つまり、QRコードはURLへの誘導にしか使われていない。IDもパスワードも、通知書を見ながら手で打ち込む必要がある。

9桁の株主番号はまだいい。問題はパスワードだ。16桁の英数字で、大文字と数字が混在している。通知書上では「XXXXXXXXXXXXXXXX」のように4桁ずつ区切られていないが、入力フィールドは4桁x4つのテキストボックス。そのため、スマホの小さな画面で、紙の通知書と画面を交互に見ながら、16桁を正確にタイプしなければならない。

2026年にもなって、この体験を強いるのか。

スマホで心が折れ、PCに逃げ、そしてスマホに戻される

楽天株主優待サイトのログイン画面(9桁IDと16桁パスワードの手入力が必要)

仕方がないので、まずはスマホで手打ち入力してログインした。9桁のID、16桁のパスワード──紙とスマホを交互ににらみながら、なんとか入力を終えてログインに成功。すると次に楽天IDとパスワードでの再ログインを求められる。株主優待サイト用のID/パスワードでログインした直後に、さらに楽天IDでもう一度ログインさせられるのだ。二重認証というより、単に認証が二重に冗長なだけである。もっとも、株主番号と楽天IDを紐付ける「名寄せ」が目的だとすれば、両方のログインを求めること自体には合理性がある。証券口座の株主と楽天エコシステムのユーザーを突合するには、双方の認証を経るしかない。問題は名寄せの必要性ではなく、そこに至るまでのUXの設計だ。

楽天IDでのログインを済ませると、承諾画面がポップアップ表示された。内容を確認して閉じたところ、親画面ごとブラウザが落ちた

セッションが切れ、もう一度あの16桁を打ち直せというのか。ここで完全に心が折れた。

スマホでの続行を諦め、通知書をスマホで撮影して、PCのブラウザで専用サイトを開くことにした。さすがにもう一度手打ちする気力はないので、撮影した写真をPCで表示し、OCRでテキストを抽出してIDとパスワードをコピー&ペーストした。ユーザーが自力でOCRを持ち出さないとまともに使えない株主優待サイト──2026年の光景とは思えない。

PCでログインし、再び楽天IDでもログインし直し、生年月日の入力などを済ませると、最後に「本人確認」のステップが現れる。e-NINSHOという野村総合研究所が提供するマイナンバーカードを使ったeKYCサービスだ。ここでスマートフォンのNFC機能を使ってマイナンバーカードを読み取る必要がある。

──待ってほしい。今、私はPCで操作しているのだが。

PCのブラウザからe-NINSHOのアプリ連携ボタンを押しても、当然ながらスマホのアプリは起動しない。PCとスマホの連携が機能しないのだ。QRコードでスマホに引き継ぐ導線もない。

結果、再びスマホに戻って、あの16桁のパスワードを手入力し直すという地獄のループに陥った。今度こそ慎重に、ポップアップが出ても画面を閉じないよう細心の注意を払いながら、スマホでログインし直し、楽天IDでも再ログインし、申し込みフローを最初からやり直し、e-NINSHOアプリを起動し、マイナンバーカードをスマホにかざし、署名用電子証明書パスワード(英数字6〜16文字)を入力して、ようやく本人確認が完了した。

控えめに言って、苦行である。ログインだけで3回。同じ16桁のパスワードを、手打ち2回+OCR経由1回。ここまでの所要時間、約30分。

QRコードにIDとパスワードを埋め込むべきだった

QRコードにIDとパスワードを埋め込むURLパラメータの技術的な解説図

ここで問いたいのは、「なぜQRコードにIDとパスワードをパラメータとして埋め込まなかったのか?」という根本的な疑問だ。

技術的には、以下のようなURLをQRコードにエンコードすれば済む話だ。

https://stockbenefit.corp.rakuten.xxx/login?id=XXXXXXXXX&pw=XXXXXXXXXXXXXXXX

これだけで、スマホでQRコードをスキャン → 自動ログイン → 本人確認 → 完了、というシームレスなフローが実現できた。

「セキュリティ上の理由でURLにパスワードを含めるべきではない」──そう反論する声が聞こえてきそうだ。だが、冷静に考えてほしい。

認証の三要素から見たセキュリティ上の合理性

情報セキュリティにおける認証の三要素(知識・所持・生体)の概念図

情報セキュリティにおける認証は、一般的に三要素に分類される。

  1. 知識要素(Something you know、以下SYK): パスワード、暗証番号、秘密の質問
  2. 所有要素(Something you have、以下SYH): ICカード、スマートフォン、ハードウェアトークン
  3. 生体要素(Something you are、以下SYA): 指紋、顔認証、静脈パターン

では、楽天の株主優待における認証を整理してみよう。

通知書のIDとパスワードは、所有要素(SYH)である。

なぜか。通知書は普通郵便で届く。特定記録でも簡易書留でもない。つまり、この時点で楽天は「郵便受けにアクセスできる人=株主本人」と暗黙に信頼している。IDとパスワードは通知書という「所有物」に印字されており、株主がそれを暗記しているわけではない。紙を見ながら入力するのだから、これは知識要素ではなく所有要素だ。

さらに、申し込みプロセスでは以下の追加認証が要求される。

  • 楽天ID/パスワード: 知識要素(SYK)
  • 生年月日: 知識要素(SYK)
  • マイナンバーカード + e-NINSHO: 所有要素(SYH) + 知識要素(SYK)(署名用電子証明書パスワードの入力)

つまり、通知書のID/パスワードでログインした後に、さらに楽天ID/パスワードで再ログインさせられるのは、株主番号と楽天IDの名寄せという実務上の理由があるにせよ、さらにマイナンバーカードで認証させられるのは、多要素認証の重ね塗りだ。通知書のID/パスワードをQRコードに埋め込んだところで、認証の強度は何ら低下しない。

むしろ、QRコードに埋め込むことで、「通知書という物理的な紙を所有していること」の証明がより直接的になる。紙を持っている人がスキャンする──これこそが所有要素の本質だ。手打ちさせることで、所有要素を疑似的な知識要素に変換してしまっている現在の設計のほうが、認証の本来の意図から外れている。

ユーザビリティの不備は「IT企業」として致命的

楽天グループのIT企業としての株主優待申し込みフローの問題点を示す図

楽天グループは、ECプラットフォーム、フィンテック、モバイル通信を手がける日本有数のIT企業を自称している。にもかかわらず、株主優待の申し込みフローがこの有様だ。

問題を整理しよう。

問題1:QRコードが単なるURL誘導にしか使われていない

QRコードの利点は「情報をエンコードして端末に渡せること」にある。URLだけを渡すなら、短縮URLを印刷するのと変わらない。QRコードの機能を全く活かしていない。

問題2:スマホ前提の本人確認なのにスマホでの入力が地獄

e-NINSHOによるマイナンバーカード認証はスマホのNFC機能が必須だ。にもかかわらず、スマホでの入力体験が劣悪で、ユーザーをPCに逃避させてしまう設計になっている。そしてPCからはe-NINSHOが使えないので、スマホに戻る羽目になる──この導線設計は破綻している。

問題3:PC↔スマホの連携が考慮されていない

仮にPC→スマホの引き継ぎが必要であれば、セッションをQRコードで引き渡すなど、現代的なWebサービスでは当たり前の手法がある。LINEのログイン、Slackのデバイス認証、各種二要素認証アプリがやっていることだ。楽天自身のサービスである楽天ペイですら、QRコード決済を提供しているではないか。なのに、自社の株主優待サイトではQRコードの活用方法を知らないかのような設計をしている。

これは意図的なハードル設計ではないのか

株主優待の申し込みハードルを意図的に上げている可能性を示す概念図

正直なところ、もう一つの仮説を排除できない。それは、申し込みプロセスのハードルを意図的に上げることで、株主優待の利用率を下げようとしているのではないか、という疑念だ。

楽天モバイルは2025年度にEBITDA黒字化を達成したものの営業損益ベースではなお赤字が残っており、株主優待による30GB無料プランの提供は、一人あたり月額約3,000円(税抜)×6ヶ月=約18,000円のコストが発生する。株主全員が申し込めば、その負担は無視できない。

申し込みプロセスに摩擦を加えることで、「面倒だからいいや」と諦める株主を一定数生み出し、実質的なコスト削減を図る──いわゆる「ダークパターン」的な発想が背景にあるのではないか。

もちろん、単純にUX設計の能力が不足しているだけかもしれない。だが、どちらの理由であっても、IT企業としての信頼を損なうことに変わりはない。

まとめ

楽天株主優待申し込みフローの問題点まとめ

楽天グループの株主優待申し込みフローは、2026年のIT企業が提供するユーザー体験として、あまりにもハードルが高い。

  • QRコードにIDとパスワードを埋め込まない理由が、セキュリティ的に見当たらない
  • スマホ必須の本人確認があるのに、スマホでの入力体験が劣悪
  • PC↔スマホの連携導線が完全に欠如している
  • 結果として、ユーザーは同じ16桁のパスワードを複数回入力させられる(筆者は手打ち2回+OCR経由1回の計3回)

認証の三要素に照らせば、通知書のID/パスワードは所有要素にすぎない。その後の楽天ID認証、生年月日確認、マイナンバーカード+署名用パスワードによるeKYCで、知識要素・所有要素は多重に担保されている。QRコードへの埋め込みによってセキュリティが低下する余地はない。

ちなみに、このパスワードは大文字で印刷されていたが、めんどくさいので小文字のまま打鍵したらログインできたことはここだけの秘密である。

「日本のIT企業」を標榜するならば、まずは自社の株主優待申し込みフローを見直すべきだ。結局のところ、株主番号は総務部門、楽天IDはシステム部門、マイナンバーカード認証はモバイル部門──それぞれの認証基盤が別々の部門に帰属する、日本の大企業特有のサイロ化の代償を、ユーザーが一身に負わされている構図だろう。ただ、こうした日本のIT企業が訳知り顔でモバイル通信やフィンテックを語る──株主の一人としては首を傾げざるを得ない。

この苦行を毎回繰り返さなければならないのかと思うと、正直げんなりするので、せめて来期は、QRコードをスキャンしたら申し込みが完了している、くらいの体験を提供してほしいものだ。

楽天モバイルのCMが「つながりやすさNo.1」を謳っている裏で、株主優待サイトは株主との「つながりにくさNo.1」に陥っていないか。今後の改善を期待したい。

参考リンク集

あわせて読みたい