偽造キャッシュカード問題に関するスタディグループ(第18回)
議論の概要
1.日時
平成17年6月10日(金)10時00分~12時00分
2.場所
中央合同庁舎第4号館11階 共用第一特別会議室
3.議論の概要
○ 日本銀行岩下オブザーバーより、金融業務における情報セキュリティ技術の国際標準化について、説明が行われた。
○ 偽造・盗難キャッシュカード問題の被害発生の予防策・被害拡大の抑止策について、議論が行われた。
○ 説明に対する質疑応答及び議論の概要は以下のとおり。
(金融業務における情報セキュリティ技術の国際標準化に関する質疑応答)
推奨としてのデジュールスタンダード(公的な標準)を国内で強制的な標準としている国はあるのか。
そもそもISOは任意規格であり、国策として義務付けている事例はないと思われる。欧州では、金融業界団体が主導している面が強い。米国では、全ての金融機関がISOに準拠しているわけではないが、ISOを基にしたビザやマスターの基準に準拠しないとこれら国際クレッジトカードに参加できないため、事実上対応ができている。その意味では、ISOの国際標準はミニマムスタンダードであり、ベストプラクティスはもっと高いところにある。
磁気ストライプのキャッシュカードの安全性についてISOではどのように評価しているか。
磁気ストライプカードは現時点において各国で広く使われており、ISO /TC68では一定のコストを掛てきちんと管理すれば有効であると認識されている。また、磁気カードをICカードに更新するためには、読取装置とカードの双方を交換する必要があるため、米国のような大国ではなかなか進まないのが現実。こうした中、磁気カードは暗証番号のセキュリティを高めることで守ることが必要と考えられている。日本に当てはめれば、国際標準からみると磁気カードの使用自体は問題ないが、暗証番号に関する取扱いが十分であるか否かは議論のあるところ。
全銀協において基準を作成している国内のICキャッシュカードについては、国際標準に準拠した規格とし、カードの有効期限を設けるなど安全性には配慮しているが、その中で利用さている暗号化や電子認証に関する技術等は、5年程度のサイクルで進化しており、安全性の水準を保つためには技術革新に適切に対応していく必要がある。
銀行は、今後、認証のために国際標準に適合した暗号化技術をさらに使用せざるを得なくなると考えられるが、国際標準では生体認証についてどのように考えているのか。
生体認証の標準化については、欧米では、運用面で様々な問題があり難しいと考えられている。日本以外で金融業界として生体認証を推進しているのは韓国位ではないか。これは、暗証技術の適正な運用により安全は十分保たれると考えている国が多いからではないか。
海外においては、ISO9000の品質保証システムを取得している企業は金融機関から融資を受けやすい等のISO取得に対するインセンティブがあるが、日本の金融機関ではISOを取得することが評価されていないように見受けられる。こうした中、金融機関の情報セキュリティについて国際標準に適合させるための推進力は何か。
ISO/TC68の場には、各国の中央銀行や民間金融機関、金融業界団体の方々が多く参加しているが、諸外国からの参加者の中には、銀行員であるにもかかわらず、最新の技術論文等もすべて目を通しており、その内容についての議論を始められるだけの素養を持っている人が多い。そうした国では、金融関係の専門家が集まる場が設けられ、発生している問題とその対策を情報交換し、自主的に議論するカルチャーが醸成されている。情報セキュリティは、他者から言われて行うものではなく、金融機関自らがシステムを守るために主体的・積極的に努力することが必要。こうした金融機関側の意識がセキュリティ向上のための推進力となるのではないか。
暗証番号管理及びセキュリティに関する国際標準であるISO9564とFISCの安全対策基準を比較した場合には、両者では適用対象や求められる程度が異なっている。仮に国際標準に合わせたからといって、すぐに全ての偽造カード事件を防げるわけではないが、金融機関のセキュリティに関する努力を示すためには、国際標準を遵守することが望ましい。
今後、日本の基準を国際標準のルールに適合させる場合、我が国のATMキャッシュカードシステムは極めて大規模なものであるため、国際標準をそのまま国内に持ち込み、それに適合するよう変更を行うことは費用や時間の面で難しいと思われる。まずは対応可能な部分から運用上の工夫を行い、国際標準に近づけていくことや、あるいは国際標準を意識したセキュリティに関する体制を作ること、さらにはそれをチェックする仕組みを整備する必要がある。それらをフレキシブルに実施していくことが適当なのではないか。
情報セキュリティ面を加味した金融機関の格付けの動きはあるのか。
知る限りにおいてはないと思われる。なお、情報セキュリティの分野とは異なるが、一部の金融機関では、ディスクロ誌においてBS7799やISMS等のセキュリティ・マネジメント標準の認証取得をアピールしている例はある。
金融機関に情報セキュリティの向上に対するインセンティブを与える方法は何か。
通常の商品・サービスであれば、購入側の要望に応じて販売側は変化していくものであるが、金融機関にはそのようなメカニズムは働きにくく、金融機関が自らその気にならないと変わらない。セキュリティに関する情報を公開することでマーケットの影響を受けて金融機関が変わることが望ましいと考えるが、仮に情報セキュリティに関する分野は安全対策上公表できない部分があるとするのであれば、監督当局が国民の代わりにきちんとチェックを行い、レベルを引上げさせることが必要なのではないか。
本年4月の個人情報保護法の施行に伴い、FISCの安全対策基準においても金融機関の拠点間をまたがる個人情報の通信には、光ファイバを用いた場合を除き、暗号化を行うことが義務付けられた。これにより金融機関は暗号化の推進に積極的になるのではないか。
金融庁の検査においても、今後は情報セキュリティに関する部分についての評価を重視することを検討している。
情報セキュリティに関する問題は、現時点では、まだ、客観的な評価を一般の人に示すことが難しいこともあり、セキュリティが強固であることを示すことにより市場で優位に立つことは難しい。こうした問題は、インターネット上のサービスでも同様である。この問題への対応としては、安全対策の強制はできないとしても、安全対策基準・ガイドラインをしっかり作ることが重要。
(被害発生の予防策・被害拡大の抑止策に関する議論)
偽造・盗難カード対策の有効な方法としては、ATMにおける利用限度額の引下げが強調されるが、それに合わせて、顧客が現金引出しを行える場所・サービスの範囲についても制限を設ける仕組みを推奨すべき。例えば、コンビニATMでの使用を制限する設定や、キャッシュカードによるカードローンの受付けを制限する設定など、顧客自らの選択により利便性を狭めることを選択肢とすることも必要。
これまでの会合の中でも議論となった総合口座の問題も同様に考えられるのではないか。
現行のキャッシュカードに関しては、有効期限がなく、また預金に係る約款の交付もカード申込時の1回限りとなっている。このため当該預金商品のサービスが拡充した場合にも預金者には通知が全くされていない。これは民法上問題となるのではないかとも思われ、また、クレジットカードの取扱いと比べても差異が大きいのではないか。今後は、キャッシュカードについても、定期的な更新や預金商品変更時の預金者への約款の積極的な交付が必要なのではないか。また、このような預金者への積極的な情報開示により、預金者側のセキュリティに関する認識の向上も期待されるのではないか。
今般の偽造・盗難キャッシュカード問題を受けて、警察庁の防犯基準の改訂について検討をしたいと思っている。今後は、より防犯性の高いATMの開発やキャッシュカード、暗証番号の強化、さらにはビデオカメラの保存期限の延長等が求められるのではないか。また、警察庁と金融機関、金融庁との間で情報交換のための連絡会議の開催などの実施も大切。侵入盗対策など他の分野でもそうだが、金融機関においても防犯について高い位置付けをしてもらうとともに、安全対策の強化に関して、ある程度、コストは必要経費と認識して対応を進めて欲しい。
情報セキュリティの強化のためには、金融機関におけるセキュリティ全般におけるフォローアップの実施や金融機関のセキュリティ対策に関するノウハウ蓄積のための情報交換の場を設けること、国際的なセキュリティトレンドに沿った安全対策の実施、といった金融機関の自発的な対策を促すための仕組みを作ることが重要。さらに、金融機関の自発的な取組みを導くためには、必要なセキュリティについて適切に判断できる人材を金融機関内に育てることが必要となる。日本は安全であり、また、セキュリティは金を生まないため、これまで金融機関はあまり重視してこなかったが、今後はセキュリティに従事する人材を育成してきちんと処遇する必要がある。
セキュリティの強化を実現するためには、預金者側においてもキャッシュカードや暗証番号等をきちんと管理する責任があることを強調すべき。ICカードは多機能であり情報が今まで以上に集積するが、ICカード化するだけで全て安全になるわけではないとされている。今後は、預金者が誤解しないようにリスクに関する情報をきちんと提供すべき。
暗証番号について、4桁の数字では弱いのではないかと議論されているが、ランダムな数字の組み合わせを覚えることは大変難しく、これをさらに、暗証番号を6桁としたり、キャッシュカードの更新の度に暗証番号を強制変更させることは、顧客、特に高齢者等にとっては酷ではないか。暗証番号の強化策を行うのであれば、記憶しやすいように暗証番号として「ひらがな」を導入する等の工夫をして、覚えやすいものとすることを検討すべき。
暗証番号を4桁の数字とすることは世界的な標準となっており、これを変更することはコスト的に大変難しい。また、現状では暗証番号の入力を一定回数間違えれば取引不可となる取扱いも併用しており、現在のシステムでも安全性に関する合理性はあると見るべきではないか。
事前予防策の導入に際しては、被害の軽減、つまり金融機関の補償負担の軽減にどの程度寄与するのかという「費用対効果」の面や顧客利便性についての検討を行ったうえで、各金融機関の全般的なセキュリティ対策の状況、さらには金融機関ごとに異なる顧客層のニーズ等、それらを総合的に勘案して、各金融機関が選択的に経営判断を行い、効果的な対策を導入すべき。
ATMの利用限度額の水準に関しても、金融機関ごとに顧客層となるマーケットの構造が異なっているため、当スタディグループにおいて一律の基準を示すよりも、各金融機関において独自に判断することとした方が良いのではないか。
当スタディグループではICカード化の議論も行なわれたが、ICカードにすれば完全に安全とは言い切れず、また(多機能化等により)新たに顧客が注意しなければならないポイント・リスクがあるのではないか。従来、こうしたリスク部分の説明が十分でなかったことが問題であり、ICカード導入の際にもリスク説明はきちんと行なわれるべきではないか。
預金者の多くは忙しいため、通帳記入を行うために定期的に金融機関に訪れることは現実的に難しいと思われる。このため通帳からステートメント方式に切り替えることも、顧客の利便性向上の点から有益なのではないか。これまで金融機関は、通帳と比較してステートメントの送付形式の方がコスト増になると懸念していたが、外国銀行では工夫によりそのコストを下げている事例もあると聞いている。通帳廃止によるコスト削減も踏まえれば、検討に値するのではないか。
以上
サイトマップ
