偽造キャッシュカード問題に関するスタディグループ(第1回)
議論の概要
1.日時
平成17年2月22日(火)10時00分~12時15分
2.場所
中央合同庁舎第4号館11階 共用第1特別会議室
3.議論の概要
○ 冒頭、監督局長より挨拶。その中で「偽造キャッシュカード問題に関するスタディグループ」を設置した趣旨について説明を行った。
○ 岩原紳作座長より、本スタディグループの今後の検討項目について、座長作成メモ(検討項目(メモ))を基に説明があった。
○ 金融庁より、「偽造キャッシュカード問題に関する実態調査結果の概要」及び「偽造キャッシュカード問題への対応について」(金融機関等への要請)について説明を行った。その後、質疑応答を行った。
○ 伊藤大臣、七条副大臣より、本スタディグループの開催にあたり挨拶があった。
○ 質疑応答の概要は以下のとおり。
ICと磁気ストライプ併用のキャッシュカードは、磁気ストライプが残っている限り悪用される危険性があるのではないか。
安全性の面ではICカード化が望ましいが、現時点では磁気ストライプの方が利便性は高い。金融機関が両方併用したカードを発行して、顧客が自らの事情に応じて利用限度額を決定し、利用していくことが考えられる。
ある金融機関のICカード対応ATMから、自分がICカードの口座を持っている金融機関に対して取引を行うことは、現時点で可能なのか。
現在、ICカードを導入している金融機関は少ないため、発行している個別の金融機関でのみ使える状況。
ICカードやデータ送信の方法は標準化されているため、統合ATMのバージョンアップにより、将来的には、どこのATMでも、ある金融機関のICカードによる引出しが可能になると聞いている。
ある銀行では、ICと磁気ストライプの併用カードを今夏発行予定。口座を2つ持たせて、日常使う口座は利用限度額を低く設定し、磁気ストライプによりどこでも引き出せるようにする一方、ICの使用口座は、生体認証もつけて厳格なセキュリティを課し高額の預金を可能にしている。
暗証番号の定期的変更を推奨しているが、現実的には暗証番号が何らかの形で漏れれば短期間のうちに引き出されるため、あまり意味が無いのではないか。
暗証番号を盗まれてすぐ引き出された場合にはどうしようもないが、過去の事例では、暗証番号が類推されたと考えられる場合もあり、その場合には暗証番号の変更で類推の危険性を防ぐ対応になる。また、犯罪(引出し)が長期間又は少し間をおいて行われる場合への対応にもなる。
暗証番号の変更は、大口預金者が暗証番号を解読されハッキングされるといった場合を念頭においた対策。小口の一般預金者に対してどこまで有効な手法かは、シニア層に要求することが現実的かとの問題もあり、疑問あり。
ATMにおいてキャッシュカードの真偽を確認する方法としては、磁気ストライプの情報を確認するしかないのか。キャシュカード自体には、預金者の名前と口座番号がエンボス(浮き出し加工)で印字されているが、意味は無いのか。
現在は、キャッシュカードの磁気ストライプ部分と、預金者が入力する暗証番号の突合により対応。エンボス(浮き出し加工)部分は同一性の確認には使用せず。
ATM内に挿入されたキャッシュカードの写真を撮影しているのか。金融庁の実態調査結果においてホワイトカードと認定できたのはなぜか。
ATM内部でキャッシュカードに伴う取引を記録・保存する写真(ジャーナル)は、事後的な検証に用いることができても、取引時において即時に突合することはしていない。
このスタディグループにおいてはどこまでの議論を行うのか。例えば、全国のネットワークの更新、磁気カードの使用を止める時期の設定、現在4桁の暗証番号の強化等については、相当のコストと時間を要する。しかし、いつかは決断しないと先に進まないため、どのくらいのタイムスパンで考えるのか。
例えば、段階的に目指すべき方向性はどこで、当面はここまで、といった感じで議論いただき、スタディグループにおいて指針を示して頂くことでどうか。
将来的にここまでやるべきことと、そうはいっても現実の被害を踏まえて緊急対応としてやるべきことを分けて議論した方がよい。また、議論するに当たり、ICカードの実現可能となるタイミングとか、本問題への対応を銀行業界がどのように考えているのか、情報を提供して欲しい。
キャッシュカードには利便性とリスクが存在するが、これまで消費者側の責任を明確にすることは置き去りにされたまま、カードが普及してきた。この現実を踏まえた考え方をしないと、ひたすら消費者は自己管理をせよということになり、現実的に無理なケースが出てくるのではないか。
キャッシュカードの不正使用に関しては、偽造カードが作られ使用される場合と、真正カードが不正使用される場合の2つあるが、法律論的には2つは違う問題。本スタディグループにおいては、偽造カードの場合のほか、真正カードの不正使用についても検討するべきか。
技術の立場からすると、真正なのか偽造なのか現実的に区別できない場合もあり、両方視野に入れて考えた方がよい。
真正カードの不正使用の問題を議論する場合、盗難通帳の問題にも広がることとなるため、短期間に結論を出すためには、まずは、偽造カード問題に関する議論を先行させるべき。
キャッシュカードにおける真正性を、物理的存在としてのカードで見るのか、磁気ストライプ部分に記載されている72バイトのデータで見るのか。デジタルデータの真正性のことだとすれば、法律論的には従来の議論と同じ枠組みになる。しかし、デジタルデータにオリジナルとコピーが言えるのか。
真正カードの場合も視野に入れて議論すべきだが、まず結論を求められているのは偽造カードの問題であり、それに結論を出すべき。
磁気ストライプのキャッシュカードは時代遅れと考えるが、他方、ICカード化によるセキュリティや本人確認は、非常にコストがかかる。セキュリティ等を確保したICカードを使って金融機関が新しいビジネスを行えるようでないと、コストに見合わないのではないか。
現在の被害額を踏まえ、どこまでのセキュリティを行うことが合理的かという判断もあるが、一方、被害者の損失負担をどうするかとの問題もあり、両面から考える必要あり。セキュリティを低いままにしてコストを安くするのであれば、補償はきちんと対応することを考えざるを得ない。
今回の金融庁の実態調査結果を踏まえ、例えば、引出しの多い夜中のコンビ二ATMの管理を強化するため、これまでのシステムを変える場合には、不正を行う側も相応の対策を打ってくるため、周到なシミュレーションの下に準備する必要あり。
警察庁は、昨年12月、金融機関に対してICカード化や暗証番号の覗き見防止等の対策について要請を行っている。
偽造キャッシュカード事件の発覚の端緒として、銀行サイドで発見した事例としては、深夜における異常な取引をチェックしていく中で、再度本人確認を行い、発覚したものがある。こうした取組みも犯人側に裏をかかれることがあり、新たな対策を次々行わざるを得ない。
都市伝説のような形で、磁気カードを非接触でスキミングができるというような話が広まっているが、個人的には事実ではないと考えており、打ち消す必要性を感じている。
以上