偽造キャッシュカード問題に関するスタディグループ（第７回）
議論の概要

１．日時

平成17年４月１日（金）18時00分～20時30分

２．場所

中央合同庁舎第４号館11階　共用第一特別会議室

３．議論の概要

• 金融機関はICカードについて平成13年度から取り組んでいると認識しているが、今になってようやく普及させようとしている。当時、ICカードを普及させるためのロードマップは作らなかったのか。また、普及策として何か行ってきたのか。

• 全銀協としては、ICカードを普及させるため、銀行間での互換性を確保するために仕様の標準化に取り組んできたところ。

• ICカードと生体認証は並列に考えられることが多いが、これらには大きな差があると思われる。ICカードについては、規格や標準化、特にセキュリティの基準について随分整備されてきたが、一方で生体認証については何のガイドラインもない。そのような状況下で生体認証を使用して本当に大丈夫なのか。

• 生体認証については、各銀行が先行者リスクを負いながら導入を進めており、創意工夫を凝らし切磋琢磨することで、使い勝手や安全性が向上していくものと考えている。

• キャッシュカード取引については、各金融機関間をオンラインでつなぐことにより全国津々浦々の金融機関において相互に預金の払戻しが可能となっている。また、金融機関の中には、郵便局や保険会社、消費者金融等と個別に提携し、相互にATMの利用を可能にしているところもある。

• 各業態におけるATM等のシステムについて、統一的に安全性等について検討する場はない。技術面の検討については、基本的に各業態ネットワークにおいて行われているが、一般的には、一つの基準として金融情報システムセンターの安全対策基準があり、各々これらを基に検討がなされていると思う。

• 諸外国の安全対策基準と比較すると、日本の安全対策基準は細部まで記述があり、金融検査マニュアルとの連繋もあるため、金融機関全体のレベルを一定水準の高さにまでもっていくのに役立っているように思われる。諸外国においては、安全対策基準は各金融機関において取り組むべき必要最低限のレベルのもの。

• 日本においては、各業態間を結ぶ統合ATMセンターはあるものの、その下にあるBANCS等の業態ごとのネットワークにおいて決済ができあがっているため、業態を超えた統一的なシステムの検討は行われにくいのが実情。

• 個別金融機関のシステムについては金融検査の対象となっているが、共同システムについては対象となっているのか。

• 少なくとも技術面について、ある種の基準が設けられていて、それに従って適切にシステムが造られており、かつ適切に運用されているかどうかを確認できる体制が必要なのではないか。そうした中心になる部分がないことが今回の問題を大きくしているのではないか。

• 金融情報システムセンターの安全対策基準は有用だと思うが、それをもってしてもカードの偽造犯罪に対しては効力がなかった。そうした点も含めて、認証システム全体の安全性が図れるような体制が必要なのではないか。

• 生体認証の標準化について、金融業界は誰に期待しているのか疑問。ベンダー任せではなく、もっと業界が主体的に「何で生体認証を使うのか。」を考えなければ、運用する中で矛盾が生じてくるのではないか。そのあたりを議論する場が必要と考える。

• 金融情報システムセンターの安全対策基準は検査においても規範性がある。例えば暗号化についてどこまで要求しているのか。

• データ伝送にあたっては暗号化が望ましいとした上で、暗号化の方式等についても記述している。

• 検査においては、安全対策基準をどのように当てはめているのか。

• 検査マニュアルには、管理態勢に問題が見られ、さらに深く業務の具体的検証をすることが必要と認められる場合には、安全対策基準に基づき検証を行うこととするとある。

• 暗号化については、何をもって暗号というのかが問題。暗号学上は、せめてDES暗号でないと暗号化とは言わない。

• 米国や欧州の国内基準においては、暗号化といえば、少なくとも80年代にはDES暗号を使用することとされていた。これは、おそらく、きちんとした暗号ではない暗号を使用した結果、何らかのトラブルが発生し、そうした経験から基準に盛り込まれたものと思われる。暗号化については、前提となる社会情勢等を踏まえ、その内容についても見直しを行っていく必要がある。

• 暗号等セキュリティシステムにかかる情報について、インターネットの普及により世の中の方々が良く知っており、また、知り得る状況にある。場合によっては、金融機関側のシステム担当者よりも詳しい状況もみられている。今後は、金融機関側がもっと知識レベルを上げていく必要があるのではないか。

• ICカードの普及状況について言えば、個別行の例であるが、ICカードの発行にあたっては手数料を徴収することとしているものの、ICカードの普及を促進するため発売後３ヶ月間は手数料を無料としている。しかしながら、期待したほど申し込みがない。

• 顧客自らの負担で任意に保険に入ることは可能か。また、それを引出上限額とも連動させることは可能か。キャッシュカードの不正利用に対しては、銀行側のみが保険料を負担するのではなく、顧客が自らの選択において保険に入ることができる仕組みがあっても良いのではないか。預金者側においても、全てが銀行側の責任ということではなく、安全性はただではないという認識が必要。そういう認識がなければ、預金者側においてカードや暗証番号の管理に関する意識が醸成されないのではないか。預金者側にも何らかのインセンティブが必要であり、選択する幅も必要と考える。

• 金融機関としても、顧客にコストを負担してもらって安全性を組み込む商品があっても良いのではないかと考える。

• 顧客が自ら負担して保険に入るということも一つの理想論としてすばらしい考えだと思うが、実態としては、実際の手間とコストを考慮すると、顧客一人一人が独自に保険に入るよりは金融機関がまとめて加入した方が効率的だと思われる。

• ある業態ではキャッシュカード偽造保険の共同化を検討しているが、各行の安全対策の水準等で保険料が異なってくるため、各行の保険料率を統一化するのが難しい状況。また、保険料については銀行側が負担せざるを得ないというのが基本的な考え方であり、今のところは顧客に負担してもらうという考えはない。

• 金融機関が入る偽造キャッシュカードの保険については、最終的に金融機関が被害額を全額補償することを前提にすると、金融機関の保険料の支払いは事前の積み立てとも考えられる。また、被害額が保険によりカバーされる範囲を超えれば結局金融機関が負担しなければならないことを踏まえると、保険としての意味はあまりないように思われる。

• ICカード化など各種の偽造対策を行った場合とそうでない場合とでは、補償や保険の水準に差を設けることになるのか。それとも、金融機関が全額負担するということであれば、そこに差は設けられないということなのか。

• 預金商品の内容等に応じて考えていくべきとは思うが、現状においては、まずいろいろな対策を出していくことが先決という考えのもと、各行が様々な取組みを行っている状況。今後、こうした取組みの状況と被害状況のデータが体系的に整理されていくものと考えている。

• ある銀行においては、引出限度額を一律に下げて低く設定し、顧客に現状のセキュリティの状況を考慮してもらったうえで、希望に応じて引出限度額の引き上げを可能にするサービスを行っている。

• 安全性と利便性、セキュリティとコストをどのようなバランスで考えていくかが問題となるが、金融機関としては最低限やれることはいろいろやって、被害の拡大防止に努めているところである。偽造キャッシュカード問題に係る議論については、最近急速に展開してきており、技術面も含めていろいろな意見が出されている最中であることから、金融機関としてもいろいろな角度から物事を見たり、検討する必要があると感じている。

• 今般のカードの偽造問題により、はじめて金融機関のシステムにかかる問題が噴出したが、これを良い機会に真剣にセキュリティの向上にかかる手立てを考えていかなければならない。また、行政側がこうしたセキュリティの問題に対してどこまで関わっていくのかも一つの課題。

• 偽造キャッシュカード問題が非常に大きく取り上げられている一つの要因として、金融機関側の被害者（顧客）への初期対応が不適切だったのではないかという指摘がある。顧客からの偽造キャッシュカード等による異常取引の申出があった場合の対応をどのようにするかについて、各金融機関や業界団体において、検討は行われているのか。

• 営業店における窓口対応については、真摯に対応するよう指導している。また、営業店のみで簡単に判断するのではなく、本部に連絡して対応するよう指導している業態もある。

• 事前予防策として、異常取引を検知するシステムや検知した場合の対応方法について検討中であるが、どこから異常として扱うかの線引きが難しいという問題がある。

• ある医者の方から、「ある病気の患者の場合、指先認証において指の形状が変わってしまうことから認証に耐えないという問題があるので、その点も含めて検討して欲しい。」という内容の手紙を頂いている。生体認証に関しては、こうした点も考慮に入れて今後検討していく必要がある。

以上

---