偽造キャッシュカード問題に関するスタディグループ（第10回）
議論の概要

１．日時

平成17年４月22日（金）10時00分～12時15分

２．場所

中央合同庁舎第４号館11階　共用第一特別会議室

３．議論の概要

○　全国銀行協会の会長行の交代に伴い、中尾誠委員（（株）三井住友銀行執行役員事務統括部長）から平田淳委員（（株）みずほ銀行事務統括部長）に交代した。

○　金融情報システムセンター郡山監査安全部長より、「偽造キャッシュカード対策強化のための金融機関等コンピュータシステムの安全対策基準の改訂」について、資料に基づき説明が行われた。

○　金融庁より、盗難キャッシュカードに関する論点整理のため、資料に基づき説明が行われた。

○　説明に対して質疑応答が行われた。その概要は以下のとおり。

過去の判例によれば、盗難キャッシュカードによる被害で、１時間に50万円ずつ16回に分けて預金が引出された事例があるが、銀行は異常取引として感知していない。現在何らかの対策を行っている例はないのか。
金融情報システムセンターでは、個別銀行の対応は調査中である。異常検知のシステムは、引出限度額の制限と組み合わせることで有効性が高まると考えられる。ただし、異常検知の感度を高めると正常な取引まで検知してしまうため、顧客の行動パターンと検知方法をどのように組み合わせるかが重要である。
異常取引を検知した場合には預金者に通知を行うのか。ＡＴＭでの引出し時点でリアルタイムに可能なのか。
現在、いくつかの銀行では、預金取引について異常検知システムを導入しているが、クレジットカード業界のシステムに比べると部分的なものとなっている。これは、クレジットカードでは顧客の商品購入のパターンから異常取引か否かを分析できるのに対し、キャッシュカードはそれが困難であることが理由ではないか。

また、ＡＴＭでの取引終了後に預金者に対して電子メールを送付するサービスを行っている銀行はあるが、異常取引があった場合に預金者に照会しその回答を受けるまで取引を停止することは、利便性の低下が大きく、現実的には難しいのではないか。
安全対策基準の検討を行う立場からは、現在のＡＴＭ又はネットワーク等インフラを大改修することまで視野に入れて基準を再検討すれば、相当安全性は強化できるのではないかと考えられる。しかし現実には、安全対策基準は参加者の努力目標的なものであるため、参加者が資金的に対応可能な範囲での基準改訂となってしまう問題点がある。
過去に発行されたキャッシュカードのゼロ暗証化の問題については、対応が確実に行われているのか検証すべきではないか。
ゼロ暗証化が行われていないキャッシュカードが一部残っている可能性はある。
安全対策基準に定められた項目は、具体的な犯罪事例の分析結果を基に、対策が定められている。しかし、項目によっては一般的な管理基準の面から定められた対策もあり、その部分の有効性の評価は難しいところである。
磁気ストライプと４桁の暗証番号を使用するキャッシュカードシステムは、登場後約30年経つが、ゼロ暗証化に関する改良以外に何か大きな制度変更の実施はあったのか。もし、ないのであれば、これだけＩＴ技術が発展している中にあって、国民の財産を預かる金融機関として適当であったといえるのか。
クレジットカードに比べ、キャッシュカードのセキュリティ対策は遅れているが、これは、偽造や盗難カードによる被害について民法第478条に過剰に守られ金融機関側が負担をしてこなかったためではないか。経済メカニズムとして、金融機関に安全対策を講じさせるインセンティブを働かすため、金融機関に立証責任を転換してはどうか。
キャッシュカードの改良に関しては、ＩＣキャッシュカード化とその有効期限（５年）などがある。
偽造キャッシュカードの被害では、振込も問題となっているが、例えば振込先の金融機関と連絡して、振込先の現金の引出しを止める等の予防策を行うことはできないか。
日本では、磁気ストライプのキャッシュカードは有効期限がなく、合併等で銀行名が変更されてもそのまま使用されているが、海外の金融機関では、キャッシュカードに有効期限（３年）を設けている例がある。カード変更の際には改めて本人確認を行うことが可能であるし、ＩＣカード化を進めるためにも、日本でも有効期限の導入を検討すべきではないか。
民法第478条は、債務者保護の観点から、真正な債権者が分からない場合にその支払いについて善意無過失である銀行を保護しようとする規定であるが、例えば、１時間に50万円ずつ16回も預金を引出す行為は、正常な取引とは言わず、また正常な取引としての外観も有していないのではないか。さらに、通常１日に10万円も引出さない預金者が800万円も不正引出しされることは、キャッシュカードによる利便性と危険性の不均衡ではないか。
現実的には、個々の預金者の行動パターンを蓄積して異常取引を検知するシステムや、逆に万人に適合する検知システムの作成は困難ではないか。問題は、銀行が各預金者の利便性へのニーズの差異に関わりなく、利便性と同時に危険性の高いサービスを提供してきた点であり、今後は預金者ごとのニーズに応じてバランスの取れたサービスを提供すべきである。
補償の問題を考えるに当たり、銀行のビジネスモデルについて考える必要がある。預金サービスの提供のあり方は国によって様々であるが、現在の日本では、預金サービスは「誰もが安価に利用できる」というライフライン的なサービスとみなされている。従って、手数料を徴収するというビジネス的な発想に馴染みにくいが、こういう考え方を採っている国ばかりではない。例えば、米国では、誰もが銀行に預金口座を開設できるというわけではない。
異常取引を検知するシステムを導入すれば、これを監視するための人件費も発生するが、現在の預金サービスにおいては、クレジットカードのように、預金額や送金額に比例して手数料を徴収するビジネスモデルにはなっておらず、現在の預金サービスの枠組みを維持したままで、このようなコストを負担していくことは難しいのではないか。
これまでの補償ルールの下では、被害を偽装しても、銀行から冷たい対応をされるに過ぎなかったので「被害者なりすまし詐欺」を行うインセンティブは存在しなかったが、全ての被害申告に対して真摯な対応で補償を検討することになれば、新たに「被害者なりすまし詐欺」を行うインセンティブを与えてしまうことにもつながりかねず、この点は慎重な検討が必要であろう。
何が異常な取引に該当するのかは難しい問題である。異常取引は、金融機関の注意義務の判断材料とするのではなく、犯罪の事前予防策のための基準として使用すべきではないか。例えば異常取引を検知した場合には、ＡＴＭの画面上で窓口に誘導し、本人確認の徹底や犯人逮捕に資するような仕組みを作ることが重要ではないか。
本件の検討に当たっては、盗難キャッシュカードと偽造キャッシュカードの明確な定義が必要ではないか。例えば、真正カードの券面を汚して偽造カードに見せかけた場合の取扱い等をどのように考えるのか。現実問題として、両者の区別は難しいと考えられる。また、盗難の場合には、被害者の早期発見が可能としているが、模造したカードを残すことで発覚を遅らせることも可能ではないか。
不正使用されたキャッシュカードが、盗難されたものか偽造されたものかの判断が難しい場合はあると考えられるが、法律論的には、盗難された真正なキャッシュカードが不正利用された場合は、全て盗難カードの問題として扱うのではないか。
キャッシュカードが盗難された場合には、原則として預金者に帰責事由があると考えられるのではないか。ただし、強盗による場合等自由な意思が奪われている場合はその限りではないと考えるべきであるが。
キャッシュカードのＩＣ化は、盗難キャッシュカード問題の解決策にならないとしているが、これは現行と同じ４桁の暗証番号を前提とするためではないか。２つの認証システムのうち記憶認証（暗証番号）も強化することが必要であり、例えば、暗証番号を10桁以内のひらがなとすれば、預金者本人は忘れにくく第三者には推測不可能なものを設定できるのではないか。
キャッシュカードの暗号を強化した場合には、現行のネットワークにおいて他行ＡＴＭからの引出しが困難になり利便性が下がるとしても、現状と比較してどちらのサービスを選択するかは預金者側の問題である。一部の預金者の選好に合わせて、利便性ばかりを重視し安全性の低いサービスを提供することは問題ではないか。
金融機関の管理者責任を明確にするために、預金者が預かり料を支払うこととした方が良いのではないか。法律論的にも有償寄託と整理すれば金融機関の責任も重くなる。預金者が適切なコストを支払い、銀行がそれに見合った安全なサービスの提供を行う仕組みが必要である。そして金融機関がサービスを競争すると良い。
本問題は、金融機関と預金者の間の新しい関係をどのように構築するかとの問題でもあるが、今後は、例えば預金に保険を付保する等、各金融機関がサービスを競争することになると考えられる。しかし、他方で、金融機関ごとに補償やサービスの取扱いが異なることへの批判、更には立法化の議論もあるところであり、ルールの策定等を考えた場合、一定のレベルのバランスを取る必要があるか否かという議論も必要ではないか。
盗難キャッシュカードの問題では、盗難の事実が発生した際に顧客からの通知が重要である。盗難被害の偽装を防ぐために、保険の場合を鑑みると、預金者から警察に被害届を出してもらうことも考えられるのではないか。
盗難における被害届の提出は、捜査の端緒になるに過ぎず、事件性の確定を意味するものではない。被害届の提出が、盗難被害の偽装等の防止につながるかと言えば、疑問が残るのではないか。
盗難被害の偽装を行う可能性が高いのは、お金に困窮した人が、借金をして預金を積上げ、盗難にあったと主張する場合が多いのではないかと考えられるが、この場合は資金移動のパターンから犯罪の検知が容易なのではないか。
保険の場合は、モラルハザードを防ぐための知見や、そのような事件に関する判例も豊富にあると考えられるので、参考とすべきではないか。

以上

本件に関する問い合わせ先

金融庁　TEL　03-3506-6000（代表）
監督局銀行第一課（内線3322、3388）
本議論の概要は暫定版であるため、今後修正があり得ます。

偽造キャッシュカード対策強化のための「金融機関等コンピュータシステムの安全対策基準」の改訂について（金融情報システムセンター説明資料）（PDF：210KB）

サイトマップ

金融庁についてページ一覧を開きます: 大臣・副大臣・政務官; 金融庁の概要; 金融庁の改革; 所管の法人; 予算・決算; 採用情報
報道・広報ページ一覧を開きます: 報道発表資料; 記者会見; 談話等; アクセスＦＳＡ（金融庁広報誌）; フォトギャラリー; 講演等; 白書・年次報告; 利用者の方へ; 業界団体との意見交換会において金融庁が提起した主な論点; その他広報
政策・審議会等ページ一覧を開きます: 政策; 審議会・研究会等; 金融研究センター
法令・指針等ページ一覧を開きます: 法令等; 金融関連法等の英訳; 金融検査・監督基本方針関係; 監督指針・事務ガイドライン; Ｑ＆Ａ; 金融上の行政処分等
金融機関情報ページ一覧を開きます: 全金融機関共通; 銀行等預金取扱機関; 保険会社関連; 金融会社関連; 店頭デリバティブ取引規制関連; 日本版スチュワードシップ・コード関連
国際関係情報ページ一覧を開きます: 国際関係事務の基本的な方針等; グローバル金融連携センター（GLOPAC）; 職員による英文講演; 職員が務めた国際会議議長等; 日本にある金融関係国際機関; 金融安定理事会（FSB）; バーゼル銀行監督委員会（BCBS）; 証券監督者国際機構（IOSCO）; 保険監督者国際機構（IAIS）; その他
アクセスＦＳＡ（金融庁広報誌）ページ一覧を開きます: 令和4事務年度（第227号～第238号）; 令和3事務年度（第216号～第226号）; 令和2事務年度（第204号～第215号）