偽造キャッシュカード問題に関するスタディグループ（第15回）
議論の概要

１．日時

平成17年５月19日（木）16時00分～18時15分

２．場所

中央合同庁舎第４号館４階　共用第二特別会議室

３．議論の概要

○　（社）電子情報技術産業協会金融端末専門委員会　泉委員より、「ＡＴＭにおけるセキュリティ対策」について、資料に基づき説明が行われた。その後説明に対する質疑応答が行われた。

○　偽造キャッシュカード被害に関する事前予防策について、フリートーキング形式で議論を行った。

○　質疑応答及びその後の議論の概要は以下のとおり。

実暗証カードのゼロ暗証化については、1988年の切り替え以降、現在ではほぼ終了したと判断している根拠は何か。
預金者が口座を開設している銀行のＡＴＭにおいて取引を行った際に、自動的にキャッシュカードのゼロ暗証化が行われている。預金者が普段使用しているカードであればこれまでに処理が行われている。しかしながら、タンスの中で眠っているようなカード、いわゆる睡眠口座のカードについては、未だゼロ暗証化が終わっていないものが残っている可能性がある。
ＡＴＭを更新する期間はどのくらいか。そのタイミングについて基準はあるか。
更新タイミングについては、ベンダーの設計基準が耐用寿命６～７年に対し、実際には10年程度使用されている。耐用寿命を越えたＡＴＭについては、補修や保守が難しくなるため機器更新を提言しているが、専ら金融機関の営業戦略に基づき行われているところ。なお、更新は一度に全面的に切り替えるのではなく、順次行われている。
ＡＴＭの性能、機能については、ＩＳＯの基準やそれに基づく評価があるのか。無いとすれば、作製されたＡＴＭが金融機関の要求した性能を有することをどのように証明するのか。例えば業界団体において性能を検証する仕組みがあるのか。
ＩＳＯの基準はない。ＡＴＭの性能、機能については、各ベンダーの評価基準に則り評価している。金融機関が独自に要求した機能については、金融機関自身が確認している。なお、防犯に関しては、ＡＴＭの筐体（外枠部分）について日本自動販売機工業会が示している基準があり、それに従っている。
ＡＴＭの機能や性能の要件を選択する場合、ベンダー側から提案を行うことが多いのか、それとも金融機関から要望を示されることが多いのか。
注文者である金融機関が機能や性能、コストパフォーマンス等も考慮しながら決定している。ベンダーとしては、現行システムの脆弱性や金融機関の要望事項に問題点があれば、提案や指摘は行っているところ。
日本では、統合ＡＴＭのもとネットワーク化が進んでいるため、自行だけがセキュリティを強化しても、ネットワークの一部（他銀行）が弱いままだと、対策の意味が無くなるという問題点があるのではないか。
ＡＴＭの取引限度額の引下げや取引時間等の制限の機能を実施する場合は、ＡＴＭの装置の改修は不要であると考えられるが、コストは余り大きくないと考えて良いか。
ＡＴＭ及びホストコンピュータのソフトウェアを変更することで対応可能であるため、ＡＴＭとしては、ＡＴＭ等の装置を変更・交換するものよりは容易に実施可能であると言える。これらの対策は各金融機関も積極的に検討・実施しているところ。
但し、ホスト側では口座ごとに１日あたりの引出回数や引出累計額の設定・チェックが必要となるため、ソフトウェアの変更であっても相応のコストと準備期間が必要。
暗証番号を一定回数間違えて取引が拒否された場合に、キャッシュカードを返却するＡＴＭと、キャッシュカードを吸い込む（その後窓口等で返却する）ＡＴＭがあるがどちらが主流なのか。
カードを返却するＡＴＭが大半と思われる。これは、カードを返却する事務負担が大きいためと思われるが、偽造キャッシュカード事件の発生を踏まえると、犯罪の拡大防止のため考え方を変える必要があるかもしれない。
ＡＴＭコーナーにおける暗証番号の覗き見防止のためには、暗証キーのシャッフル機能は有効なアイデアと思われるが、普及しているのか。
近年の盗難・偽造被害の発生を受けて開発されたものであり、導入はまだ極めて少数である。なお、この機能を使うとどうしても番号の押し間違いが多くなるため、シャッフル表示を行うか否かを預金者に選択できるように改良することを提案中である。
この機能は、インターネットバンキングにおいて多く活用されている。
偽造・盗難キャッシュカード被害の事前予防策の検討に当たって、金融機関によっては体力的に同一の対応策の実施が難しいところもあるかもしれず、他方で、事前予防策の実施状況が金融機関の過失認定にも影響しかねないことも考慮すると、どのように金融機関の規模に応じた対策を考えていくべきか。
事前予防策の検討に当たっては、全ての金融機関において実施する必要がある最低限の対策（ミニマムスタンダード）と、経営判断として可能であれば実行することが望ましい対策（ベストプラクティス）の両方について検討することを考えており、金融機関により対策が異なることはあり得るのではないか。
これまでの補償策の検討では、被害にあった預金者をどのように守るのかといった観点から議論がなされてきた。しかし、金融機関が補償を実施して損失を負担していくこととなれば、今後は、その金融機関が負担の重みによりつぶれないためにどうすべきかを考えていく必要がある。つまり、犯罪防止は、預金者保護よりも金融機関の自衛として考えるべきではないか。
例えば、補償を受けることとなる預金者は、犯罪防止に関してコストを払う（あるいは利便性が下がる）対策を受け入れて金融機関に協力するのか、またそれを踏まえて、金融機関は自分を守るためどのような対策を行うのか、さらに個別の金融機関では対応できない問題について業界としてどのような検討や体制整備を行っていくのか、などを議論する必要があるのではないか。
本スタディグループでも議論してきたが、犯罪防止に関して預金者が留意しなくてはならないポイントはある程度はっきりしており、預金者への啓蒙・教育をきちんと行う必要がある。また、商品（預金）の提供に当たり、当該商品にどのくらいリスクがあるのかを預金者が理解できるように示すことが重要ではないか。
預金者も犯罪に巻き込まれることは嫌であるから、多くの人は今後も金融機関に協力するのではないか。未だ偽造及び盗難キャッシュカード犯罪の実態が良く分からない点があるので、対策を考えるために金融機関は被害実態を把握して公表を行ってほしい。
事前予防策の例として、キャッシュカードの有効期限の設定や暗証番号の強化（桁数の増加やひらがな等の導入）等の様々な対策が言われるが、その対策は本当に必要・有効なのか、利便性は大きく下がらないか、また、金融機関のネットワークの変更が必要な対策であれば、莫大な費用がかかり各金融機関の体力格差の問題が影響しないか、等も検討して判断する必要がある。
金融行政において護送船団方式は過去のものになったと思うが、防犯等の安全基準についても、一番弱いところに合わせて基準を作り、システム全体を脆弱にすることはやめるべきではないか。弱いセキュリティしか実現できない金融機関が他行とネットワークを提携できなくなることは止むを得ないと考えないと、この議論は先に進まないのではないか。
コンビニＡＴＭを使えば24時間引出し可能となるが、そのようなサービスを望まない預金者にまでそれを一律に提供すること、言わば利便性の押し売りは止めるべき。利便性は高いが危険性も高い預金商品だけではなく、今後は、金融機関が預金者のニーズを探しセキュリティや利便性が異なる様々な商品を開発し、競争することが必要ではないか。
偽造・盗難キャッシュカード問題が生じたのは、これまでの安全対策の検討が不十分であったことを示している。ＡＴＭやシステム全体について、各ベンダーが開発・提案を行い金融機関が使用しているが、第三者による検証が無かったため、セキュリティの穴が見逃されてきたのかもしれない。今後は安全のレベルを高めるために、このような問題を検討する専門組織を構築し、セキュリティの方向性や基準を示すべきではないか。各システム等において最低限守られるべき部分と競争すべき部分を全体として見る組織・システムが必要である。
金融機関としては、今後犯罪を減らすことを目的として対策を考えていくこととなるが、そのためには、預金者にもキャッシュカードや暗証番号の管理を徹底してもらうことが必要であり、それを周知して参りたい。
各金融機関はセキュリティ水準を競争し、預金者はその状況を見て金融機関を選択すべきという意見は、全くの正論ではあるが、現実問題としてはそのような競争は過去にはなされていない。これは各金融機関のセキュリティ水準が分かりにくいということもあるが、これだけ周知を行っても未だ暗証番号に誕生日を使用する預金者が多いという現実が影響している。この現実も踏まえて議論を進める必要がある。
金融機関以外の業態を見ると、過去にセキュリティの水準が高いことを売りにして成功したインターネットサービス企業は無かった。また、今後金融機関の補償が進めば預金者の関心は下がるため、犯罪の実態は分かりにくくなる。例えば、クレジットカードに関する不正取引の被害額は大きいが、発行会社が補償を行っているため大きな話題となっていない。しかしながら、クレジットカードでの取引で利用者が支払う額の一部が保険として支払われ、それに相当する被害額が犯罪組織の資金源となっている面もある。犯罪を減らしていくためには、金融機関は犯罪の実態について積極的に公表した方が良いのではないか。
これまでの金融行政は預金者保護の観点が中心であったが、今後は金融機関を含む金融システム全体を守る観点からもセキュリティの検討が必要であり、さらには、社会における犯罪を減らすためにも検討を行っていく必要がある。
日本では、個々の金融機関のシステムをつなぎ、統合ＡＴＭとしてより大きな利便性が提供されている。そのような全体のネットワークに参加するためには、各金融機関も体力に拘らず一定レベルのシステム、安全対策が必要と考えられるが、それをどの程度とするかが問題となる。また、それを検討し実行させるための組織についても検討する必要があるのではないか。

以上

本件に関する問い合わせ先

金融庁　TEL　03-3506-6000（代表）
監督局銀行第一課（内線3322、3388）
本議論の概要は暫定版であるため、今後修正があり得ます。

サイトマップ

金融庁についてページ一覧を開きます: 大臣・副大臣・政務官; 金融庁の概要; 金融庁の改革; 所管の法人; 予算・決算; 採用情報
報道・広報ページ一覧を開きます: 報道発表資料; 記者会見; 談話等; アクセスＦＳＡ（金融庁広報誌）; フォトギャラリー; 講演等; 白書・年次報告; 利用者の方へ; 業界団体との意見交換会において金融庁が提起した主な論点; その他広報
政策・審議会等ページ一覧を開きます: 政策; 審議会・研究会等; 金融研究センター
法令・指針等ページ一覧を開きます: 法令等; 金融関連法等の英訳; 金融検査・監督基本方針関係; 監督指針・事務ガイドライン; Ｑ＆Ａ; 金融上の行政処分等
金融機関情報ページ一覧を開きます: 全金融機関共通; 銀行等預金取扱機関; 保険会社関連; 金融会社関連; 店頭デリバティブ取引規制関連; 日本版スチュワードシップ・コード関連
国際関係情報ページ一覧を開きます: 国際関係事務の基本的な方針等; グローバル金融連携センター（GLOPAC）; 職員による英文講演; 職員が務めた国際会議議長等; 日本にある金融関係国際機関; 金融安定理事会（FSB）; バーゼル銀行監督委員会（BCBS）; 証券監督者国際機構（IOSCO）; 保険監督者国際機構（IAIS）; その他
アクセスＦＳＡ（金融庁広報誌）ページ一覧を開きます: 令和4事務年度（第227号～第238号）; 令和3事務年度（第216号～第226号）; 令和2事務年度（第204号～第215号）