偽造キャッシュカード問題に関するスタディグループ（第16回）
議論の概要

１．日時

平成17年５月26日（木）18時00分～20時15分

２．場所

中央合同庁舎第４号館11階　共用第一特別会議室

３．議論の概要

○　シティバンク、エヌ・エイ個人金融本部の和田純子フロード・マネジメント担当バイスプレジデントより、シティバンクのフロード防止策について、説明が行われた。

○　金融庁杉浦オブザーバーより、海外調査報告（偽造・盗難等に対する事前予防策について）について、説明が行われた。

○　説明に対して質疑応答が行われた。その概要は以下のとおり。

（シティバンクのフロード防止策に関する質疑応答）

シティバンクでは、ホストとＡＴＭ間の通信に際し暗証番号について３ＤＥＳ（Triple DES）による暗号化を行っていると聞いているが、提携している他行設置のＡＴＭによる取引の場合にも同様に暗号化されているのか。
シティバンクのＡＴＭとシティバンクのホスト間の通信に際しては、暗証番号について３ＤＥＳによる暗号化を行っている。シティバンクと提携している他行設置のＡＴＭとシティバンクのホスト間の通信に際しては、必ずしも３ＤＥＳによる暗号化はなされていない。
偽造キャッシュカード問題への有効な対策として本スタディグループでも議論されているＡＴＭにおける引出限度額の引下げに関しては、既に昨年12月にＣＡＰサービス（Customer Account Protection：キャッシュカード利用限度額設定サービス）を導入しているが、預金者は引出額の変更をＡＴＭで行うことができるのか。また、引出限度額の引上げについては、悪用されないように何か工夫をしているのか。
ＣＡＰサービスはシティバンク在日支店が、独自に始めたサービスである。引出限度額の変更についてはＡＴＭで行うことはできない。限度額の引下げについては支店の窓口や電話、インターネットにより変更を受付けている。また、限度額の引上げについては、悪意の取得者等へ対抗するためにより慎重に取扱っており、支店の窓口か電話に限って受付けている。電話による場合には、口座番号に加え電話取引専用の暗証番号を利用する等の対策を行うなど、本人確認に注意している。
引出限度額の制限は１日あたりの制限だけか。１週間や１ヶ月単位の制限は設定しているのか。
現状では、１日あたりの制限のみである。
暗証番号はシティバンクが設定して顧客に付与するのか、それとも顧客が自由に選べるのか。また、暗証番号に関する情報管理の体制はどうか。
郵送により預金口座の開設の申し込みがあった場合には、暗証番号はシティバンクで設定して顧客に付与しているが、その後、顧客において自動音声応答サービスにアクセスし、暗証番号の変更を行うことは可能。ただし、預金者が変更しようとする暗証番号が生年月日等類推され易いものである場合には変更できないような仕組みとしている。

また、暗証番号の管理に当たっては、最初の暗証番号の登録時も含めて、暗証番号を書面に残すことがない仕組みを構築している。さらに、システムに暗証番号が保存されているが、ハッキングへの対応には十分備えており、流出する可能性はないと考えている。
過去にシティバンクでは、ネットバンキングに関して、キーロガ－を使用した不正取引の被害にあったと聞いているが、その後犯罪防止に関する対策は進めているのか。
被害が発生したのは、ネットバンキングの送金の事例であったが、その後、送金を行える場合を事前に登録した口座だけと限定するなど犯罪対策を進めている。
シティバンクでは、不正取引に関する会議を開催する等により対策を進めているとのことだが、その検討結果はどのように経営に活用されているのか。
世界各地の支店の不正取引に関する担当者が連絡を取り合い、各地の不正取引の発生状況やそれに対する対策の有効性等の情報交換を行っている。その検討結果は、各地のマネージャーや、必要な場合は経営トップに報告し、システムの改良等の対策について即座に判断を行う仕組みとなっている。
今後導入予定のモニタリングシステムによる、異常取引の警告は、預金者にも通知されるのか。
異常取引の警告は、監視を行っている銀行の担当者に通知される。その後、担当者が預金者に対して連絡を行うか判断する。

（海外調査報告に関する質疑応答）

海外ではデビットカードによる不正使用が多いようであるが、これは決済がオフラインで行われるために翌日に実施されることが、主な要因か。
そのように思われる。（ただし、わが国では、現在のところ、即時決済されている。）なお、欧州では各銀行がATMや窓口での現金の引出しについて、防犯カメラ等の設置等により、様々な対策をとっているのでデビットカードの不正使用により商品を購入し、それを売却して現金化する手法が犯罪のトレンドとなっている模様。
本スタディグループで議論されている犯罪被害の偽装については、あまり海外における議論を聞かないが、実情はどうか。もし少ないとすれば、外国ではＡＴＭの引出限度額が低く設定されていることが理由か。それとも他の要因があるのか。
海外では被害の偽装については余り聞かず、大手銀行では年に数件程度の模様。この理由としては、ＡＴＭの引出限度額が低く設定されていることのほか、海外ではジョイント口座（夫婦等で１口座を共有する）が導入されているため代理人による取引が少ないと考えられること、また、海外では預金者は被害の届出を書面により行い、被害届のコピーの添付等を行なう必要があり、ここで虚偽申告が行なわれると、そのこと事態が犯罪となることから、偽装へのプレッシャーとなっている。さらに、年に何回もカードの盗難・紛失届出を行う預金者については、預金者に求められる注意義務を果たしていないとして銀行が取引を停止するということが行なわれていることが挙げられるのではないか。
なお、イギリスにおいては、通常は、盗難・偽造被害に対して銀行が全額補償しているが、銀行が被害者の説明を信用出来ないと判断した場合に50ポンドルールを適用しているケースがある。この場合の50ポンドルールはむしろ、預金者への警告として使われており、数回これを繰り返した預金者は取引停止となっている模様。
海外の銀行においては、預金口座の取引記録をステートメントとして送付することが一般的か。
海外では、預金者にステートメントを送付することはかなり一般的と思われる。また、それ以外でも海外のＡＴＭには、過去の一定期間の取引記録を提示してくれる機能が付加されているものがあり、例えばドイツでは、このような機械を使用して１週間に１回程度取引記録を確認する預金者が多いようで、口座の異常取引の早期発見につながっている。
海外の銀行ではステートメントの送付を行うことが一般的ということは、ステートメントを送付してもらうために、預金者は住所変更の際の新住所を銀行に通知するインセンティブが働き、さらには銀行も預金者の住所の把握が可能となり、キャッシュカードに有効期限を設けた場合のカード交換が容易となっていると考えてよいか。
そのとおりであり、顧客管理の徹底、本人確認の問題という面で優れている。
海外において、生体認証を導入した国又はそれを検討中の国はあるか。
生体認証は、韓国の一部銀行で試験的に始められていると聞く。逆に欧州、とりわけフランスなどでは生体認証は否定的に扱われている。個人情報の管理の観点から問題視されており、指紋等の生体認証データは相当なプライバシーと考えられており、軍や警察を含む国の命令で相当な理由がなければ収集できないはずという意識もある模様。

（その他）

第二次中間取りまとめにおいて、金融機関が無過失であることを満たすための条件として、「異常な取引を認知し排除しなかったことについて故意・過失が無いこと」が挙げられているが、これは異常取引に関する検知システムの導入を銀行に求めたものと解釈すべきなのか。銀行からは、何を異常な取引とするかについては難しい点もあり、またモニタリングについて顧客のコンセンサンスを得にくい部分もあるとの意見があったが、スタディグループとしてどう考えるべきか。
その点については、異常取引の検知についてどのレベルまで求めるかという論点につながっており、今後議論を行う必要がある。なお、第二次中間取りまとめの当該部分については、異常取引の検知について銀行がどのように努力しているのかを見ており、異常取引に関する検知システムの導入及びモニタリングの実施をしないことだけをもって、自動的に銀行は無過失でないと解釈することは不適当ではないか。
預金の所有者ではない銀行が、預金者の口座の動向についてモニタリングすることは、預金者のプライバシーの侵害に当たるのではないか、との意見もあると聞いたが、どのように考えるべきか。なお、この意見では、クレジットカードに関するモニタリングシステムについて、クレジット取引はクレジット会社からの与信取引であるためクレッジト会社がチェックすることは問題ないとしている。
預金者のモニタリングに対する反応は様々である。安全性を重視している預金者はモニタリングへの許容度は高いと思われるが、「自分の財産である預金について何処でどのように使用するかは預金者の自由であり銀行が口出しする必要はない」と考える預金者も一定数いる。
プライバシーの観点でみれば、クレジットカードを利用して商品を買う場合の情報に比べ、預金を引き下ろす場合の方が情報としては抽象的であり、そこから読み取れる個人情報は少ないのではないか。両者に決定的な違いはなく、クレジットカード取引についてモニタリングができるのであれば、キャッシュカード取引でもモニタリングはできると考えるべきではないか。
銀行がモニタリングを行うことについては、海外でも嫌がる人はいる。現実的な対策としては、預金約款においてモニタリングを実施することを明記すれば良いのではないか。
「預金の主目的はお金を安全な金庫に預けること」と考えているような預金者であれば、預金の安全性を増すために実施しているモニタリングについては反対しないのではないか。また、モニタリングにより異常と判断し、預金の引出しが停止されるようなケースが起こりうるのであれば、そのことについては、預金者に事前に通知しておくことが重要。

以上

本件に関する問い合わせ先

金融庁　TEL　03-3506-6000（代表）
監督局銀行第一課（内線3322、3388）
本議論の概要は暫定版であるため、今後修正があり得ます。

サイトマップ

金融庁についてページ一覧を開きます: 大臣・副大臣・政務官; 金融庁の概要; 金融庁の改革; 所管の法人; 予算・決算; 採用情報
報道・広報ページ一覧を開きます: 報道発表資料; 記者会見; 談話等; アクセスＦＳＡ（金融庁広報誌）; フォトギャラリー; 講演等; 白書・年次報告; 利用者の方へ; 業界団体との意見交換会において金融庁が提起した主な論点; その他広報
政策・審議会等ページ一覧を開きます: 政策; 審議会・研究会等; 金融研究センター
法令・指針等ページ一覧を開きます: 法令等; 金融関連法等の英訳; 金融検査・監督基本方針関係; 監督指針・事務ガイドライン; Ｑ＆Ａ; 金融上の行政処分等
金融機関情報ページ一覧を開きます: 全金融機関共通; 銀行等預金取扱機関; 保険会社関連; 金融会社関連; 店頭デリバティブ取引規制関連; 日本版スチュワードシップ・コード関連
国際関係情報ページ一覧を開きます: 国際関係事務の基本的な方針等; グローバル金融連携センター（GLOPAC）; 職員による英文講演; 職員が務めた国際会議議長等; 日本にある金融関係国際機関; 金融安定理事会（FSB）; バーゼル銀行監督委員会（BCBS）; 証券監督者国際機構（IOSCO）; 保険監督者国際機構（IAIS）; その他
アクセスＦＳＡ（金融庁広報誌）ページ一覧を開きます: 令和4事務年度（第227号～第238号）; 令和3事務年度（第216号～第226号）; 令和2事務年度（第204号～第215号）