偽造キャッシュカード問題に関するスタディグループ(第17回)
議論の概要

1.日時

平成17年6月1日(水)14時00分~16時00分

2.場所

中央合同庁舎第4号館9階 特別会議室

3.議論の概要

○ 偽造・盗難キャッシュカード問題の被害発生の予防策・被害拡大の抑止策に関する基本的な考え方について、議論が行われた。

○ (株)アイワイバンク銀行安齋社長より、アイワイバンク銀行における偽造カード対応について、説明が行われた。

○ 説明に対する質疑応答及び議論の概要は以下のとおり。

(予防策・被害拡大の抑止策に関する基本的な考え方に関する議論)

  • 銀行は預金者より預金を預かることを業務としているが、現在のような景気状態では、利息を生むことよりも預金を安全に管理することがサービスとして求められている。預金を安全に管理するためにはコストがかかるが、そのコストを銀行と預金者のどちらが負担すべきかという点も議論すべきではないか。現在のようにサービスが無料のままでは、安全対策もいい加減なものとなりかねない。この視点はこれまでの日本における銀行のビジネスモデルからすると異質であることは否めないが、これも安全対策の検討にあたり必要な視点ではないか。

  • 金融システムの安定に資するためには、一定のセキュリティレベルを維持するための環境整備、システムの構築・運用について監査し評価する仕組みを作るべきではないか。その際には、各金融機関がATMネットワークに参加するにあたり互いのセキュリティレベルを評価するとともに、自行のセキュリティレベルについて可能な範囲で公表することが重要。

  • 金融機関のセキュリティに関する情報は、これまで消費者に十分に公開されていないため、消費者は安全を得るために何を行うべきかについて、理解し判断することができない。本問題に関する現実の被害状況や問題点の所在について、情報をもっと発信すべき。

  • 偽造・盗難カード問題の被害者から事情を聞くと、金融機関や警察における窓口対応のまずさにより、問題をこじらせている事例が多いと見受けられる。営業店等の現場における消費者相談の窓口対応は、丁寧かつしっかりと行うように改善すべきである。

  • ISOの基準としては、金融機関の苦情対応のマネジメントシステムに関し、国内版の基準を現在鋭意検討中である。

  • 金融機関の情報システムのセキュリティ向上のためには、まず、FISCの安全対策基準のほか、ISOの基準(15408)等に基づき、ATM等の個々の機器の製造や金融ネットワークの構築に関し、関係者でそれぞれの安全基準を作成することが必要。次に、その基準に基づきベンダーが作製・提供した機器等が、実際に基準を満たしているか否かについて、第三者機関等で評価し認証する仕組みが必要。さらに、その機器等が金融機関において実際に運用される段階においても、金融機関における運用態勢について、それを操作・管理する職員も含めて、また理想を言えば銀行員のアクティビティや先程議論された窓口の態勢も含めて、一定の水準を満たしているかを監査し確認することが必要。そして、これら3段階の仕組み全てを統合的に運営する仕組みを作ることが必要かつ重要なのではないか。

  • これまで、金融機関におけるシステムの安全対策基準についてはFISCが、ISOの金融に関する基準については日本銀行が、金融機関の運営や職員の資質に関する事項については全銀協や各金融機関が主に担当してきた。さらにそのバックアップとして、銀行法等に基づく検査・監督権限を与えられた金融庁や、オーバーサイト(決済システムを安全性・効率性の観点からモニタリング、評価し、必要に応じて改善の働きかけを行うこと)の責務のある日本銀行により取組みがなされてきたところであるが、不十分であったと見るべきか。

  • 個別の問題に対しては各主体が努力してきたと考えるが、それら全体を管理することについては、結果として活動は十分ではなかったのかもしれない。

  • ATMネットワークのセキュリティを考えるにあたっては、金融機関のATM以外にも、統合ATM等のネットワークに繋がる全ての端末に注意を払う必要がある。現在では余り使われていないが、過去には自宅のパソコンにおいてキャッシュカードを使用して取引を行うファームバンキングの仕組みがあった。また、今後はデビットカードについてどのように考えるべきか。セキュリティは一番脆弱なところが狙われるので、注意が必要。

  • 金融サービスは各国毎に独自の発展をしていることもあり、日本では国際的な標準に沿う形でのシステム化はなされなかった。各金融機関ともセキュリティの脆弱性は同水準であったため、それを認識しつつも改善に向けた動きは鈍く、銀行経営や預金者の利便性への影響も大きいため行政の指摘も積極的ではなかった。今後は、どこまでのセキュリティを求めるか、さらにそれが実効性のあるものとなるか、が重要。

  • 日本のキャッシュカードシステムが国際標準と異なっているとの議論があるが、これは昭和40年代に国内でシステムが作られた際にそれをISOの国際標準とするよう働きかけたが、採用されなかった経緯がある。なお、ICカードについては、全銀協としてISOに準拠した基準を制定済み。

  • セキュリティ基準の策定にあたり、金融機関やベンダーといったサプライヤー側だけでルールを検討・策定することは不適当ではないか。消費者の声が反映した安全基準とすべきであり、金融分野でもリスクコミュニケーションを重視することが必要。なお、セキュリティに関する情報は一般に公表すべきではないとの意見は考慮すべきであるが、部外者に秘密とすることだけで守られるセキュリティは脆弱であるとも言われている。より安全な基準を策定するために工夫する必要がある。

  • FISCが策定した基準を金融機関が遵守することの最終的な確認は、銀行法等の権限に基づき金融庁が行うこととなるが、現在の検査・監督においてそのための体制がきちんと構築されているのか。また、金融機関間における決済システムについては中央銀行である日本銀行に適切にオーバーサイトを行う責務があると考えられるが、日本銀行はどのように対応すべきか。現在の態勢では対応を求めることは困難と考えられるが、どのように改善していくべきか。また、金融機関は行政に頼らずとも一般の消費者にどのようにシステムの安全性を説明し納得してもらうか。これらを検討していく必要がある。

  • 例えば、英国のFSAにおいても、セキュリティに関する専門家を採用したのはここ数年。これらの問題には、技術中立性の問題もあることから、民間においてサプライヤー側の金融関係者が集まり上手くやっているのではないか。

  • 安全基準の策定にあたり消費者側の意見を聞くべきとの意見があったが、現状では、一般の預金者のITや金融システムに関する知識には格差があり、ブラックボックス化が進んでいる。預金者保護のためには、まずはATMや金融ネットワークの仕組みについて、消費者向けの教育を行う必要があるのではないか。

  • 消費者に協力してもらうためには、まさにリスクコミュニケーションとして、被害防止の対策による安全性の向上とそれに伴うコストの上昇や利便性の低下を説明し、消費者に理解してもらう必要がある。これまで、金融機関はATM等の仕組みやセキュリティ技術に関する広報はしてこなかったため、それに関する消費者の知識は少なく、更に言えば金融機関もシステム関係以外の職員は似たような状況。安全対策上秘密とすべきところを除き、消費者が預金の安全について自ら判断するためにある程度の技術知識は共有できるようにすることが大切なのではないか。

  • クレジットカードの業界に関しては、カードの偽造・盗難による被害が増加した段階で、クレジットカードの業界団体や警察庁、経産省が参加して全国クレジットカード犯罪対策協議会を設立し、情報交換や被害の分析、対策の検討を行っている。金融機関でもこのような取組みは参考となるのではないか。

(アイワイバンク銀行における偽造カード対応に関する質疑応答)

  • コンビニATMについては、店内に他の買い物客もいることから、後ろから覗き見られる不安感をより感じるが、何か対策を講じているのか。

  • 当社ATMの暗証番号の入力装置は、入力時に覗き見ができないように奥まった位置にある。また、ATMの設置場所については、極力、操作者の後ろに人が並びにくい位置を選んでいる。また、当初より、ATMの両脇に、左右から操作が見えないようについ立を装備しているが、安全性向上のために、大型化するなどの工夫を進めている。

  • 他の金融機関とATM利用の提携を行う場合に、提携の条件となるセキュリティ面の基準を設けているのか。

  • 当社キャッシュカードが利用できる他の金融機関のATMはBANCS加盟の都市銀行及び郵政公社のみ。一方、当社ATMでは現在のところ469金融機関のカードが利用できるが、提携にあたり特にシステム面やATMそのものについてセキュリティ上の基準は設けていない。提携金融機関のカードが偽造され、当社ATMが引出しの場として悪用されるケースもあるが、当社としては預金の不正引出しの際に犯人の捕捉が可能となるようATMに各種工夫を施すとともに、警察の捜査にも最大限の協力を行っている。

  • 偽造カード使用による被害に関し、被害者に補償を行う場合、アイワイバンクと提携金融機関の責任分担についてはどのようなルールとなっているか。

  • 偽造カード使用による被害補償については、まさに国会で議論されているところであり、補償の範囲をどうするのか、補償を行う場合の銀行間の分担方法をどうするかはこれから検討することとなる。なお、ATMでは、カードの真偽を暗証番号等、システム上やり取りされるデータで判断するため、当該利用客が真のカード保有者か、カードデザイン等が正しいものであるかをチェックすることはできないが、提携金融機関が預金の安全性を高めるため、キャッシュカードのIC化や生体認証の導入を行うのにあわせ、当社としてもできる限りの対応を進め、偽造カードによる被害防止に努めていきたい。

  • 現在、いくつかの銀行でICキャッシュカードが導入されているが、まだ他行のATMで使用することはできない。アイワイバンクではいつ頃から対応する予定か。

  • ICキャッシュカードが利用できるようにするためには、カード側及びATM側の対応が必要。当社ATMでは既にICカードの対応準備を進めている。現在、提携金融機関のICカードが利用できるよう、各提携先と技術的な調整を進めており、当社ATMでのICカード対応が完了する予定の平成18年4月以降、順次取引が可能となる予定。

  • 当社は主にATM事業を展開している銀行であるため、顧客に安心して取引を行ってもらえるようセキュリティには特に注意しており、ATMネットワークおよびシステムには、複数の強固な暗号化処理をはじめ、二重三重の厳格なセキュリティ対策を施している。また、ATMについても、ICカード対応等にあわせ今後、随時新型に更新してく予定。

  • 取引している姿を映したカメラの記録は、どの程度の期間保存しているのか。また、カメラで撮影していることは個人情報保護の観点から表示すべきと思うがどうか。

  • 撮影記録は数ヶ月間保存している。撮影記録に係る情報は個人情報に関るものなので、担当ベースに任せることはせず、警察への情報提供等も含め、社長自らが慎重に管理している。なお、この映像は、利用者の安全管理のための役割を果たしているものであり、適切な目的の範囲内で利用していることから、顧客に直接明示していなくても、常識的に許容される行為の範囲内であると考えている。

  • 本件については報道等で既に公知の事実でもあり、利用時の写真を記録していることや警察への情報提供があり得ることをプライバシーポリシー等においてはっきり明記した方が良いのではないか。

  • ATMやネットワークに係るシステムの構築に関して、アイワイバンクでは、どのような問題を想定して機器の性能や安全対策のレベルを決めているのか。また、求める性能が実現できているかを検証するため、第三者による監査を行っているのか。

  • 当社のATMは、コンビニの店内に設置されるATMであることを踏まえ、利用者からの信頼を得られるよう、想定されるあらゆる脅威を考慮の上、安全性を重視して設計された特注品であり、一般的なATMよりも安全に対する配慮がなされたものとなっている。具体的には、最低限、FISCの基準や警察から示された安全基準等を満たすことを前提に仕様を検討した。なお、機器の性能や安全性は、最終的にお客様に支持されるかにより客観的に判断されるものと考えている。当社のATMは、現在、月間約2,500万人の方々に利用されているが、これは機能や安全性がお客様の求める水準に達していることを示す証であろう。性能や安全性を判定する第三者機関を設けるよりも、このような形で、各金融機関が、お客様の支持を獲得すべく機能や安全性を高めるために切磋琢磨していく方が、結果的には利用者にとっての利益に繋がるのではないだろうか。

以上

本件に関する問い合わせ先

金融庁 TEL 03-3506-6000(代表)
監督局銀行第一課(内線3322、3388)
本議論の概要は暫定版であるため、今後修正があり得ます。


サイトマップ

ページの先頭に戻る