金融審議会「決済業務等の高度化に関するスタディ・グループ」(第7回)議事録
1.日時:
平成26年12月8日(月曜日)9時30分~12時00分
2.場所:
中央合同庁舎第7号館13階 金融庁共用第一特別会議室
- 【岩原座長】
-
それでは、予定の時間になりましたので、決済業務等の高度化に関するスタディ・グループ第7回会合を開催いたします。皆様、お忙しいところお集まりいただきまして、まことにありがとうございます。
それではまず、本日の参考人の紹介を事務局からお願いいたします。
- 【佐藤総務企画局信用制度参事官】
-
私のほうからご紹介を申し上げます。
まず、柏木委員の両隣にお座りいただいております三菱東京UFJ銀行より、第2回の当スタディ・グループにもご出席いただきました梅崎富雄様と、今回初めてご出席いただきます髙木繁様でございます。
また、私の左手のほう、近いほうにお座りの方から、国民生活センターより鈴木基代様でございます。また、浦川有希様でございます。そのお隣、金融情報システムセンターより米山正夫様、掃部朋広様でございます。
まだいらっしゃっておりませんが、日本銀行より岩下直行様にも参考人としてご出席をいただく予定となっております。
私からは以上でございます。
- 【岩原座長】
-
次に、前回の日本商工会議所からの発表に関連しまして、日本商工会議所からの補足説明について事務局からご紹介があるようですので、お願いいたします。
- 【佐藤総務企画局信用制度参事官】
-
引き続きまして、私からまたご説明を申し上げます。
前回のスタディ・グループにおきまして、日本商工会議所からのご説明に対して幾つかご質問があり、調査の上回答するとされたものがございました。その回答につきまして、事務局のほうでお預かりしておりますので、ご紹介をさせていただきます。
2点ほどご質問がございまして、まず敬老の日のお祝いに地方自治体が商工会議所等の発行する商品券を贈っている例について相当の未使用分が発生しているのではないかと思われるが、有効期限が経過した商品券、またその代金の取り扱いはどうなっているのかという趣旨のご質問がございました。日本商工会議所様におきまして、この取り扱いについて全国にあまた商工会議所がございますので幾つかヒアリングを行ったところ、発行した商品券の約8割が有効期限内に使用されているということでございます。残りの約2割に相当する未使用分の代金は地方自治体に返還をされているということでございます。
もう一つの質問といたしまして、商工会議所における換金フローの中で、商工会議所が換金の窓口である金融機関に決済資金をいつ入金するのか、そのタイミングについてご質問がございました。これにつきましては若干複雑になりますので、お手元にございます資料の表紙をおめくりいただきまして最初に、「商品券の販売・利用・換金のフローの事例」という、前回のスタディ・グループで日本商工会議所様よりご提示いただきましたフロー図がございます。左上のところに商工会議所がございまして、左下のところに消費者、商品券の購入者がございます。場合によって、会員の事業者が売りさばき所となって、委託を受けて発行するような場合もあるということです。
代金が消費者から、というところで代金の支払いがございます。場合によって売りさばき所を経由するルートもありながら、最終的に商工会議所のほうに行きまして、それが上のほうにありますの決算資金の入金というところにつながります。この決済資金の入金は金融機関に対していつ行われるのかということでございます。このフロー図のモデルとなった商工会議所にお聞きになったということで、その例で申しますと、商品券を販売した当日中に、購入者から受け取った販売代金を金融機関の口座に入金しているということでございます。したがって、そこに基本的にタイムラグがないということでございます。
なお、ご質問にあったわけではございませんが、発行保証金の供託に伴う換金資金が不足する例としてどういう場合があるのかというところを補足的に説明したほうがいいということで、例を頂戴いたしました。
商品券がコンスタントに発行されて回収されているような場合、そうするとキャッシュインとキャッシュアウトのバランスがとれて、資金繰りが安定しております。ただ、一時的に多額の商品券を発行するような場合、例えばこのプレミアム商品券ということで地域振興のために一時的に大量に発行すると、発行直後にたくさん使われる場合がございます。
一方で、この供託金の算定というのは3月末及び9月末、年2回の算定の基準日がございまして、その3月末あるいは9月末時点での未使用分の半分を供託するという制度になってございます。
先ほど申しました一時的に多額の商品券を発行した場合に、算定の基準日をまたいだ直後に多額に使用がなされると、だんだんキャッシュ量が足りなくなり、供託義務が半年間続いておりますので、後半のほうになると供託金を取り戻せないと手元の資金が不足してしまうと、そういう場合が発生することがあるという補足の回答がございましたので、これにつきましてもあわせてご紹介をさせていただきます。
私からは以上でございます。
なお、今、日銀の岩下参考人にご出席いただきましたので、一番端のほうにお座りになっております。日本銀行より岩下直行様でございます。
- 【岩下参考人】
-
よろしくお願いいたします。
- 【岩原座長】
-
どうもありがとうございました。
それでは、議事に移らせていただきます。
本日は、滝島委員、国民生活センター、金融情報システムセンター、日本銀行の各参考人からお話をいただき、その後で一括して自由討議を行います。本日の議事はこのような流れで進めたいと存じますので、よろしくお願いいたします。
それでは、滝島委員から、時間の関係もございますので、恐縮ですが10分程度でよろしくお願いいたします。
- 【滝島委員】
-
はい、よろしくお願いします。ウェルネット株式会社の滝島でございます。本日は、日本代理収納サービス協会の会長という立場で参りました。よろしくお願いします。
早速ですけれども、お手元資料の2ページをご覧ください。日本代理収納サービス協会の説明に入ります。
日本代理収納サービス協会は、コンビニエンスストアを中心とした代理収納サービスにおいて、サービス全体の安全性と業界の健全な発展を促進することを目的としています。設立は平成22年9月でございます。正会員は28社、リテール会員13社、グループ会員17社、オブザーバー1社で構成しております。ここでいう正会員というのは、主にコンビニエンスストアであるだとか、小売業者と代理収納サービスについて直接契約している会社の数になります。リテール会員というのは、主にコンビニエンスストア、その他小売業という利用者に対しまして代理収納サービスを直接提供している会社をリテール会員というふうにしております。
3ページをご覧ください。一般的な話にはなりますけれども、社会インフラとしてのコンビニエンスストアというところで、今のコンビニエンスストアの店舗数についてご報告申し上げます。26年の、本年の8月現在の数字になりますけれども、14チェーン、合計で今約5万4,000店舗、最近の直近の数字ではもう少し増えております。言わずもがなですが、コンビニエンスストアでは全国で24時間365日お支払いがすることが可能というサービスになっております。
4ページをご覧ください。EC市場におけますコンビニ決済の比率です。マーケットの数字についてはこのスタディ・グループで何度も取り上げられている内容ですので、詳細については省きますけれども、日本のEC市場が約11兆、最近の数字では12兆、13兆と言われておりますが、そういった数字です。EC化率は約3%で、コンビニ決算は市場の8%ぐらいございまして、ECにおいては約9,000億円ぐらいの市場規模になっております。
5ページをご覧ください。続きまして、コンビニ収納代行の取り扱い規模です。先ほど4ページで触れましたコンビニ決済の比率は、ECの中においての比率で約9,000億というふうに申し上げましたが、この5ページでお示ししているのはコンビニ収納代行サービスで、この資料の一番下にもありますが、先ほど触れましたECの支払いだけでなく、公共料金等の支払いも含んだ取り扱いということです。年間で9兆円ぐらいの取り扱いをしておりまして、9億件ぐらいの取り扱い件数というふうになっております。
こちらに書いてある各コンビニごとの件数だとか取扱高につきましては、それぞれのコンビニのIRの資料から抜粋して出しておりますので、この順列等については特段の意味はございません。
6ページをご覧ください。そして、この収納代行サービス、私どもは、例えばウェルネットという会社もそうですが、収納代行がなぜ必要かというところでございます。一般的にはコンビニエンスストアから見ますと、ECをやっている会社であるだとか、それぞれの会社とつなぐと振り分けの作業だとか、当然のことながらシステムでの投資が発生します。一方でECの明細ですね、この資料でいうところの右側の販売店と書いているところですが、こういったところが各コンビニエンスストア等と接続、契約をするといった作業、または収納金の管理というところでは非常に管理が煩雑になります。
そこでなんですが、次のページをご覧ください。7ページです。私どものような決済会社、収納代行会社と呼ばれるようなところがその間に入りまして、一元管理をする役割、一元管理といっているのは収納金の管理、コンビニだとかの問い合わせの管理、システムを管理するということで、この資料で右側のECサイトであるだとか、そういったコンビニ収納を使いたい会社の投資等を抑えることにお役に立っているかなというふうに考えております。
お手元資料の8ページをご覧ください。収納代行サービスのスキームについてです。収納代行サービス、コンビニを使った収納代行には大きくこの紙の請求書と、後ほど9ページでご説明申し上げますペーパーレスの大体大きく2種類があります。この8ページにお示ししているのは紙の請求書のものです。
一般的には、利用企業がお客様に払込票と呼ばれる用紙を送ります。お客様は、ちょっとサンプルを1枚載せておりますが、こういった払込票を持ってコンビニに行きます。この払い込みについてはバーコードと呼ばれるところをスキャンします。コンビニでスキャンされますと、お金が入った、いわゆる収納されたという情報がコンビニからうちのような決済会社、代行会社に行きまして、そこから各利用企業に対しまして収納があったというデータを送ります。それとは別の流れとしまして、お金の流れとしましては、コンビニ店舗からコンビニ本部、コンビニ本部から代行会社、代行会社から利用企業のほうに収納金を送るという流れになっております。
続いて9ページをご覧ください。続いてこの9ページでお示ししていますのが、ペーパーレスでの取り組みになっております。これはお客様が利用企業、いろいろなECサイトがありますけれども、そこで注文・予約をします。そうしますと、番ですね、左から右に行く矢印で「予約登録」とあります。この登録時に請求金額、例えばですけれども、私どもで取り組んでいる一例で申し上げますと、全日空だとかJALといった航空会社がありますけれども、お客様が例えばネットで札幌―羽田と予約して3万8,000円という予約をします。そうしますとこの予約登録というところで、いついつまでに3万8,000円を請求したいというデータが登録されます。この右から左の矢印、番で登録情報を送り返します。これは受け取ったという情報です。その後に、お客様に対してユニークに振り出す番号をメール等でご案内します。ここでペーパーレスでご案内することが可能です。
また、先ほどの払込票はお客様のご自宅等に個人情報をつけて送るのに対しまして、このペーパーレスの場合ですと、お客様の個人情報を持たずに番号の案内だけで済むということになっております。あと、お客様は最寄りのコンビニエンスストアに行っていただきまして、先ほど申し上げました代行会社が振り出した番号をコンビニに置いてあります情報端末に入力しますと、先ほどの例でいいますと、例えばあなたは全日空の千歳―羽田、3万8,000円ですねということを表示します。そこでお客様が確認しまして、コンビニでお金を払いますと、コンビニから決済会社、決済会社から利用企業のほうにリアルタイムで収納情報が飛んでいくという流れになっております。
それと先ほどの払い込みと同じなのですが、その後は、収納金については、コンビニから決済会社、決済会社から利用企業のほうに後ほど送るという流れになっております。
10ページにお示ししておりますのは、今申し上げた、お客様が実際コンビニで払うシーンの流れになっております。一般的に情報端末と、キヨスク端末とか情報端末と言われ方はありますが、そこで幾つか宣言をしていただきます。「コンビニで支払い」というボタンを押します。その後に、この10ページの資料でいうです。番号を入力します。そうしますと、番です。ここでお客様がご予約したような内容が表示をされます。そこで確認をして、情報端末から出された紙がありますので、この紙を持ってレジに行きまして、お支払いをするという流れになります。
11ページをご覧ください。代理収納サービス協会としては、コンビニを主にやっていますが、同じようなサービス、先ほど申し上げましたペーパーレスで同じようなサービスでは、ペイジーが挙げられるかと思っています。ペイジーも先ほどのペーパーレスでコンビニの情報端末を入力すると同じように、これはちょっとATMのサンプルですが、もしかしたら今現在違う画面になっているかもしれません。「税金・料金払い込み」というボタンを押します。その後に任意のユニークな番号を入力します。これはATMで行う操作です。そうしますと、この資料で番です。お客様がご予約したような内容が表示されます。ここでお支払いをするという流れになっています。ここに書いてありますとおり、コンビニ収納と同様のサービスを銀行ATMのペイジーで行うことが可能になっております。
ペイジーは各公共料金や税金の支払いに利用されていまして、全ての銀行、これは何を申し上げているかというと、まだこのペイジーについては全ての銀行のATMが対応していないので、これが対応できると非常にお客様の利便性が上がるのかなというふうに考えております。
続いて12ページ以降が私どものご説明と、その後に私どもが一部取り組んでいる決済方法についてのご紹介をさせてもらえたらと思います。ウェルネットは1983年設立した会社でございます。今約従業員は73名ぐらいの会社です。一応資金移動業者の登録につきましては平成24年10月に終わらせております。
右側の沿革にありますが、主に2000年以降先ほど申し上げたペーパーレスの決済方法について提供している会社でございまして、ANAとかJAL、LCCですとピーチとかジェットスターといった航空会社だとか、その他のECの会社に対しましてこのペーパーレスの決済を提供しております。
13ページをご覧ください。私どもが現在取り組んでいるサービスについて幾つかご案内させていただけたらと思います。2009年1月より銀行様との提携によりまして、送金サービスとしてネットDE受け取りサービスというものを開始しました。これは通常の銀行振り込みと違いまして、ウェルネットの提供します画面でお客様が口座情報を入力しますので、依頼企業は口座情報を持つことなくお客様に送金できるということで、管理リスクの軽減を実現しております。
お客様が入力した口座情報をあらかじめ統合ATMネットワークに照会するため、口座情報の誤りでの振り込みを未然に防ぎ、依頼企業での組み戻し作業をほぼなくすことができます。これは何を申し上げているかといいますと、一般的にお客様が口頭でお伝えしたような銀行口座というのは誤りであることがたまにありますので、そうしますと依頼企業のほうは振り込んだ後に組み戻しが発生することで、組み戻し作業が発生することによる作業コスト、あと銀行に入る手数料等が増えるというところで、業務負荷の軽減を実現しようというサービスになっております。
これもよく依頼企業から言われるのですけれども、どうしてもお客さんに振り込む時間が即日ではないだとか、その情報がリアルタイムに返ってこないというところが不満として上がっています。私どものサービスは、早ければ即日でお客様ご指定の口座に振り込みすることが可能です。また、システム的に振り込んだという情報をリアルタイムで依頼企業との間で連携しますので、依頼企業のほうは24時間その施設を管理することができるということを実現しております。
13ページの資料の下です。昨年の10月からコンビニエンスストアのローソンとの提供により、コンビニ現金受け取りサービスというものを開始しました。これは何かといいますと、先ほどのサービスが、企業がお客様に銀行でお金をお渡しする、いわゆる送金をするのに対しまして、コンビニ店舗でお金を受け渡しすることが可能なサービスになっております。依頼企業はお客様に番号を伝えるだけで送金業務が完了します。お客様の口座情報を持つリスクがなくなります。お客様は最寄りのローソン店舗、これは全国に約1万1,000店舗ございますけれども、設置しているロッピー端末に番号を入力するだけで、依頼企業があらかじめ指定した金額を受け取ることが可能になります。
しかも仕事帰り等の夜10時まで受け取ることが可能ということで、銀行ATMですとこういった時間はなかなかあいておりませんが、コンビニであれば受け取ることが可能になっております。
また、お客様は現金を受け取る際に利用手数料が不要です。よく最近ですと、コンビニに置いていますATMでお客様が自分のお金を引き出すことがよくありますが、そこで手数料が取られることに対しまして、私どものサービスではお客様から手数料を取ることなくサービスをご提供しております。
14ページが今も申し上げたサービスの実際の流れ、イメージになります。コンビニの端末ですね、これはローソンに置いてありますロッピーというものを事例に挙げていますが、ロッピーでいわゆる宣言をします。番ですね、受け取り番号を入力していただきます。その後は番で内容を確認していただきまして、番で端末から申し込み券というものが出てきます。この申し込み券をレジでスキャンをしますと、お客様に対しましてレジのスタッフが、あらかじめ設定されたお金を渡すというサービスになっております。
本資料には載せておりませんが、今私どもではこういったサービスを、例えばですが、エンターテインメントのチケットの払い戻しだとか、中古買い取りでの買い取り代金のお支払いといったもの、もしくはECの返品に伴う返金で使っていただいております。これは、やってみて数字として出てきたのですが、お客様に対しましては銀行でお金を受け取りますか、コンビニで受け取りますかという選択ができる画面を用意して提供しますが、約4割以上の方がコンビニエンスストアで受け取るということになっています。この辺が、お客様が恐らく何らかの理由で24時間あいているコンビニエンスストアでお金を受け取るということをご要望しているのだろうなということを示しているような数字になっております。
以上です。
- 【岩原座長】
-
どうもありがとうございました。
続きまして、国民生活センター鈴木参考人、浦川参考人に、恐縮ですが15分程度でよろしくお願いいたします。
- 【鈴木参考人】
-
はい。国民生活センターの鈴木です。よろしくお願いいたします。本日このようなご報告の場をいただきまして、ありがとうございます。
それでは、お手元の資料に沿ってご説明していきます。
まず、国民生活センターについてご存じない方もいらっしゃるかと思いますので、簡単に国民生活センターについてご説明いたします。
3ページをご覧ください。国民生活センターは1970年に特殊法人国民生活センターとして発足しまして、その後独立行政法人国民生活センター法に基づき、2003年に独立行政法人に移行しました。その目的としましては一番上にありますけれども、消費者基本法に基づいて、国や全国の消費生活センターなどと連携して、消費者問題における中核的機関としての役割を果たすとなっておりまして、続いて4ページですが、このの相談からのADRまでの6つの業務を行っております。
次の5ページに消費者行政全体の仕組みと国民生活センターの役割を図でお示ししておりますので、後でご覧いただければと思います。
次に6ページ以降になりますが、国民生活センターにおける相談業務の概要ですが、7ページ、この一番左の欄を見ていただきたいのですが、現在全国の消費生活センターから、解決が困難な相談などが私どもに寄せられてきますが、その相談の解決方法などをアドバイスする経由相談が、私どもの相談業務全体の柱となっております。
それに加えて、この水色の欄になりますが、土日祝日相談、平日バックアップ相談、お昼の消費生活相談といった消費者から直に、直接相談が寄せられる窓口も運営しておりまして、これら全体で、昨年度1年間で2万件を超える相談が寄せられております。
寄せられた相談に対して、ではどうするかといいますと、この水色の欄の最後に書いてあります「あっせん」と書いておりますけれども、必要な場合には最終的な解決を目指して、消費者と事業者の主張を調整し交渉するというあっせんを行っております。
また、直接相談を受けるだけでなく、8ページに移りますけれども、当センターと全国の自治体が設置しております消費生活センター、今約1,000カ所ありますが、オンラインネットワークで結んで消費生活に関する情報を蓄積しているデータベース、PIO-NETを運営しております。この8ページのピンクの欄でPIO-NET、全国消費生活情報ネットワークシステムといいますが、運営しております。
9ページをご覧ください。ここに消費生活センター1,056カ所、3,825台の端末が置いてありまして、また中央省庁、金融庁にも置いておりますが、13カ所にこのPIO-NETの端末が設置しております。
そして、11ページを見ていただきたいのですが、このPIO-NETに寄せられた相談件数ですが、昨年度2013年度は1年間で93.5万件の相談がありました。PIO-NETの運用を開始しました1984年度からの累積相談件数は、約1,800万件に達しております。
続いて12ページをご覧ください。そのPIO-NETのデータに登録する場合、一件一件の相談はいろいろな項目から成り立っております。その中には信用供与を受けたか否か、また信用供与を受けていない場合にはどんな支払い方法をとっているか、また信用供与を受けた場合だったらさらに包括信用なのか、あるいは2カ月内払いなのかなどを細かく入力する項目がございます。この12ページの表は、その年度別の支払い別相談件数を見たものですが、このとおり赤で囲んであるところですが、いわゆるプリペイドカードなどが含まれる「他の前払式」、私どもでは「他の前払式」と言っておりますけれども、この「他の前払式」やクレジットカードのマンスリークリアなどが含まれる「2カ月内払い」と書いておりますが、「2カ月内払い」等で相談件数割合が年々増加しております。
さて、13ページ以降、具体的な相談事例をご紹介いたします。寄せられるトラブルを見ますと、ここに書きましたように大きく2つに分類されると考えております。
まず1つ目は、決済システム内に加盟店として入り込む悪質業者とのトラブルです。こちらの具体的な事例については14ページにまとめて書きましたけれども、ここではいろいろな決済手段においてトラブルとなった事例を紹介しております。
例えば事例1のように、アダルトサイトの男性担当者が女性に対しておどすような口調で、怖がらせて不当な支払いを求めたり、事例2のように、サクラサイトが未成年者をだましたり、事例3、4のように消費者が求めていない偽ブランドや商品を送りつけてくる通販サイトなどなど、本当に詐欺性、悪質性の高い業者との間で消費者トラブルが起きております。このように相談を受けていますと、さまざまな決済システムの中に悪質業者が加盟店として本当にうまく入り込んでいることを感じております。
15ページになりますけれども、それではこの状況がどのようにつくり出されているのか、相談処理をする過程で見えてきたその仕組みの一例を図でお示しししました。真ん中に紫の欄ですけれども、決済代行業者・代理店などが加盟店と各決済事業者の間に存在する場合があって、この場合決済代行業者などは事前にいろいろな決済事業者と契約しています。それをワンパッケージのような形にして、さまざまな加盟店に提供しているようです。この仕組みの中に加盟店として悪質業者が入り込んでしまうと、複数の決済手段を悪質業者が利用することができて、そこからさまざまなトラブルが生み出されるのではないかと感じております。
では、次に16ページになりますが、最近新手として、今ご紹介しました決済システムの中ではなく、外から決済手段を悪用する業者とのトラブルについてご紹介します。この種のトラブルについては、現在私どもや全国の消費生活センターの相談現場では救済が大変難しくて非常に苦慮しております。この16ページ、これはプリペイドカードの類型を示したものですが、ご存じのように最近ではサーバー型と言われるプリペイドカードが多数登場しております。そのサーバー型のプリペイドカードをコンビニやクレジットカードで購入させて、発行されたID番号などをさまざまな手口で不正に取得しようとする悪質業者のトラブルが目立ってきました。
少し詳しくご紹介いたします。17ページになりますが、事例1として、指示されるままにコンビニで支払い、相手の電子マネーにチャージしてしまったという、これは50歳代の女性からのご相談です。深夜に携帯電話でインターネットを見ていたときに、アダルトサイトにアクセスしてしまい、クリックした覚えはないのに登録完了となってしまった。問い合わせ番号に電話すると、「今払えば半額だが、支払いが長引けば高額になる」と言われて、その言い方もあったのかもしれませんけれども、怖くなって相手に言われるままにコンビニに行き、端末の前で携帯電話から指示されたとおり、そのアダルトサイトが保有する電子マネー(プリペイドカード)に関する数字を入力するなどした後、端末から出てきたレシートに記載された合計10万円ほどをレジで支払ったというものです。自宅に帰って冷静になってみると、何かおかしいと不信感が出てきて、返金してもらえないかというご相談でした。
ここでポイントとなるのは、支払い手段として業者のプリペイドカードに消費者がみずからチャージをしてしまっているという点です。コンビニのマルチ端末などの前で携帯電話で指示されているということですので、これは振り込め詐欺で、ATMの前で振り込みの指示を受ける様子と大変よく似ていると感じております。
続いて18ページの事例になりますが、これも最近複数寄せられている相談です。これは大変手が込んでいる手口だと感じております。20歳代の女性が繁華街を歩いていたら、「モデルの仕事をしないか」と声をかけられ、事務所に出向くと、「提携しているエステ店で無料で脱毛エステが受けられる」と言われ、話を聞きに行った。すると「うちはそもそもアクセサリーの販売会社で、買ってくれた人に対してサービスで無料でエステをしている。これから店の知名度を上げるためにも売上高を大きく見せたい。キャッシュバックをするのであなたに一切負担はない」と言われたということです。自分の負担もなくエステもただで受けられるのなら、まあいいかと思って、120万円ほどのダイヤのネックレスを契約してしまったということです。そして指示されるままに、その会社のパソコンを使って電子ギフト券をクレジットカードで購入したというものです。
ご存じのようにこの電子ギフト券はメールで送ることができますので、この販売会社のアドレス宛てに送れば、販売会社がこのギフト券をすぐに手に入れることができます。その後、この相談者にはクレジットカード会社からの請求が来ていますけれども、肝心のダイヤは届いていないし、キャッシュバックもない。だまされたのだろうかというご相談です。
この黄色いところで書きましたけれども、この手口を用いる業者にとっては、まず消費者の手元にはないといいますか、普通なら20歳代の女性ではそうそうは支払えない高額な金額を、クレジットカードでギフト券を購入させることで支払いを可能にしてしまっているということです。また、業者は決済手段を提供する事業者と加盟店契約を結ぶ必要がないことなどがメリットと言えるのではないかと思っております。
一方、消費者にとってはリスクばかりで、本件のような不当な契約をクレジットカードでもし支払っていれば、ケースによっては取引の不当性を鑑みたカード会社から救済の手助けをいただけるケースも中にはあると考えられますけれども、このような形をとられてしまうと、クレジットカード取引においてはギフト券の購入という正常な取引ですし、ギフト券発行会社もギフト券は正常に発行しているので、何ら問題はないということになります。唯一残るのはこの業者なのですけれども、相談現場から言えば、この悪質業者が対応しなければ救済はできないということで、現状、業者は返金には応じておりません。
19ページになりますけれども、お手元に資料が配付されているかと思いますが、これらの事例は国民生活センターでも消費者に対して注意喚起をしているところですが、11月13日の朝日新聞や12月5日の毎日新聞の記事などに見られるように、報道などもされ始めております。
そこで最後に20ページで、消費者が安全に安心して決済サービスを利用できるにはどうしたらいいかということですが、21ページに私どもが考えていることを書きました。先ほども申し上げましたとおり、今のところさまざまな決済サービスについて消費者自身も十分に理解しているとは言えませんし、また相談が寄せられても解決は今のところ非常に困難です。
そこで、まず事業者、業界団体、行政などが連携してこのような悪質業者の新たな手口に関する積極的な注意喚起、啓発というものが必要ではないかと思っております。先ほども申しましたけれども、私どもでも注意喚起をしているところですけれども、単体ではやはりどうしても弱いと思っておりまして、各方面で連携して啓発していくことがトラブルの防止につながるのではないかと思っております。
続いて、トラブルを解決し、継続的な悪質加盟店の排除に有効な仕組みの構築が必要ではないかと考えております。そのためには苦情処理体制の整備も必要であろうし、また悪質加盟店を排除するために、決済代行業者を含めた関係事業者の責任範囲と業務の明確化も必要ではないかと考えております。
こちらからは以上です。ありがとうございました。
- 【岩原座長】
-
どうもありがとうございました。
続きまして、金融情報システムセンター米山参考人、掃部参考人に、恐縮ですが15分程度でよろしくお願いします。
- 【米山参考人】
-
はい、金融情報システムセンターの米山と申します。本日はどうぞよろしくお願いいたします。私どもからは資料3に基づいて説明をさせていただきます。
本日の説明でございますが、最初に当センターFISCについて簡単に紹介をさせていただきまして、その後に金融情報システム、特に銀行のコンピュータシステムについて、そもそもどういうシステムがあり、全体としてどのような体系になっているのか、お話をさせていただきます。最後にFISCが策定している安全対策基準というガイドラインについて説明をいたします。
3ページをご覧ください。まず、当センターは、1984年、ちょうど30年前になるのですが、銀行、証券会社、保険会社とコンピュータメーカー等の出損により、当時の大蔵大臣の許可を得て設立された組織でございます。主な活動は、金融情報システムの分野における諸問題、技術やIT利活用、リスク管理、セキュリティー等の問題について調査研究の活動を行っております。会員組織でございまして、会員数は今年3月末時点で633機関になっております。
4ページ目でございますが、当センターでは『金融情報システム』という機関誌を定期的に発刊しておりまして、ここ最近1年間の機関誌に掲載した調査レポートをご参考までに載せております。決済に関するテーマを含め様々なレポートを掲載しています。
それから5ページでございますが、最近の主な取り組みということで、昨年度より「有識者検討会」というものを開催しております。昨今問題となっているサイバー攻撃への対応や、金融業界ではまだ利用が進んでいないクラウドコンピューティングなどの重要なテーマについて学界や金融業界、ITベンダー等の有識者の方々にお集まりいただいて、いろいろ議論、検討をいただいております。こうした検討会の報告書を公表していますが、その内容も踏まえてFISCの安全対策基準の改訂作業を行っております。
6ページでございますが、ご参考までに、金融機関におけるサイバー攻撃対応に関する有識者検討会の報告書のポイントを書かせていただいています。サイバー攻撃の手法はますます高度化、巧妙化しておりまして、これを完全に防ぐことは難しい状況にあります。金融機関としてはその攻撃を受けることを前提に、いろいろな対策を講じる必要があるということが1つのメッセージです。お手元にこの有識者検討会の報告書を配付させていただいておりますので、お時間のあるときに目を通していただければ幸いです。
それでは、続きまして、金融情報システムの概要と、特に銀行のコンピュータシステムについて説明をいたします。
8ページをご覧ください。コンピュータシステムの類型を整理していますが、大きく業務系システムと情報系システムの2種類がございます。業務系システムは、勘定系システムの他に、資金証券系、国際系、対外接続系があり、この4つのシステムで構成されています。勘定系システムは勘定処理を行う、銀行システムの中核的なシステムです。それから資金証券系システムは、有価証券、デリバティブ等市場取引に関するシステム、フロント・ミドル・バックオフィスの業務をサポートするシステムでございます。国際系については、外国為替業務や、あるいは海外拠点の事務処理等の国際業務をサポートするシステムです。それから対外接続系というのは、外部の金融ネットワークあるいは顧客のシステムと接続するシステムでございます。
もう一つの柱であります情報系のシステムでございますが、具体的には経営管理、収益管理やリスク管理のためのシステムということで、信用リスク、市場リスクなどのリスク量を計測するシステムやALM管理システムなどがあります。また、営業支援ということでマーケティングを目的として使う顧客管理システム、CRM、カスタマー・リレーションシップ・マネジメントのためのシステムでありますとか、融資支援ということでローンの審査や、住宅ローンのスコアリングによる審査システムなどがございます。
9ページ目は、今ご説明したシステムについて絵にしたものです。中央にグレーの四角で囲った部分がありますが、ここが業務系システムでございまして、中央に勘定系システムがございます。勘定系を挟む形で国際系、SWIFTにもつながっているのですが、国際系や資金証券系のシステムがございます。下のほうに情報系システムがありまして、これらは行内のネットワークで相互に接続されています。
また、この勘定系の上のほうに対外接続系ということで、ハブになるのですが、ここから外部のシステム、例えば日銀ネットや統合ATM、全銀システム、こういった外部のシステム、ネットワークと接続されています。この対外接続については、基本的には専用線によるクローズなネットワークでセキュアな環境を確保しているのが特徴で、インターネットのようなオープンなネットワークでは構成されていないということです。
続きまして10ページ目でございますけれども、勘定系システムの最近の動向、特徴点について幾つか整理をしております。まず1つ目、銀行にとって基幹的なシステムということで、よくミッションクリティカルなシステムとも呼ばれておりますが、極めて高い信頼性、安全性が要求されております。多くはメインフレーム、大型汎用コンピュータで構築されています。
それから、システムの共同化・アウトソーシングです。外部委託が非常に進んでおりまして、特に地域銀行では共同センターを利用している先が、足元約7割、利用を予定している先も含めると8割ぐらいになっている状況にあります。共同センター方式というのはいろいろとメリット・デメリットがありまして、システムのコスト削減とか、機能の強化、サービスの充実を迅速に図れるといったメリットがある反面、システム仕様の変更で、独自に機能を追加することが柔軟に行えないことがデメリットであると一般的に言われています。
また、オープン系のシステムの導入ということで、技術的な話でございますが、UNIXやWindowsというオープン系のシステムがメインフレームよりも安価であり、また信頼性や性能も年々向上しておりまして、勘定系システムにも導入が見られていることが特徴点として挙げられます。
その後の11ページですが、図表は、先ほど申し上げた勘定系システムについてはアウトソーシングが進展しているということで、過去20年間の動きを示したもので、業態別に見ていましても、各業態とも高い利用率になっているということであります。ちなみに、このデータは当センターで毎年金融機関に対してシステムに関する動向調査、包括的なアンケート調査をやっておりまして、これをもとにして作成したものです。
それから12ページの図表、これは地域銀行のシステム共同化について全体像を示したものです。
13ページは、オープン系システムの導入ということで、統計で見ますと、全体で約2割の先がオープン系で勘定系システムを構築しています。業態でばらつきがありまして、特に信託銀行やインターネット専業銀行、ここでは「その他銀行等」のカテゴリーに入っていますが、こうした業態ではかなり導入が進んでいます。
14ページでございますが、銀行システムの動向について2点ほど記載しております。まず、今後の重点投資分野ということで、今後3年間の投資計画でどういったシステム、分野に重点的に投資していくのか、FISCのアンケート調査で聞いた結果です。優先度の高い分野としては、勘定系システムであり、例年そうなのですが、重点的に勘定系に投資されております。新規の分野では、融資稟議・審査支援システムや渉外支援システムなどの情報系システムが上位に来ております。
それからもう一つ、デリバリーチャネルという話ですが、顧客接点としてのチャネルにATM、インターネットバンキング、コールセンター等々ございますが、今後の流れとしてコンビニATMとの連携強化、インターネットバンキング、モバイルバンキングが今後も拡大していくと考えられています。
以上が銀行システムに関する説明でございまして、この後15ページ以降何枚か図表をつけておりますけれども、今ご説明した点で、15ページ、16ページは今後の重点投資分野のシステムの一覧を載せております。図表6から図表8は、デリバリーチャネルの動向に関するアンケート調査結果でありまして、ATMの機能拡張、キャッシュカードの主な付加機能、インターネットを利用した主なサービスの実施状況について載せております。適宜ご参考にしていただければと思います。
- 【掃部参考人】
-
それでは引き続きまして、21ページ以降は私からご説明します。
まず、22ページにFISCが刊行している主なガイドラインを掲載しています。当センターでは、会員企業や学識経験者等の協力を得て、金融情報システムに関する各種自主基準、ガイドラインを策定しています。は、本日ご説明する「金融機関等コンピュータシステムの安全対策基準・解説書」です。それ以外にも「金融機関等のシステム監査指針」や「金融機関等におけるコンティンジェンシープラン策定のための手引書」、「金融機関等におけるセキュリティーポリシー策定のための手引書」等を刊行しています。これらは金融機関や、金融機関に情報システムを提供するコンピュータメーカー等で広く用いられています。
23ページは、安全対策基準の策定の背景について記載しています。策定の背景はFISCの設立と同様に昭和50年代にさかのぼります。当時、金融機関等に対する社会的な要請がますます強くなる一方で、システム化に内在するリスクへの対策が問われるようになりました。そこで、どのような対策をどこまでやればよいかについて、金融機関等にとっての共通的なよりどころとして業界が自主的に策定したもの、それがこのFISCの安全対策基準です。
初版は1985年、昭和60年に発刊しています。資料下段に記載しているとおり、本書は各金融機関等が自社の業務に即して適用範囲や対象システム、具体的な方策等を自主的にご判断いただくための、いわば参考書の位置づけです。自主基準のため強制力はありません。安全対策基準への適合性を評価認定する制度といったものも一切ありません。
次のページでは、金融検査マニュアルを抜粋させていただいております。中段に記載していますとおり、金融庁の検査マニュアルにおいても、システムリスク管理態勢の確認検査において、管理態勢に問題が見られ、さらに深く業務の具体的な検証をする必要が認められた場合には、検査官はFISCの安全対策基準等に基づき確認を行うものとされています。このように金融庁の検査においても参照をいただいているという位置づけとなります。
25ページ以降では、安全対策基準の概要についてご説明します。まず、この安全対策基準の策定の目的ですが、自然災害や機器の障害、不正使用行為等から生ずる各種障害に対して、未然防止、影響最小化、早期回復の3点を目的に記載しています。対象とするシステムは、中段に記載のとおり、金融機関がサービスを提供するのに必要なコンピュータシステム全般となります。そして、安全対策基準の構成は、資料下段に記載のとおり、設備基準、運用基準、技術基準の3つの基準で構成され、合計306項目から構成されています。
26ページに各基準のもう少し詳しい説明を記載しました。まず、設備基準ですが、こちらは建物や設備に関する安全対策基準について記載しています。次に運用基準は、コンピュータ処理にかかわるセキュリティー管理の方針や組織、責任体制、承認手順等を中心に記載をしています。そして技術基準は、技術の進展を考慮した機能を中心に記載しており、システム信頼性向上対策と、安全性侵害対策の2つから構成されています。
次のページは、このFISC安全対策基準の維持・改訂を行うために組成されている組織についてです。安全対策基準の改訂作業を行う組織として、安全対策専門委員会とその下部組織の検討部会を設置しています。この2つの組織は学識経験者や金融機関、メーカーやベンダー等の会員組織の代表者から構成されています。改訂の流れとしては、FISCが事務局となり、検討部会で具体的な改訂内容を検討し、専門委員会における審議・承認を経て改訂版の発刊に至っております。
最後に、今年度の安全対策基準の改訂作業の状況についてご説明します。次期改訂に関する主な検討テーマとして3つあります。まず1つ目は、金融機関におけるサイバー攻撃対応態勢についてです。先ほど米山から説明しましたとおり、本テーマについては有識者検討会の報告書の内容を踏まえて、サイバー攻撃への具体的な対応態勢の整備について、改訂を行う予定で、今検討を進めています。
それから2点目は、金融機関におけるクラウドサービス利用についてです。本テーマについては、今年4月から10月まで「金融機関におけるクラウド利用に関する有識者検討会」を開催し、この報告書を公表しましたので、その内容を踏まえて、金融機関がクラウドを利用する際の事業者の選定手続や契約内容の明確化、クラウド利用時の情報漏えい対策等について基準を追加・修正する予定です。
3点目は、外部委託先による不正な引出し事例に関する検討です。昨今発生した不正な引出し事例についてヒアリング調査等を行い、その調査結果から得られた対策をもとに、改訂内容を検討しています。なお、今回の改訂では、資料に記載のとおり、例えば重要なデータへのアクセス制限や、外部記憶媒体の利用制限、持ち込み・持ち出し制限など、取り急ぎ金融機関等に求められる技術的な対策について盛り込んでいく予定です。一方、委託先管理態勢の抜本的な内容、ガバナンス等に関する内容に関しては、平成27年度に開催する「外部委託に関する有識者検討会(仮称)」にて検討し、その結果を踏まえて、本格対応として改めて安全対策基準の改訂を検討していく予定です。
今年度は、ここに挙げた3つのテーマ中心に検討し、来年6月末を目途に発刊を予定しています。
私どもからの発表は以上です。
- 【岩原座長】
-
どうもありがとうございました。
続きまして、日本銀行岩下参考人、大変恐縮でございますが25分程度でよろしくお願いします。
- 【岩下参考人】
-
かしこまりました。
日本銀行金融機構局金融高度化センターの岩下でございます。お手元の資料4に即しましてお話をさせていただきます。
こういった場でお話をさせていただくのは、実は私10年ぶりでございます。と申しますのは、今を去ること10年前、平成17年の2月に「偽造キャッシュカード問題に関するスタディ・グループ」というのが、こちら金融庁の中で開催されまして、私はそちらで二度ほど発表させていただいた覚えがございます。そのときに偽造キャッシュカード問題の、こういう問題がありますということをご説明した資料を10年ぶりに眺めておりまして、実は多くの問題がまだ解決していないなということを感じた次第でございます。本日の資料は、実はそのときの資料をほぼそのまま使っている部分がたくさんございまして、その意味ではこの10年間というのは何だったのだろうという感じがするわけでございますが、そういう観点から、金融機関のセキュリティーをこの20年ほど研究しております立場としてお話を申し上げさせていただきます。
最初にお断りがございますが、1ページの下に書いてございますとおり、本資料の内容は私が個人的に考えたことでございまして、日本銀行としての正式な参加者は、決済機構局の播本課長が前々回にご報告をさせていただいたかと思いますが、これからお話しするセキュリティーをめぐる議論というのは、私の個人的な考えでございますことをお断りさせていただきます。
では、開いていただきまして、4ページから始めたいと思います。
なぜ今こういった議論、決済機能の高度化といった議論がこんなに注目を浴びているのかということについてですが、私ども、日本銀行金融機構局に金融高度化センターがございまして、こちらでもこういった決済機能とか金融ITの高度化についての検討を始めておりまして、そのためのワークショップを開催いたしました。去る10月9日のことですが、そのときにどういった内容の話をしたかということが5ページ以降に書かれています。
私どもの基本的な認識としては、日本の銀行のITの利用というのは大変これまで活発に利用されてきて、かつ銀行にとってはITというのは非常に重要な経営のリソースであるというふうに考えられてきたのだと思っています。私自身も実際に金融ITの開発に携わったことがありますし、ベンダー側で開発の現場に一緒に居合わせたこともあります。あるいはそれを研究している立場としていろいろお話をお聞きしてきました。今日、最初にウェルネットのお話もありましたとおり、さまざまなオープンなネットワークの中で新しい金融サービスが出てきていて、ITというのはすばらしい力を持っているのだということを、みんながもう実感してしまっているにもかかわらず、銀行の業務の現場においてはそのITの力があまり使われていないじゃないかという声が非常に強くあるわけです。
これは何でなんだろうということを考えてみますと、に書きましたとおり、日本の銀行のシステムというのは非常に堅牢性、あるいは高度な可用性、いわゆるアベイラビリティーですね、これを追求してこれまでつくられてまいりました。それはかなり高いものを達成したと思います。セキュリティーもそれなりに高くなっている。後に挙げますとおり若干問題がありますが。その反面、柔軟性に乏しいと。とりわけインターネットのような大きな変化が起こってきたときに、それに対応するのがなかなかうまくできなかった。しかも、さまざまな変更があったり、維持管理の対応が必要になったりして、こちらに多大なコストを要してしまって、金融機関の経営リソースの非常に多くの部分を今のシステムを維持管理するために使ってしまっていて、イノベーション側に使っていないという問題があるのだと思います。
結果として、普通の企業であれば、ITを活用するというのはこのITを入れて、新しいビジネスをやろうと、新しい戦略を達成しようというイノベーションのための手段であるのが普通です。しかしながら、銀行の場合はどうもITというものが、例えば我が社はこういうシステムを使っていて、システムの変更に何年かかるので、例えばこういう戦略をするのは何年先にしようという話が実際に多く聞かれるわけでございまして、むしろイノベーションを阻害する一因となってしまっているという声もあるわけです。
6ページに挙げましたグラフというのは、皆さんよくご存じのとおり、ムーアの法則と呼ばれるITの世界で非常に有名な法則でございまして、半導体の集積度とか、コンピュータのコストパフォーマンスというものは1年半で大体2倍になるわけです。この比率を普通に適用しますと、もう10年とか20年とかたちますと、3桁とかとんでもない形でコストパフォーマンスが改善しますが、実際にそれに類した形でコストパフォーマンスが改善している、例えば普通の我々が使っているPCとかタブレットのようなものというのは、かつての性能に比べれば極めて高いものが非常に安価に提供されるようになってきていまして、これがまさにさまざまなイノベーションを生み出しているもとの力となっているわけです。
その次のページでございますが、ところが、どうも金融ITの現場ではこのムーアの法則というのが働かないように実感しております。例えば金融機関が従来から使っている銀行間の接続システムにおいて、ずっと使ってきているシステム、例えば全銀システムにおけるRC(中堅コンピュータ)というのはずっと使ってきているわけですが、これが例えば5年たちましたと、更改しますと。性能がどれだけ上がるのですかと、3割上がりましたと。5年で3割ですかって、一体どこにムーアの法則があるのですかという話を何度か議論したことがあります。
やはりどうも銀行の使っているシステムについては、劇的なコストの低下というのはどうもない、あるいは性能が非常に高くなったかというとそれもないということで、どうも30年前とあまり変わらないことをやっているのではないかというふうに感じるわけです。これはなぜかということの1つの答えが、銀行というのはどうも世間より先にIT化をしてしまった。その後そこでとまってしまった。このために世の中の変化に対して取り残されてしまったという仮説であります。
具体的に申し上げますと、今我々が使っている銀行のシステム、いわゆるATMですとか、全銀システムで送金をされるのであるとか、ああいうものというのは、第一次、第二次、第三次の銀行オンラインシステムの開発によって、1970年代から80年代にかけてかなり急速に発展したものです。当時はインターネットなんてものはありませんでしたので、銀行界がみずから全銀プロトコルなんていうのを開発しまして、自分たちでネットワークを一からつくっていったということが、ある意味で銀行界の誇りだったわけです。多分1980年頃においては、コンピュータネットワークというものの最先端のものは銀行であると。世界中のIBMのメインフレームのほとんどの機械が日本にあるのじゃないかと、日本に当時11行あった都市銀行がこぞって買い集めたという、そういう話がございました。
ところが、その後1990年代以降、どうも銀行のIT化というのはあまり進んでないのです。もちろんインターネットバンキングをやりました、ATMは高度化しましたとか、ICカードをちょっとずつ入れるようになりましたとかというところは、多少は変化しているのですけれども、基本的なつくりというのは全然変わってないです。
ところが、まさに1990年以降ぐらいにインターネットが登場して、あるいはPCが普及して、ムーアの法則が世の中を席巻して、非常に世の中を変えてしまった。その結果、世の中のITというものは進歩するのだけれども、金融のITというのはどうも何かとまっているという、そういう乖離が発生してしまったのではないかということが私の個人的な認識でございます。
こういう状況が長く続きますと何が起こるかというと、8ページでございますが、どうも要するに銀行が使うシステムの基盤技術というのが古いもので固まっちゃうのです。私、日本工業標準調査会の委員というのをしばらくやっておりまして、ここでJIS、日本の国内標準をつくる仕事をやっておりました。この場で私、銀行界の人間としてよく批判されたのは、「銀行はまだMT(磁気テープ)って使っているのですよね」と。「あれもう世界で使っているところはここだけなので、何とかやめてくれませんか」ということを何度も言われました。同じように銀行にかかわる技術というのは、どうも非常に古い技術を大事に大事に使ってしまって、結果として世間で誰も使っていないようなものをいまだに使い続けてしまうという、そういう傾向があるのではないかと思います。
もう一つは、銀行のITガバナンス体制です。ITガバナンスというのは、言葉としてはいろいろあるわけですけれども、最近のITガバナンスはすっかり会社そのもののガバナンスと非常に密接にリンクしておりまして、どうITを使って、どう会社を経営していくかということを考えるのが普通なのですが、どうも日本の銀行のITの決定の現場というのはそういう議論にはなってなくて、何かボトムアップでいろいろな案件が上がっていって、予算内にこれを採択してどうのという会議を皆さんやっていらっしゃると思いますけれども、これは相当古いスタイルだと思います。
それから、業務推進体制そのものですね、要するに既存の銀行のITを前提としたものとしてさまざまな戦略が立てられますので、そうするとこれがずっと変わらない。変わらないので銀行内でも変えられないという、そういう形になってしまって、全体が固定化してしまって変革を阻んでいる。変革が阻まれている間に世の中がものすごい勢いで、ムーアの法則で進歩しているという、そういうややカリカチュアとしてみればそういう話が起きているのだと思います。
これを解きほぐしていきたい。銀行の情報システムは安定していて安全である、もちろんそれは誇っていいことなのですけれども、それをできるだけ確保した上で、今日の例えば冒頭の議論にあったような、ユーザーに対するサービスをきちんと提供していくためにはどうすればいいかということを考えていかなくちゃいけないだろうというのが、私の今日の立場でございます。
次に、今一体そもそも何が問題なのかということを申し上げます。10ページのところでございますけれども、日本の金融ITというのは、もともと3つ特徴があると思っておりまして、銀行ごと、あるいは決済機関ごとにセキュリティー・ドメインが切られているのです。それぞれのシステムはそれぞれの中で完結していて、自分たちの責任分野というのはここですということが明らかになっていて、ほかとリンクしているところで、何か知らないけれども情報が送られてきたのでそのまま処理しますということは絶対にしないで、その相手に対してどういう責任を持つかということを非常に厳格に決めているというのが、この閉じたシステム、閉域のネットワークというものの特徴だと思います。
もう一つは、2番目は、その昔通信速度が非常に低かったのです。300ビット・パー・セカンドとかそんな時代がありまして、その時代のシステムに適合するためにつくられた非常に古い電文をそのまま使っています。そのために今の最新の技術を取り込むということに非常に向いていないつくりになってしまっているわけです。
それからもう一つ3番目は、1とつながりますけれども、外部接続先というのは基本的には銀行同士、あるいは銀行、例えばさっきの日銀ネットとか全銀システムとかそういうものとつないで、金融業界の中だけでつないでいるので安全ですということをやっていたわけです。もちろんこれは確かに安全ですし、もし問題が生じた場合でも、相手をよく知っていますからそことの間でいろいろやりとりができるわけですが、ただそのかわり一般の利用者との接続には非常に向いていないシステムになってしまっているわけです。
先ほどクレジットカードの代行決済がございました。これはこれで便利だということと、それはそれでリスクがあるという話と両方あったと思いますけれども、こういうことが世の中で求めているとすると、そういう連携というものが非常にとりづらいシステムが銀行のシステムになってしまっているということです。
その次のページでございます。メインフレームとかオープン系とかそういう議論がありましたが、言葉の定義はなかなか難しいのですけれども、単純に言いますと、この上の11ページの絵のように、銀行の外側に覆いをつくって、銀行のシステムは銀行の中で閉じていますと。銀行のサービスを使いたい人は企業の方も家庭の方も銀行に来てくださいと。銀行の窓口で、あるいはATMで操作をすれば、そこの範囲までは我々が守りますよと。そこから先は皆さんで守ってくださいと、そういう形の銀行自体を閉じる戦略というのが銀行の基本的なシステムです。外部からの隔離によるセキュリティーと言われるものです。
これは一旦銀行の中に入ってしまえば安全だという発想で、例えば4桁の暗証番号でもいまだに皆さん広く使っていると思いますけれども、それはなぜかというと、内部の閉じたシステムで外とはつながっていないから、そこの中で多少素朴な認証手段を使っても何とかなっちゃっているというのが現状だと思うのです。
かつて銀行の外側にネットワークがない時代はこれでよかったのです。ところが、銀行の外側のネットワークというのが、インターネットができて、これがどんどん広がって、かつそのインターネットの上でいろいろなビジネスであるとか、社会活動が行われるようになってくると、銀行だけが孤立したネットワークを持っていて、皆さんこっちに使いたければ来なさいというのは許してもらえない。そこで、その下の絵にあるように、銀行もこのネットワークの一部にぶら下がって、1つのエンティティーとしてそれ以外の人たちと同じネットワークを使うというようになろうとしたわけですが、ただこれをやろうとするとその途端に、従来のセキュリティーの構造からどうも合致しなくなってしまうという問題が起こっているわけです。
今、ちょうどセキュリティーの話が出ましたので、14ページ以降、かつて大騒ぎされました偽造キャッシュカード問題から10年たちまして、何が起こっただろうかということを今から反省してみたいと思いますけれども、2004年、5年というところでこの問題が発覚しまして、2005年にスタディ・グループが発足して、報告書が発行されて、預貯金者保護法ができて、施行されて、一旦沈静化はしました。多くの銀行が当時の反省に基づいてICカード化、生体認証化を一生懸命やりました。しかし、お客様が必ずしも皆さんICカードに変えていくこととか生体認証を使うことにご同意していただけなかったこともあって、その徹底はできませんでした。
結果として何が起こったか、その次のページをご覧ください。偽造カード事件が騒がれて一旦問題になった後、2006年、7年、8年と順調に対策が講じられて、実は一番大きいのはATMの引き出し上限額を引き下げたことが大きかったわけですけれども、ぐっと減りました。しかし、その後また増えてしまったのです。結局偽造カード問題の根というのは絶たれていないのです。しかし、この2013年、2014年にがくっと減っています。
これはなぜなのだろうというと、どうもこれは偽造カードの対策が進んで、ATMとかカードが強くなったからではなくて、その下のグラフにあるインターネットバンキングの不正のほう攻撃者集団が移ったようです。昨年のインターネットバンキングの偽造、不正引き出しの規模というのは、かつての偽造キャッシュカード問題のピークを越えているわけで、そういう意味ではターゲットが移ってもやはり同じような形で攻撃されてしまうわけですが、そこで18ページのところです。
実は今から10年前に日本だけが偽造カードで問題になったわけではございません。海外でも同じような問題がございました。
2004年から2005年にかけて米国でクレジットカード番号の大量漏えい問題というのが発生しました。我々が使っている銀行のATMであるとかインターネットバンキングというのは、非常にクローズドな銀行のシステムの内側で使おうということでいろいろな工夫をしているわけでございますけれども、それに比べるとクレジットカードというのはもともとオープンなシステムに適合しているものでございます。そのかわり偽造とか不正使用については事後的に対応することにしていたわけですが、その分だけクレジットカード番号がどこかに蓄えられていて、それが不正に利用されると非常に大きな問題になります。2004年から5年にかけて、これまた大きな漏洩事件が起こって、当時大きな社会問題になりました。そのときにアメリカの業界は何をやったのかというと、PCI DSSという業界標準をつくったんです。このルールを守らないとクレジットカードを使っちゃいけませんよということを非常に詳細に、具体的に、例えばATMの暗証番号入力装置(PNI pad)はこういう機能を持ったものにしなさいと非常に厳格に定めました。しかし、これをやってもその後も大規模なカード漏えい事件がまだ続いていまして、その意味では必ずしもそんなに有効ではなかったと思うのです。ただ、この対策だけはしっかり進んだ。もう一つ言うと、今起こっているクレジットカードの漏えい事件というのが非常に大規模なので、多分アメリカの業界も大挙してICカード化に移るものと思われます。
19ページで、こういったことの違いがどこに出てくるかというと、日本のATMはセキュリティーが弱いじゃないかという批判をする人たちがいるわけです。皆様聞いたことがあるかもしれません。いわゆる東京オリンピックの関係で、2020年までに日本の銀行のATMの一部を国際クレジットカード対応するようなものにするべきではないかという議論がございます。その妥当性は置いておいて、それをやろうとするときに1つの大きな問題は、もちろん「JIS1-JIS2問題」すなわちクレジットカードとキャッシュカードでは表と裏と別の方向に磁気ストライプがついていますから、それを読めるようにしなくちゃいけないという問題もあるわけですが、それとは別に、日本の銀行のATMのセキュリティーが問題だとされているのです。19ページの引用は、とあるクレジットカード会社の方々が出版した本の中の一節ですけれども、日本の銀行のATMは発展途上国の金融機関の国際対応ATMよりもセキュリティー水準が低い危険な状態にありますと。これを何とかしなくちゃいけませんということを書いているわけであります。
これはややぬれぎぬ的なところもあるわけでございますけれども、ただ冷静に考えてもなかなか厳しいところです。どうして厳しいかというと、アメリカの業界はいろいろな漏えい事件に対応してPCI DSSというルールをつくって、これを割と徹底させたわけです。結果としてこういうことは非常に今言いやすくなっている状態にあります。これに対して、日本の銀行のATMというのはそれに匹敵するようなルールというのがないのです。先ほどFISCの方が安全対策基準についてご報告していただきました。確かに詳細なルールが決められておりまして、その中では秘密を要する情報については暗号化すべきということがちゃんと書いてありますが、ただ具体的にATMの中で暗証番号をどう暗号化するべきかということについてのルールはないわけです。
さらに言うと、例えば暗号化するためにどういうアルゴリズムを使うべきかとかということについても、PCI DSSではきちんと規定してあります。必ずしも十分な形だと私は思いませんが、それに比べて、日本の場合はそこが基本的に任意になっております。さまざまなルールが、標準があるのですけれども、それをどう適用するか、金融機関が自由に判断してくださいというのが基本的な日本の立場なのです。
実際には日本のATMにおける暗証番号(PNI)というのは非常に慎重に取り扱われていまして、滅多なことでは外部に漏えいはしないと思いますが、しかし、先ほどもちょっとFISCの方も触れられましたけれども、最近漏えいした事件が実際起こっちゃいまして、そういう事件が一件でもあると、要するに日本の銀行のATMは暗証番号が漏れちゃうじゃないかという批判を浴びてしまうわけです。これに対する反応というのは、実は非常に難しい点があります。
21ページですが、これはなぜこういうことになっているのかというと、結局日本の場合は、皆さんで危ない情報は守りましょうよという、そういう形の一般的な議論をしているだけで、具体的な仕様の決定にまでは至っていないわけです。しかも、実際中でどうやっているかというのは全部秘密なわけです。これはなぜかというと、クローズのシステムだったからです。結局、銀行のシステムを守る発想が、実際に銀行のシステムが外と切り離されたクローズなネットワークの中でつくられているということと、セキュリティーのシステムがリンクしちゃっているわけです。こういう外に対して秘密で、我々はしっかりやっています、安心してくださいというふうに言うというのは、security through obscurityと言いまして、さらにはsecurity through obscurity is no security at allという言葉もあるのですけれども、非常に古い考え方でありまして、こういう考え方を多分脱却していかないと、日本の銀行のシステムをオープンなネットワーク環境に適合していくことが実は結構難しいことではないかと思います。多分それらが求められていることではないかと思われるわけです。
23ページから、最後のところです。インターネットバンキングの話をしたいと思います。先ほどお話ししましたように、インターネットバンキング、最近非常に犯罪が増えてしまっていて、それが問題だということになっているわけですけれども、もともと日本の銀行のシステムというのを考えてみますと、要するに非常にクローズなネットワークですよと。クローズなネットワークなのだけれども、インターネットを皆さんが使っているのでインターネットで使われなくちゃいけないということで、そこをちょっとだけオープンにすると。要するにクローズなネットワークの一部をインターネット側にちょこっとだけオープンにすると。ただし、ちょこっとだけオープンにしたところのターミナルであるユーザーのPCは、そこはセキュアだと、そういう前提のもとで日本のインターネットバンキングというのはつくられてきているわけです。例えばそこにありますパスワードを入れればいいでしょうと。インターネット上でSSLで守っていますから、パスワードで大丈夫でしょう、あるいは乱数表を入れればちょっと高度ですよねということをやってきたわけです。
しかし、実際にはフィッシングであるとかいろいろな攻撃によってこれがアタックされてしまったので、もう今はこれではだめだということが知れ渡っていまして、その下にあるワンタイムパスワード、OTPというものによってセキュリティーを守ろうということに移ってきています。
ところが、残念ながらこのOTPも今アタックが増えてきていまして、今後多分だめになるだろうということが、技術者の間ではもう常識になっております。具体的にいうと、マン・イン・ザ・ブラウザ攻撃と言うのですけれども、ウィルスとかマルウェアによって乗っ取られたユーザーの環境を使って、実際に入力した振替電文とは別の、偽の電文をユーザーが入れた認証のメッセージを使って有効なものとして送ってしまうという、そういう攻撃が今実際に可能になってきておりまして、それに対する対策をいろいろ考えなくちゃいけないということで、そのためにトランザクション認証というものが今必要だというふうに言われてきています。
トランザクション認証というのは24ページにあるように、個々の取引をするときに、その取引の内容に該当するものをピンパッドから入力をしたり、あるいはここにカメラがついていてQRコードを読み取ったりするタイプもありますけれども、それによって取引一件一件についてそれが真正なものであるということを、インターネットバンキングのネットワークとそれに接続したパソコンとは別のデバイスによってそれを守っていこうという、従来のICカードでセキュアなものを守っていこうということをしたものと同じような発想で、別のセキュアなところに閉じ込めた秘密のデータによって、一個一個のトランザクションを守っていきましょうということであります。
こういう変化がインターネットバンキングの世界で起こっているということは、従来クローズだったネットワークをインターネットで一部オープンにしたというのが、結局銀行のシステム全体がオープンになるということの蟻の一穴になったのではないか。それが今後銀行システムの基本設計に大きな影響を与えていくのではないかというのがこの後の推論です。25ページですが、従来の考え方は非常に素朴で、インターネットバンキングというのは利用者との間のネットワークを守って、全体の領域を一緒に安全な領域として、銀行のATMとか窓口を利用者のパソコンのところに持っていくんですよみたいな、そういうコンセプトだったわけです。そこがもう安心できない、外部から隔離してセキュリティーを守るということがオープンなネットワーク上ではできないということが分かってきたのです。ある意味で最初から自明なことだったわけですけれども、オープンなネットワークで隔離するというのは定義矛盾みたいなものですから。それを事実上やらなくちゃいけないということでこのトランザクション認証的なことを行うとすれば、これが銀行取引において外部のネットワークと自由に接続をするということの大きな可能性になるのではないかと思います。最後の27ページのところでございます。
今我々がこういう議論をしているのも、結局銀行がオープンなネットワークに十分対応していなくて、やれPayPalであるとか、Apple Payであるとか、Googleであるとか、Facebookであるとか、そういうものに対して多分対抗できないんじゃないかということを我々が恐れている。将来を危惧しているからこそ、こういう議論をしているわけです。そうだとすると、そういう中でどうやって銀行は従来のセキュリティーの基本理念を切りかえてやっていくべきかというと、多分こういったトランザクション認証的な考え方をさまざまなところに入れていけばいいのではないでしょうか。
幸い日本では2001年に電子署名法が成立しておりますので、少なくともきちんとした形で電子署名を付与するような、各トランザクションにきちんと認証機能を付与することの法的な有効性については既に担保されているはずなのです。だから、必ずしも外部からの隔離だけに頼る必要はなかったのですが、ただ、これをやろうとするととてもお金がかかりますし、システム的にも大変です。あるいはユーザーを巻き込んで、従来からやっている磁気ストライプに4桁の暗証番号でいいやと言っている人たちを何とか説得して、新しい面倒くさい認証の仕組みのほうに引き込まなくちゃいけないと、これが大変だということだったわけですが、ただ、さすがにインターネットがこれだけ普及してきますと、利用者もそういうことに理解するようになるでしょうし、お金がかかる件についても先ほどお見せしたようなトークンになっていて、昔で言えば1個何万円もしたものが今、非常に安くなってきているということで、そういう技術の進歩というものを、ムーアの法則を味方につけるような形で何とか新しい認証の仕組みというものを入れていく。典型的には例えばICカードにして、そこを、ICカードを読み取る機械をユーザーに配って、そのユーザーがそこでピンとかあるいはカメラとかで、個別の切り離された認証を行うということはいろいろ考えられると思うのですが、そういうことを考えていったらいいのではないかと思います。
最後29ページですが、2015年、来年にはマイナンバーが付与されます。当初、銀行預金というのはマイナンバーの付番対象にはなっておりませんが、しかし今年の4月に発表されましたマイナンバー検討グループの政府税調のほうから、銀行預金にマイナンバーを付与すべきという議論が出ています。これ、実際やるのは大変です。今、銀行は各個人がどういう、どこに住んでいて、何という名前だということを確たる情報として持っているわけでは実はなくて、昔口座開設したものについては本人確認も十分されていないものがあるのです。それらについても全て磁気ストライプのカードがたくさん発行されて10億枚ある状態ですけれども、これをどこかで見直さなくちゃいけない。そのときにこういう新しいデバイスを入れていくということをぜひ考えるべきタイミングに来たのではないかということが、私の意見でございます。
ありがとうございました。
- 【岩原座長】
-
どうもありがとうございました。
それでは、自由討議に移りたいと思います。
どなたからでも結構でございますので、ご質問、ご意見等ご発言をお願いいたします。
翁委員、どうぞ。
- 【翁委員】
-
それでは2つお伺いしたいのですが、1つ目はウェルネットの滝島委員にお伺いしたいのですけれども、収納代行サービスについては平成21年の、この金融審議会でもいろいろ議論がありまして、そのときにかなり業界としてもこういった安全性に対しての取り組みを強化していくというお話があったように記憶をしているんですが、日本代理収納サービス協会につきましては、利用者の保護という観点から、先ほど国民センターのほうからお話しいただいたような、消費者の啓発とか、それからトラブルの情報収集とか、または一定のガイドラインとか、安全性を担保するためにどんな取り組みをされているのかということを教えていただければと思います。それが1つ目です。
それから2つ目は岩下参考人にお伺いしたいのですが、非常に勉強になりました。クローズドなシステムからオープンにしていくことが難しいけれども、それに合ったセキュリティーを考えていかなければいけないというお話、非常に参考になりましたが、このトランザクション認証というのは今、欧米諸国などでどのぐらい使われていて、どういう段階になっているのかということを教えてください。
- 【岩原座長】
-
それでは、滝島委員、どうぞ。
- 【滝島委員】
-
お答えします。当協会としての取り組みとしましては、幾つかやっておりますが、その中で今まさに取り組んでいるところでは、消費者の保護ということでは二重弁済について、お客様・消費者が発生しないようなことを取り組んでおりまして、具体的には各払込票というものでは既に実施、恐らく、私も先ほどの平成21年の新改訂の内容をちょっと存じ上げてなくて申しわけないのですが、払込票において代理受領であるものを伝えております。また、ペーパーレスのほうのサービスでは代理受領である旨の表記がなかったものですから、こちらについて代理受領である旨の表記をしていくというような取り組みをしております。
また、先ほど国民生活センターからありましたようなトラブルの中で、お問い合わせがある件も協会に入っております。そこにつきましては、それぞれお問い合わせがあった方に対しまして、当協会で答えられる範囲のことにつきましてはお答えをするというような取り組みを今現在行っております。
以上です。
- 【岩原座長】
-
はい。翁委員、よろしいですか。
- 【翁委員】
-
今、業界としてどんなことをやっているかという全体像みたいなものがまたありましたら、また資料なり何なり、教えていただければと思います。
今どういう取り組みをしているかということについては、今のお答えでわかったのですが、体制というか、そういうことについてもしまたわかりましたら、今日でなくて結構ですので教えていただければと思います。
- 【岩原座長】
-
ちょっとついでによろしいですか。
今の滝島委員からのお答えで、二重弁済が発生しないように払込票で伝えるというのは、具体的にどういうことをやって、それによってどのように二重弁済が防げるのでしょうか。また、代理受領である旨を表記するということは具体的にどういう意味を持っているのでしょうか。
滝島委員、お願いします。
- 【滝島委員】
-
そうしましたら、先ほどの翁委員からもご質問ありました全体像がわかる資料を、次回に当協会のほうでガイドラインも含めて設けておりますので、それをもってご説明するという形でよろしいでしょうか。
- 【岩原座長】
-
わかりました。じゃ、よろしくお願いします。
それでは、岩下参考人、お願いします。
- 【岩下参考人】
-
かしこまりました。
とてもいい質問をありがとうございます。海外の状況でございますけれども、海外におけるインターネットバンキングにおいてトランザクション認証を行うというのは、もう世界の常識であります。今日お示しした24ページのところにある、これは左がシティーバンク、右側は北欧の銀行でございますけれども、海外の金融機関のインターネットバンキングにおいてのこの種のピンパッドつきのものというのは非常に広く使われております。割と有名なところだとシンガポールが、シンガポールの国内の銀行は全てこういうのを使っていまして、各銀行ごとに持っているので、シンガポールの銀行取引をやっている人たちはこれを5台ぐらい持っているのが普通です。
ちなみに中国の中でもこの種のものを使うべきということが、人民銀行の指針に書かれておりまして、多くの銀行がこれを既に採用しております。もちろん中国の場合は幾つか階層が分かれておりまして、非常に高額の取引をする人は機能の高いトランザクション認証のものを使うけれども、取引金額が低い人は、例えばスクラッチ型のカードという、もうちょっとセキュリティーの低いものを使うという、そういう幾つかのスペクトラムがあるようでございますけれども、ちなみに日本では一部のメガバンクがこれに類した機械の配付を始めておりますが、まだ実際のトランザクション認証として使っているという事例はないと理解しています。
- 【岩原座長】
-
はい、よろしいでしょうか。
髙木参考人、どうぞ。
- 【髙木参考人】
-
三菱東京UFJ銀行の髙木です。今の岩下参考人のご発言に少々補足しますと、私どもが欧米の銀行の何行かにいろいろヒアリングした中では、概して欧州の銀行がこのトランザクション署名について非常に積極的で、かなり流通も広がっております。
一方で、米州の銀行につきましては、少なくともリテールの銀行取引ではあまり広がっておらず、積極的な採用状況ではないというのが私どもの認識でございます。
それから、シンガポールにつきましては先ほどおっしゃられたとおり、当局の指導でほぼ義務化に近いような形となっておりますので、かなり広がっているのが実態でございます。
それから、このトランザクション署名につきましても、オプションとして提示していますので、全てのお客様がご利用されてやっているかというとそうでもなくて、割とセキュリティ意識の高い方であるとか、お金を払って利用してもいいという方が採用しているのが実態だというふうに認識しております。
- 【岩原座長】
-
はい、河野委員、どうぞ。
- 【河野委員】
-
ご報告ありがとうございました。私は消費者ですので、先ほど国民生活センターが報告してくださいました消費者の被害の実情といいましょうか、今顕在化してきている問題に関しまして、非常に興味があるところでございます。
先ほど岩下参考人が非常に明解に説明してくださいましたけれども、私たちが今の日常の暮らしから決済方法、利便性というのをやはり一番先に置いてどんな方法を選んでいるか。新しく出てきた決済方法に関して消費者側の知識が追いついていない、そのあたりでいろいろ私たちの日常的な注意というのが多少おろそかになるような形で、さまざまな被害が発生しているというふうに感じております。
それで、事業者側の皆さんもやはり利便性を強調して、トラブルというのを過少評価しているのではないかなと思っておりまして、今CM等でさまざまキャッシュレスで簡単に払えるよというふうなのを見ておりますと、本当に何の問題もなくさっとカード一枚で払えるというふうにCMが出ていて、そのあたりも問題だというふうに感じております。
質問をさせていただきたいのは、ちょっと重複するかもしれません。先ほど日本代理収納サービス協会は、次回こういった消費者トラブルを防ぐためにどのような対策をとられるのかということで、まとめてご報告いただけるということでしたけれども、そのほかに資金決済業協会とか、それから日本クレジット協会、それから大きくこの行政の所管官庁である金融庁は、今現在こういったキャッシュレスの決済において消費者トラブルの状況をどのように把握してくださっていて、消費者がこういった新しい利便性といいましょうか、これまでのかつての銀行がやってくださったよりもはるかに私たちの暮らしの実態に合っている新しいこの決済方法を利用するに当たって、消費者向けの啓発はどんなふうに考えてらっしゃるのか。そのことをぜひ伺いたいというふうに思っております。
さらに、基本的にはこの後ガイドラインですとか、それから啓蒙活動をしっかりやっていただきたいというふうに思っております。
それから今後に向けてなんですけれども、消費者側のトラブルというのは全国の消費生活センターを通じて国民生活センター、PIO-NET等に結構集約されていくと思いますが、国民生活センターと連携してこういったことに対処して、私自身はいってほしいというふうに思っております。やはり実態というのとしっかりあわせて考えていただきたいというふうに思っておりますので、そのあたり今後の方向性をぜひ具体的に考えていただきたいというふうに思っております。
実は今日、報道で読みましたけれども、かつて携帯電話でソーシャルゲームの課金が非常に大きな騒動になりましたコンプガチャ等、あれも国民生活センターのところにいろいろな被害情報が寄せられまして、その後業界のところで事業者の団体をつくって自主規制のガイドラインをつくったり、啓蒙活動をやられた。それが功を奏して、スマホのほうに移っていったということもありますけれども、非常にそこのところは被害が縮小していきました。今日のニュースは、その事業者団体がもう解散するというふうなニュースでした。つまり、あっという間に広がり、あっという間に問題が大きくなり、それに対処しているうちに、業界はもう既に違う業態に吸収されていってしまうという、先ほどムーアの法則のお話を伺いましたけれども、非常にスピードが速いというところだというふうに思います。
そのあたりも含めまして、ぜひキャッシュレスの消費者被害の対応というのが、今年度ここまでやって、次年度以降ここからやるのだというふうな、そんな悠長な問題ではないかなというふうに思っておりますので、関係者の皆さんのぜひ迅速な対応をお願いしたいというふうに思います。
- 【岩原座長】
-
はい。何か金融庁の側からありますか。
- 【佐藤総務企画局信用制度参事官】
-
今お話しございました点、金融庁全体としてもいろいろ取り組んでいるところがございますので、整理しまして、しかるべきタイミングでご説明したいと考えております。
- 【岩原座長】
-
それ以外に、小野委員。
- 【小野委員】
-
ご報告ありがとうございました。岩下参考人に、2点お伺いしたいと思います。
1つ目は資料の10ページから12ページで、日本の金融ITの特徴として、オープンな環境になかなか対応できなくなっているというお話があったのですけれども、これは日本に固有の特徴なのか、それとも例えば銀行業という産業の世界共通の特徴なのかを知りたいと思います。例えば海外の銀行でも、やはり共通する特徴なのか、それとも海外ではうまく対応出来ている事例があるのかというのを教えてください。
それから2点目として、偽造キャッシュ問題のお話ですけれども、ちょっとこれは細かくて瑣末な話かもしれないんですけれども、キャッシュカードに有効期限を設けることはできないのかなという素朴な疑問を前から持っています。これだけ技術革新のスピードが速くて、それに応じていろいろな、今日もご報告がありましたけれども犯罪行為が行われるようになると、恐らくイタチごっこの世界なのだろうと思います。我々パソコンを使っているとよくOSの更新というのがあって、最初のころは非常になれなくて悪戦苦闘するんですけれども、それでもそれをやらないといろいろな被害に遭うということで、我々ユーザーとしてもそれを受け入れざるを得ないと思ってやっている訳ですけれども、同じことが多分決済の世界でもあると思うんです。やはり決済は誰にとってもすごく大切なことですので、そこに関して何か情報セキュリティー上の理由でアップデートの必要が生じたら、ユーザー側でそれになれなきゃいけないという不便があったとしても、それはそれである程度コストとして割り切れるんじゃないのかという素朴な疑問があるんですけれども。
以上2点です。
- 【岩原座長】
-
それでは、岩下参考人、お願いします。
- 【岩下参考人】
-
かしこまりました。
まず、10ページから12ページにかけて書いたことは日本の固有の事情かというご質問でございますけれども、おっしゃるように銀行業界にはもともと似たような性格がございまして、海外でもある程度クローズドなネットワークを使ってセキュリティーを守ろうというコンセプトはありましたが、多分日本がちょっと特殊なのは、多分日本と韓国が特殊なんだと思いますけれども、クレジットカードを銀行が発行していないということです。
クレジットカードというのは、冒頭のウェルネットとかあるいは国民生活センターのお話があったとおり、非常にオープンな仕組みなのです。今は別の認証手段と組み合わせることによって、インターネット上のセキュリティーを高めるための努力はもちろんしているのですが、もとといえば、ウェブページにクレジットカード番号とexpiry date有効期限を入れて送れば、それで決済ができてしまう。そのデータは普通のプレーンなテキストデータですから、転々流通してどこかで保存されてということを自由にやっていたので、決済もできてしまうし、不正にも使われてしまうという、それをどうやって不正に使われてしまうのを防ぐかみたいなことの対策、イタチごっこをやってきましたし、それのセキュリティーを向上するためにオープンなネットワークの中でどういう改善を加えるかということをやってきたということが、アメリカの国際クレジットカードブランドとアメリカの銀行なんかが中心になってそういうことを一生懸命やってきました。欧州でもやはりICカード化をするプロセスの中でそういうことを一生懸命やってきたということで、結局クレジットカードというインターフェースを持っていたところが、オープンなネットワーク化に何がしか対応しなければいけないということの意識が非常に強かったように思います。アプローチはいろいろ違って、アメリカの場合は普通の磁気ストライプのカードがまだ使われているけれども、そのかわり別の対策を講じるであるとか、あるいは欧州の場合はそのために国を挙げて全部ICカード化しちゃおうみたいなことをやって、そのICカードは例えばトランザクション認証にも使えるよみたいな、オランダみたいな国とかが出てくるという、そういうことが起こっているという意味では、残念ながら日本の場合はもともとの歴史的経緯によってクレジットカードを分離してしまったことが、そういうユーザーとのインターフェースの部分をイノベートする誘因を1つ失わせたということが多いのかなと思います。
ただ、もちろん海外でも銀行のネットワーク全体はクローズドな発想で持っている部分はまだありまして、そこについてどれぐらい使いやすくするかと、そこのセキュリティーをどうするかというのは、我々も海外も同じような課題です。
もう一つは、あえて言うと、日本の場合はやはり標準が違うということです。海外の場合は比較的同じような技術を業界内で入れて、それをイノベートしていこうということを割と一生懸命やる業界団体がいっぱいあったわけですけれども、その努力によって国全体として、例えばイギリスではチップ・アンド・ピンが普及したとか、そういうことが起こったわけですが、日本の場合は残念ながらそういうことがあまり行われなかったというのが問題だと思います。
2番目のキャッシュカードにexpiry dateを設けることは、もし設けられれば私もぜひ設けたほうがいいと思います。今でも例えばICカード型のキャッシュカードはexpiry dateがあります。なぜかというと、ICカードの中に入っている公開鍵暗号を利用した認証証というのが、公開鍵証明書というのが入っていますけれども、これはもともと有効の期限が例えば5年とかというふうに限られていまして、それ以降は更新しなくちゃいけないというルールがあるからです。
おもしろいのは、ICカードでセキュリティーが高くて中にちゃんとした電子署名の公開鍵証明書が入っているものはexpireして、今から30年も前に発行された昔の都銀11行時代のカード、私今でも何枚も持っていますけれども、これは全部使えるのです。
これはどうしてかというと、30年前の技術なので、それを今でも使っているので、そういう意味では、それが急に何か脅威にさらされるとか、そういうことは多分ないのだという発想なのだと思うのです。それに比べると、インターネットの例えばWindowsであるとか、Internet Explorerというのは年中アタックが出てきます。それに対する攻撃を防御しなくちゃいけないから更新します。
逆に言うと、でも磁気ストライプに対する攻撃というのはもう何十年も前から現に存在していて常に脆弱な状態なので、できることであればより高度な認証手段を使った技術に置きかえていって、古い磁気ストライプのカードは使えなくするというのが正しい選択です。ただ、実際に銀行の方々といろいろ話をしますと、既にやっているサービスをやめるというのは、銀行にとっては非常に厳しい判断のようでございます。そこの部分の発想も多分この種のイノベーションにどれぐらいフィットした経営思想になっているかということとリンクしている話かなと思います。
- 【岩原座長】
-
はい、永沢委員。
- 【永沢委員】
-
翁委員、河野委員からもご質問やご依頼がありました件ですが、先ほど国民生活センターからご報告のありましたトラブルの事例について、今回お答えいただくのは難しいと思いますので、次回以降で、日本代理収納サービス協会様だけではなく、金融庁や資金決済業協会、クレジット協会の皆様にも状況を把握した上でどのような対策をとっているのかを、コンパクトな形でご報告いただけたらということを、私からも重ねてお願いさせていただきたいと思います。
それから、些少な質問になって恐縮なのですけれども、と言いながらも消費者としては大変関心のあるところで重要な問題だと思っているのですが、日本銀行の岩下様あるいは銀行協会への質問になりますが、先ほど14ページのところで出ました、これだけ不正な利用、悪質な事業者などに私ども消費者がリスクにさらされ、銀行もリスクにさらされているということがわかりましたが、このような状況の中で、ICカードや生体認証というものへの対応というのは、大きな設備投資を銀行様もされているように思うのですけれども、その普及がいっこうに進んでいないということなんですが、この普及率というのはどの程度なのかということと、普及しない原因についてお伺いできますでしょうか。利用者が同意しない理由というのは面倒くさいからということだと思いますが、その辺のリスクに対する教育というものが十分ではないのではないかというところも考えられるのではないでしょうか。よろしくお願いいたします。
- 【岩原座長】
-
まず岩下参考人、お願いします。
- 【岩下参考人】
-
かしこまりました。
まず利用率ですが、正式な数字は事務局なり、事務局からもしかしてお答えいただけるかもしれませんが、何枚発行されているという意味でいくと、多分磁気ストライプカードが巷間10億枚とかと言われていまして、ICカードというのはそれに比べるとかなり少ない枚数しかまだ発行されていないのが事実でしょう。実際に使われている量というのは、もうちょっとICカードが多いようです。この間とあるATM業者にお聞きしたところ、「我が社で扱っている取引の4割はICです」というふうにおっしゃっておられましたので、そんなぐらいの比率なのかなと思います。
あとは、なぜそれが普及しないのかということについては、銀行側はせっかくATMをお金かけてあれだけ入れたわけですので、相当努力をしています。費用を負担しろともお願いしておりません。ただ、そうは言っても自分たちの磁気ストライプのカードを銀行に持ってきて、ICキャッシュカードにかえてもらうということを積極的にやりたいというふうにおっしゃる預金者の方々はあまりいらっしゃらないのと、クレジットカードのように送りつけて、磁気ストライプがICカードに変わったということがありません。先ほどの議論のようにexpiry dateがありませんので、結果として本人が相当意識しなければなかなか変わらない。
ただ、一部の地域銀行なんかですと、全てのお取引先にICカード化したカードを送りつけて、それにかえてくださいとやった事例等もありますので、もちろんこれからセキュリティー対策を、私自身はICカードにかえただけでは十分な向上には残念ながらちょっとならないと思って、いろいろ変えるところがあると思うのです。そういうことのパッケージとして、どうやって古い技術を不便になるけれども、お客様で使わないでいただいて、新しい、より対策された技術を使っていただくように仕向けていくかというのは、いろいろ工夫の余地があるなと考えています。
- 【永沢委員】
-
ありがとうございます。
- 【岩原座長】
-
柏木委員。
- 【柏木委員】
-
三菱東京UFJ銀行の柏木でございます。大変有意義でご示唆に富む内容であったと思います。今のご質問に関連してなのですが、今ご説明のありましたとおり、銀行としてもICカード化は非常に重要だと思っておりまして、一生懸命取り組んでいるところでございます。
個別行の話になってしまうのですが、私どもの銀行で発行しているキャッシュカードについて、現在、新規発行分は全部もちろんICカードでございます。ただ、おっしゃられるとおり、過去からのお客様についてもICカードへ切りかえをお願いしているところでございますけれども、お客様にしてみるとそれほど今お持ちの磁気カードで不便を感じていらっしゃらない。あるいは、万が一のことがあっても基本的には銀行が補償するということになっておりますので、それほど積極的な切りかえへのインセンティブがないのかなというのが正直なところでございます。
全体で何%かという数字に関しては、オープンにしておらず、今この場ではお答えはできないのですけれども、個別行としては現在、かなり一生懸命取り組んでいるということでございます。
以上でございます。
- 【岩原座長】
-
はい、ほかにいかがでしょうか。
加毛委員、どうぞ。
- 【加毛委員】
-
ありがとうございます。滝島委員に2つ質問があります。
1つはウェルネットの滝島委員に対する質問で、もう一つは日本代理収納サービス協会の滝島委員に対する質問ということになります。最初の質問は、お配りいただいた資料の13ページから14ページにかけて、「コンビニ現金受け取りサービス」を開始しているというご説明いただいたところですが、これは法的にはどのように構成されているのでしょうか。ウェルネットが事業者から委託を受けて第三者弁済(立替払い)をしていると理解してよろしいでしょうか。
委託をした事業者が破産した場合などに誰がリスクを引き受けることになるのかが気になっておりまして、このサービスが法的にどのように構成されているかを教えていただければと思います。
もう一つは、日本代理収納サービス協会の滝島委員への質問です。資金決済法との関係では収納代行が為替取引に該当するのかという問題がかねてから指摘されていたと思います。一般的には資金決済法の適用はないと考えられているのではないかと思いますが、資金決済法の適用除外を明文化することなど、業界としての検討に基づくご提案・ご要望はないのでしょうか。
- 【岩原座長】
-
滝島委員、お願いします。
- 【滝島委員】
-
はい、ご質問を2つ承りました。
まず1つ目についてです。こちらについてはまず立てかえ払いになっております。具体的に幾つかありまして、1つはですけれども、これは非常にサービスレベルというところでございまして、ウェルネットとして立てかえができる部分については立てかえをするというスキームになっております。
しかしながら、その額によってはウェルネットとして立てかえができるには限度がございますので、そういった立てかえをする金額をあらかじめ聞いて、ウェルネットとして立てかえがいろいろな理由でできない、しづらいといった場合には、あらかじめ資金を預けていただく形になります。
当然のことながら、あらかじめ預けていただく資金については100万以上であるわけにはいきませんので、こちらについては当社の口座ではなくて信託口座のほうに100万以上の口座を預けていただくというスキームで運用をしております。
2つ目です。まず為替取引のところについてですけれども、今回そこについては、まずお示しはしておりません。協会の中でですけれども、為替取引の適用除外になるかどうかについての今のところ具体的な協議は、少なくともこの1年は触れていないというのが今の状況でございます。
ただ、為替取引の適用除外になるかどうかというところに、直接的にご説明になっているかどうかわかりませんけれども、当サービスが自主規制、ガイドラインを持って安全に使っていただくようなサービスであることを考えて、今先ほどもおっしゃったとおりにガイドライン等も設けてサービスを運用していこうという目的で会を設立して、サービスを運用しているというのが今の状況でございます。
以上です。
- 【岩原座長】
-
加毛委員、いいですか。
- 【加毛委員】
-
もう一つだけよろしいですか。
関連して実態を知りたいということなのですが、この「コンビニ現金受け取りサービス」を、ウェルネットは2013年10月から開始しているということなのですけれども、ほかの業者でもサービスを行っているところは多いのでしょうか。それともウェルネットが業界に先駆けて独自になさっているということなのでしょうか。
- 【岩原座長】
-
滝島委員。
- 【滝島委員】
-
お答え申し上げます。コンビニについては、私が知っている限りは、今のところこういったお金を事業者にかわって委託を受けて、お金をお渡しすると、決済するというサービスをやっているのは、まずコンビニだけかなと思っています。
私どもでは資金決済法に基づいて資金移動業者として取り組んでいるのは、私ども含めて2社というのが今の状況です。
以上です。
- 【岩原座長】
-
よろしいですか。今のご発言に関連して、収納代行のサービスを提供している事業者の中で、資金移動業者としての登録をしているのは2社だけという意味で発言されたのでしょうか。
- 【滝島委員】
-
はい。今私が2社と申し上げたのは、こういったコンビニで現金受け取りサービスをするということを取り組んでいるのが2社という意味でお答えを申し上げました。補足ながら、私どもはいわゆる収納代行会社で、資金移動業者に登録している会社は当然2社以上ございます。
以上です。
- 【岩原座長】
-
はい。堀委員。
- 【堀委員】
-
今の滝島委員からのご回答に少し補足してお伺いしたいと思います。
御社のほうで資金移動業者登録をとられている一方で、収納代行サービスも行われているということでありますけれども、どの範囲を資金移動業として申請されているのかという点をもう少し教えていただけますでしょうか。
- 【岩原座長】
-
滝島委員。
- 【滝島委員】
-
はい、お答えします。
まず、少しサービスの内容ですね、決済、これは入金ですね、コンビニ収納代行に代表されるような入金と送金に分けてご説明申し上げますと、この入金のところを払込票であるだとか、先ほど申し上げたペーパーレスでの決済方法につきましては対象としておりません。対象としておりますのは、あくまでも事業者にかわって、先ほど少し触れました立てかえ払いをしているところのサービスについて認可をとっているというところでございます。
以上です。
- 【岩原座長】
-
ということは、他のコンビニ業者の皆さんも入金に関する収納代行については、資金移動業者としての登録はしてないという状況なのでしょうか。
- 【滝島委員】
-
はい、各会社のちょっと細かいところまでは私も把握しておりませんが、少なくともコンビニ収納のサービスとして資金移動業者登録はしていないという認識でございます。
- 【岩原座長】
-
堀委員。
- 【堀委員】
-
今のご回答はよくわかりました。実務上の、先日も何か問題点があるようであればお話ししてほしいという事務局からのご指摘もありましたので、1点申し上げさせていただきますと、私どもにご相談にいらっしゃる事業者の中で、資金移動業者登録をとってサービスを行いたいという希望を持っている事業者がおりますが、法人間送金についてこれを営もうといたしますと、100万円の上限規制があるということで、事実上これはできないということになります。どうするのかといいますと、サービス提供自体を諦めるのか、あるいは収納代行という形で行うというように資金移動業者登録を諦めて、今制度整備が必ずしも明確化されていない収納代行の業態で営むということが行われることが現状の実務としてあるというふうに認識しております。
今後どうなるのかということを、先ほど滝島委員からも特に収納代行を適用除外とするということはご意見としてはないということですので、このまま議論されないことになるのか、あるいは平成21年の金融審議会で先送りとなったことを、このスタディ・グループの場で再び議論されることになるのか。私としては、この場で、制度整備の必要があるということなのか、ないということなのかということを、いずれにしても明確にすべきではないかというのが個人的な意見でございます。
もう一つは、きちんと登録をとって資金移動業者で行いたいというような事業者につきましては、とりわけ法人間送金においては、100万円の上限規制があるためにできない部分が、かなりの部分があるというふうに我々は認識しておりますので、これを銀行と同じようなレベルまで行えるようにするのかどうか、これはまた議論があるとは思いますが、こういったものも取り扱えるようにすべきではないかというのが私の個人的な意見でございまして、この上限規制のあり方についてもこの場で議論をしていただけないかと考えているところでございます。
以上です。
- 【岩原座長】
-
はい、どうもありがとうございました。資金決済法を立法したとき以来の大きい課題ですので、私も個人としてできればそういう問題をここで整理する議論をしたいと思っております。
ほかにございますでしょうか。
戸村委員、どうぞ。
- 【戸村委員】
-
ありがとうございます。FISCと日本銀行から来られた参考人の方々それぞれに1つずつ質問させていただきたいのですが、以前のご説明、他委員、他参考人のご説明で1つご指摘があったのは、日本というのは外為円決済制度と外国為替決済制度の二本立てでありまして、先進国の他の制度と比べると一つ特殊なありようを持っているというのが私の理解でありますけれども、それに付随して、外為円決済の手数料が送金額に従量制で課金されるような、少し高いものになっているというご指摘がどなたかからのご指摘であったかと思いますが、それに関連してFISC様の資料の9ページ目について質問させていただきたいんですが、細かい点ですけれども、このように2つのクリアリングシステムが二本立てであるということで、それによってここに勘定系、対外接続系、全銀システムとなっていますが、外為円決済制度、外国為替決済制度の二本立てのシステムのつながりが必要で、それがシステム設計上のコスト上、どのくらいのインパクトがあるのかというものをもしもご知識があれば、教えていただきたいのが私の質問です。
日本銀行から来られた岩下参考人に対しては、簡単な質問なのですが、日本にはゆうちょ銀行という他の普通銀行と成り立ちが違う銀行がありまして、ゆうちょのITシステムもご説明にあったような理解で正しいのかという点について、質問させていただきたいと思います。
以上です。
- 【岩原座長】
-
それでは、米山参考人。
- 【米山参考人】
-
今いただいたご質問ですが、二本立てのシステムについてどのようなインパクトがあるかについては知見がございません。大変申しわけございません。
- 【岩原座長】
-
それでは、岩下参考人。
- 【岩下参考人】
-
ちょっと越権になりますが、今の二本立てのシステムについてちょっとだけお話しします。私、以前そういう講演をしたことがありますので。
外国為替のシステムがSWIFTのネットワークを使ったもので、日本の国内は全銀システムの二本立てになっていることのコストについてのご質問ですが、実は日本国内のシステムを変えなくて済んだという意味においては、もしかしたらコストセービングになったのかもしれないのです。どっちかというとSWIFTのシステムは、これは先ほどのインターネットのイノベーションじゃないですけれども、結構それなりにイノベーションをするので、それに対応していくのが結構大変です。日本の銀行でも、いわゆる外為部門の人たちというのはSWIFTのネットワークに対応するために、それなりに一生懸命努力をしてシステムを組んでいます。こちらはいわゆるオープン系のシステムです。
ところが、日本の場合はそこが内・外が切り離されていたので、国内のシステムは国内システムで温存できて、海外のシステムは海外のシステムに対応するという、それは1つのメリットでした。ただ長い目で見ると、それの結果として国内のシステムのイノベーションがとまってしまったということが、もしかしたらデメリットだったかもしれないと思います。金銭的な、金額で幾らということは言えないのかもしれませんけれども。
それから、ゆうちょ銀行の話。ゆうちょ銀行のシステムはもともと銀行のシステムとは成り立ちが違うんですが、例えばゆうちょ銀行の口座番号とか店番の持ち方というのがそもそも全然違いまして、結果としてゆうちょ銀行以外の銀行とゆうちょ銀行との間で、システムを普通につなぐのはなかなか難しいということが、昔から議論がございました。
ただ、基本的に閉鎖系の中でセキュリティーを守ろうという発想はゆうちょ銀行も同じでございます。今、ゆうちょ銀行も銀行としての業務というものを、通常の銀行のほうにむしろ合わせてという形でやってきているというふうに私は理解しておりまして、その意味では、むしろかつてよりも差は縮まっているのかなというふうに思っています。
以上です。
- 【岩原座長】
-
はい。ほかにいかがでしょうか。森下委員、その後山上委員。
- 【森下委員】
-
ありがとうございます。
まず滝島委員に1点、あとは国民生活センター様に1点、あとはFISC様に1点ございます。
まず滝島委員のご報告に関してなのですけれども、資料の8ページ、9ページの収納代行のスキームに関してなのですが、私の理解が正しいかどうかという点なのですが、これですとお客様からコンビニ店舗に支払われた時点で、一応お客様は債務が弁済したということになって、利用企業がその後のクレジットリスクを負担されていると。先ほど代理受領ということを明確にされているというお話があったと思うのですけれども、コンビニ、あるいは代行会社が万が一破綻したときのリスクというものは、利用企業が捉えているという理解でシステムが動いているのかという点について、確認をさせていただければと思います。
続けてでよろしいでしょうか。
- 【岩原座長】
-
はい、どうぞ。
- 【森下委員】
-
あと国民生活センター様のご報告の資料の中で、18ページにクレジットカードで120万円ものギフト券を購入したというふうなお話があったのですが、そういったものについて、ふと素朴に思うのは上限はないのだろうかということです。個人の方がクレジットカードを使って120万円もの電子的なギフト券を購入するというのはなかなかないような取引のような気もするのですけれども、そのようなことが一般的に行われるような環境なのか、そうではなくて何らかの歯どめがかかっているのかというようなことについて、もしご存じでしたら教えていただければと思います。
あとFISC様のご報告に関してなんですけれども、先ほど岩下様のお話の中で、銀行のシステムもオープンにしていくことが大事ではないかとのお話がありました。外部からの隔離によるセキュリティー確保という考え方については見直すということもあってはいいのではないかというようなご趣旨のご報告をいただいたかと思うのですけれども、今日添付していただきましたサイバー攻撃に対応する有識者検討会議の報告書の9ページを拝見しますと、インターネット環境と金融機関内システム環境との分離というようなことが内部対策という形で挙げられております。リテールを考えるかホールセールを考えるかということによってもひょっとして違うのかもしれませんけれども、このFISCでの報告書における分離というのが有効な対策ではないかというような記載と、先ほどの岩下様のご報告と、どのような形で整合的に理解すればよいのかについて、教えていただければと思います。
以上です。
- 【岩原座長】
-
はい。それでは、まず滝島委員、お願いします。
- 【滝島委員】
-
ご質問は、この収納代金がコンビニを含め小売業、もしくは私どものような代行会社、決済会社が万が一何かあって、倒産を含む何かあったときの資金回収のリスクはどこにあるかというご質問というふうに理解をしております。こちらにつきましては、今現在利用企業様がリスクを負っていただくようなサービスになっております。
以上です。
- 【森下委員】
-
ありがとうございました。
- 【岩原座長】
-
それは、そういうことが全て、顧客に対する約款等でも整備されているということでしょうか。
- 【滝島委員】
-
はい。ここは、契約につきましては収納会社個別ごとになりますので、全てというふうには言い切れませんが、例えば私どものウェルネットを例にとりますと、契約でそういうふうにうたっております。
以上です。
- 【岩原座長】
-
それでは、次に国民生活センターの鈴木参考人、お願いします。
- 【鈴木参考人】
-
では、お答えいたします。
ご質問のとおりクレジットカードはもちろん上限金額はあるのですけれども、要するに多くの方が何枚かクレジットカードを大概お持ちですので、それを使わせているということと、それからこの事例ではなかったのですけれども同じような相談で、カードを持っていない人に対して即日発行できるカードがありますので、そこに誘導してつくらせて払わせるという例もありました。ギフト券ももちろん上限があるのですけれども、それを何枚も買わせているというものです。
- 【森下委員】
-
ありがとうございました。
- 【岩原座長】
-
それでは、米山参考人。
- 【米山参考人】
-
インターネット環境と金融機関内の行内のネットワークを分離するという対策については、この検討会報告書の26ページにイメージ図を載せています。ここでは、基本的に勘定系というよりは、社内の情報系システム、ファイルサーバーやデータベースサーバーのある内部ネットワークと外部のインターネット接続環境を物理的に分離する、あるいは物理的にはつながっているが論理的に遮断していく対策について整理をしております。
勘定系についても、例えばインターネットバンキングを踏み台にして勘定系が攻撃されることも考えられますので、その辺りはきちんと分離することも含め、いろいろな対策が必要と考えています。
- 【岩原座長】
-
よろしいですか。それでは、岩下参考人、お願いします。
- 【岩下参考人】
-
そうですね、私自身はオープンなネットワークに銀行も対応していくことが必要だよということは申し上げておりますけれども、銀行のシステムを全てオープンなネットワークにするべきだと申し上げているわけではありません。
ただ、どちらかというと今の銀行というのは、私も銀行に勤務して実態をよく知っておりますけれども、銀行の中のシステムは本当に完全にインターネットから切れているのです。銀行員の方にこのウェブページ見てくださいよと、いや、そのウェブページ見るのはちょっと特別な機械で見ないといけませんでみたいなことを言う方がいらっしゃって、ちょっとそれだと時代におくれちゃうのじゃないのみたいなことも多かったのですけれども、多分そういう意味ではインターネットは非常に怖いところであって、銀行のシステムはそれに比べると安全であるという、そこの落差がものすごく大きいのです。
ただ、インターネットのほうも徐々に安全に使える技術が発達してきていますし、むしろ銀行もいろいろな形でインターネットに近いビジネスをやっていかないと、利用者の期待に応えられないだろうと思います。そういう意味では、インターネットに対してもうちょっと親和的な形で日々の業務をやられシステムをつくられたら良い。インターネットに仮に接続していたとしても、例えばお客様の預金のところについてはしっかり守らなくちゃいけない。それはもちろんいろいろな形での守り方があるとは思いますけれども、それを工夫していこうということだと思います。必ずしも今の現実の対策としてのFISCの答え方と、私が申し上げているような今後のあるべき姿としての銀行とは、必ずしも矛盾しないと思います。
- 【岩原座長】
-
よろしいですか。
- 【森下委員】
-
皆さん、どうもありがとうございました。
- 【岩原座長】
-
ほかにいかがでしょうか。柏木委員、その後で沖田委員、お願いします。
- 【柏木委員】
-
今の議論に少々補足させていただくと、銀行の中でインターネットが閲覧できなくなっているというようなことは、現在は必ずしも一般的ではないというふうに認識しております。支店であっても、あるいは我々本部にいる人間であっても日常的にインターネットを利用しております。ただ、以前にも申し上げましたけれども、銀行は常にサイバー攻撃のリスクにさらされておりますので、その辺の対策というのはかなりしっかりとやっているということだと思います。
セキュリティーについてはいろいろ申し上げたいこともあるのですけれども、なかなか公の場で議論するのが難しいなというのが、実務方の我々の意見でございます。我々が何を考えているかというと3つでございます。1つは、安全性・安定性、それから安心であるということ。それからもう一つは、お客様の利便性を高めないといけないということ。もう一つはコストでございます。コストは結局誰かが負担するということになりますから、この3つは技術によってだんだんトレードオフは解消されていくのだと思いますので、岩下参考人ご指摘のとおり、新しい技術をどんどん取り入れていかないといけないと思いますけれども、3つのバランスをどのようにとっていくかということを考えつつ、日々やっております。
ですので、今日のような議論の中で方向性が見えてくれば、銀行もその方向に持っていきたいなと考えている次第です。
以上です。
- 【岩原座長】
-
沖田委員は今の岩下参考人のご発言に関連したご質問ですか、それとも別の。
- 【沖田委員】
-
独立した……。
- 【岩原座長】
-
独立した御質問ということでしたら、先に山上委員、お願いします。
- 【山上委員】
-
いろいろご説明いただきましてありがとうございました。
特に岩下参考人のお話を伺っておりまして、金融のITの、特にセキュリティーの現状というのが日本固有の経路依存性のあるものがあるのだなというような思いで聞いていたんですけれども、ただ、日本にずっといますとなかなかそれはわからないことではあります。
その中で、一方で、逆に日本が置いてけぼりを食ったような状況になってしまいますと、そのセキュリティーの脆弱性といいますか、国としての脆弱性が高まってしまって、それもまたうまくない方向なのかなと考えております。
その点、FISC様のほうにお聞きしたいのですけれども、金融機関にとっての共通のよりどころとして基準をおつくりになってらっしゃる過程において、添付していただいた資料をざっと拝見したんですけれども、海外におけるセキュリティーのいろいろな試みのベストプラクティスのご紹介のようなものを拝見しているんですが、例えばもう少しそれを踏み越えて、基準自体をすり合わせたり、連携したりというようなことについてはどのような活動をされているかについてお聞きしたいと思います。
- 【岩原座長】
-
それでは、FISCの米山参考人、お願いします。
- 【掃部参考人】
-
海外との連携というところでございますか。
- 【山上委員】
-
はい、そうです。
- 【掃部参考人】
-
海外との連携に関しましては、特にアジア各国での情報セキュリティーについて情報連携を行い、日本の安全対策との比較等を行っていく検討を進めているところです。
- 【岩原座長】
-
山上委員のご質問は、単にそういう障害だけではなくて、日本自身の基準として取り入れることを検討してないかという、そういうご質問ですかね。
- 【山上委員】
-
取り入れるばかりでもないとは思うのですけれども、いいことがあれば出すというのもあると思っておりますが、そういう連携といいますか、すり合わせといいますか。
- 【掃部参考人】
-
はい、当然のことながら日本の基準として取り入れるべきことがあれば検討を行って、きちんと取り入れていくということをやっていきたいと思っております。
- 【岩原座長】
-
髙木参考人お願いします。
- 【髙木参考人】
-
先ほど日本のセキュリティーが置いてけぼりではないかというご質問がありましたけれども、セキュリティーの対策といいますのはやはり絶えず脅威とのバランスでございまして、皆さんご承知のように、従来は日本の場合は日本語という割と見えない壁がありましたので、結果的にそれに守られており、脅威が少なかったということが実態としてございます。
最近はその辺の壁がなくなってきており、犯人側も日本語をよくわかっています。日本語のできる犯人が出てきたということで、壁がなくなってまいりましたので、対策としては欧米と同じような対策を講じていかなければならず、結果的に従来の対策のレベルでいきますと、欧米のやっている対策に日本の銀行が追いついているということになります。このあたりは、サイバー攻撃につきましてはやはり欧米が進んでいるといいましょうか、先進的なことをやっておりまして、被害、脅威ともに欧米のほうが多くございまして、私ども、あるいは日本の銀行も海外の金融機関との連携ですとか、海外のこういった金融機関のセキュリティー団体との連携、あるいは先進事例の活用、情報共有、こういった観点につきましてここ最近急速に追いつきを図っていると、こういう状況でございます。
- 【岩原座長】
-
よろしいですか。
それでは、沖田委員、どうぞ。
- 【沖田委員】
-
岩下参考人にご意見をお伺いしたいのですけれども、ご説明にありましたような既存の金融機関ですね、つまり銀行がオープン化していく、変革化していくというのは、これ当然一つの世界的なトレンドだと思うのですけれども、もう一方のトレンドとして、いわゆるOTTといいますか、既存の金融機関を基盤として使って、その上位にいろいろなアプリケーションですとかサービスを展開していくというものがございます。中でも触れられているのは、そのPayPalですとかApple Payですとか、あとは概念的には多分クレジットカードも古くは展開とするのだと思うのですけれども、そういったところももう一つの世界的なトレンドだと思うのですけれども、逆にそういった場合は日本の銀行が持たれている堅牢性ですとか、それから可用性の高さというところが基盤としてむしろ役に立つということです。
まとめますと、銀行自身が変革していくという部分と、逆にそういった上位のサービスと連携をしていくというところと、2つやり方があると思うのですけれども、もちろんどちらも正解・不正解ないのだと思いますけれども、例えば後者のようなアプローチの場合、特に今ですとそれに加えてもっとたくさんの先進的なイノベーションの事例が起きていると思うんですけれども、そういった方法をとることによっても、恐らくイノベーションという観点で日本が国際競争力を保つというところが可能になるんじゃないかと思います。
それから、自社デバイスの問題は内包するとは思いますけれども、中でも議論されていたような消費者の保護ですとか安全性という観点においても、有用な部分を保ち得るのじゃないかなというふうに思いまして、そういったいわゆるOTTのサービスですとか、逆にそこは比較的規制を少し緩和してイノベーションを促進していくと、そういったアプローチもあると思うんですが、この点についてはいかがでしょうか。
- 【岩原座長】
-
岩下参考人、お願いします。
- 【岩下参考人】
-
私もPayPal、Apple Pay、Facebook、Twitterといった勢力それ自体が金融機関にとって代わってしまうと脅威だなと思いますが、一方で、彼らは多くの場合に確かに既存の金融機関との協力によって金融サービスをやっています。ほかにも海外で幾つかそういう事例がありますので、OTT的な話を日本の銀行はどう考えるかという話は1つ論点になると思うのですけれども、ただ一方で、多分日本の銀行の今のプロトコルだとOTTに乗らないだろうと思います。まずそこは無理です。
多くの場合クレジットカードであれば、例えばApple Payであるとか、PayPalであるとかというものとリンクし得るので、そういうところには刺さるわけだと思いますけれども、日本の銀行のインターネットバンキングの仕様の上にさらに覆いかぶさって、何とか銀行のサービスで例えば家計簿の何かをつけますとか、そういうサービスをやりますということをやろうとしても、多分それは技術的にちょっとハードルが高いのと、そもそも銀行自身が、ここから先は例えば何とか銀行のサービスですとか、ここまでは別ですということをすごく意識している今の銀行のビジネスプラクティスですと非常に難しいだろうと思います。ただ、そうなると当然iPhone買った人はみんなApple Payを使いたいので、そうするとApple Payを使っちゃうとなると、どんどん日本の銀行のシステムが使われなくなってしまうという可能性があると思います。そういうふうになっちゃったときに、現に今なりそうなので、そこをどう考えるかというのが多分このスタディ・グループ全体のテーマなのだろうと思います。
ただ、私自身は日本の銀行のシステムもそういうものと親和性を高くした上で、そういうサービスも十分に使い得るような形に日本の金融界が変わっていくことが必要だと思います。その上でさらに、日本の国内でもし使うのであれば、何もそんなオーバーザトップ(OTT)の人たちが提供しているサービスだけを前提とするべきではなくて、日本の銀行が勝てる世界も十分あると思います。ただもしそういう努力をしないと、全部オーバーザトップに取られちゃうだろうという感じはします。
- 【岩原座長】
-
加毛委員、どうぞ。
- 【加毛委員】
-
お時間ないところ申しわけありません。
滝島委員に対して、先ほど森下委員の質問、代理受領権限との関係についてご質問を差し上げます。
収納代行業に対する規制が必要なのかという問題を考える前提として、今実情がどうなっているのだろうか、あるいは業界としての見通しがどうなのだろうかということを伺いたいと思います。資料8ページ、9ページあたりでは「利用企業様」という言葉が出てきます。もちろん現在の仕組みは「事業者」の代金の収納を代行しているのだと思います。ただ、この「利用企業様」のところに事業者でない消費者が立つということが現在でもあるのだろうか、または将来の展望として、消費者の代金収納を行うという形でのサービス展開を業界として考えているのだろうかということを伺えればと思います。
- 【岩原座長】
-
滝島委員。
- 【滝島委員】
-
はい。ご説明します。
この資料で書いた利用企業のところについてです。当協会でそこの部分について今具体的な協議はしておりませんが、私が考えるところというところでご説明させてください。
まず、利用企業について今、加毛委員からもありましたように、いわゆる法人ではなくて一般消費者を含むどういった対象者が含まれるかというところですが、私が把握しているのに幾つかのパターンがあるかなと思っていまして、いわゆる店子を管理するようなプラットフォームを提供している事業者、その先にもまた利用企業があるというところであるだとか、昨今よく取扱量が増えているといわれているC2Cをやっているプラットフォーマーであるだとか、もちろんのこと今触れましたとおり、いわゆる個人が本当に個人レベルで何か物を売るというようなところは、全て可能性だけで申し上げれば入ってくると思っています。
ただ、私どもウェルネットとしての取り組みとしましては、今のところここの利用企業については申請ベースでやっておりまして、事業内容を見て利用の可否をさせていただくというところで対策を打っております。
以上です。
- 【岩原座長】
-
よろしいですか。加毛委員。
- 【加毛委員】
-
質問の趣旨をもう少し明確化しますと、プラットフォーマーが介在する場合に、それを利用した消費者が倒産リスクなどを負担する可能性があるのでしょうか。今のお話によれば、消費者が売り手としてプラットフォーマーを利用した場合には、中間に事業者としてのプラットフォーマーが介在するので、保護が与えられるようにも思われたのですが、そのあたりはいかがでしょうか。
- 【岩原座長】
-
滝島委員。
- 【滝島委員】
-
可能性だけの話でいいますと、消費者がその責任を負うケースはあり得るというふうに考えております。ちょっとこれ、少し質問に対して答えをずらしてお答えするつもりでいるわけではありませんけれども、例えばそういったプラットフォーマー、C2Cの取引については、コンビニ収納を代表するような収納以外にもクレジットの決済なんかもあるかと思いますけれども、私の知っている限りではクレジットカード会社なんかもこういったC2Cの取り扱いについては、取り扱いを認めないというようなことをして、少し取り扱っている企業が、今お話のあった倒産リスクがあるかないかも含めて見ながら、サービスを提供しているのが今の実情でございます。
- 【岩原座長】
-
よろしいですか。
ほかに。松井委員どうぞ。
- 【松井委員】
-
終わりの間際に申しわけございません。
1点だけ岩下様に確認でお伺いしたいと思います。金融機関が古いシステムを使っているということの問題点として、イノベーションを阻害しているとの観点からご指摘があったのですが、同時にセキュリティーの観点からも問題があるというご趣旨でしょうか。
なぜこういう質問を差し上げているかと申しますと、イノベーションが問題であれば、それは端的にイノベーションをしてくれたほうが好ましいという話になるのですけれども、セキュリティーの問題であれば、これは金融監督等でチェックをしていかなければならないという話にもなりますので、どちらに基本的な重点があるのかということです。もしセキュリティーについても多々問題があるということであれば、これは今後の金融検査であるとか金融監督の問題としてはね返ってくるのではないかと、そんな感じもいたしましたので、この点だけ確認させていただければと思います。
- 【岩原座長】
-
岩下委員。
- 【岩下参考人】
-
かしこまりました。
どちらが重要か、主眼かというのはちょっと答えにくい質問です。どういうことかというと、これまで古いシステムを使って、古いセキュリティー対策をやってきました。典型的にはATMに磁気ストライプカードで4桁の暗証番号ですと。これは古いセキュリティー技術で、古いシステムですと。それを使っている限りは、これまで30年、40年、それなりに安全に、時々偽造カード事件が起こりましたけれども、安全に使ってこられたじゃないかと。あるいは銀行の内部に閉じている決済の仕組みであれば、全銀システムであれば、これまで不正な侵入とかということはこれまでなくて、大きなトラブルはなかったではないかという説明はできるわけです。つまり、古いシステムを古いセキュリティーで使っていて、これまでどおりのことをやっているのであれば、それはこれまでの検査等においても特段問題はなかったという判断であれば、それはそれで問題ないのでしょうと。
新しい攻撃手段ができてきたからといって、特に物理的にセグメントを分けている世界において、それを攻撃するのはそう簡単なことではありませんから、できないことはないのですけれども、そういう意味では古いシステムは古いシステムの限りにおいて使っていて、その中で使われているセキュリティーが古いからといって、それが直ちにすごく大きな問題かというと、それは例えば偽造カードのような外に出ている分に問題が出てくる以外は大丈夫でしょうと。
ただ、問題はそういう古いシステム、古い設計思想、security through obscurityの発想のままオープンなネットワークでイノベーションしようとすると、その途端にセキュリティーの問題が出てきちゃいますと。だから、セキュリティーの問題を解決しながらイノベーションをしないといけないのですという、そういう感じだと捉えていただければと思います。
- 【岩原座長】
-
よろしいでしょうか。
松井委員。
- 【松井委員】
-
そうしますと、金融機関としては新しいシステムに接続さえしなければセキュリティーの問題は生じないので、そこはむしろ安泰であるということにもなってしまいそうですね。そこがやはり問題であるということなのでしょうか。
金融機関として新しいシステムに入っていかない理由が、まさにそういうセキュリティー上の新たな投資が必要になるから、あるいは非常にコストがかかるからという点とすると、これはなかなか対策が難しいですね。要は金融機関に投資をさせるという話になるので、そのあたりがやはり問題だという認識でいればよいのでしょうか。
- 【岩下参考人】
-
おっしゃるとおりだと思いますね。
- 【岩原座長】
-
よろしいでしょうか。
柏木委員。
- 【柏木委員】
-
今の話に関連してなんですけれども、古いシステムというところについては少々こだわりがございまして、個別行の話になってしまいますけれども、システム的には必ず更改の時期が来ます。そのときには最新の技術を調べて、どういうシステムにすべきかというのはどこの銀行も恐らくやっていることであります。その中で可用性の問題ですね、リアルタイムでこれだけ大量のトランザクションをお客様にご迷惑をかけずにやる、あるいはダウンタイムが起きますと、お客様の生活に影響を与えてしまうということも加味して、どのテクノロジーをその時点で採用するかというのを決めているということでありますので、ずっと同じシステムを30年間使い続けているわけでも全くないというのが1つ。
それからもう一つは、先ほどFISCの資料にありましたけれども、勘定系のところは割とメインフレームの率が高いかもしれませんが、それでもオープン化が進んできています。それから、勘定系の周りのところに関して言えば、かなりオープン化が進んでいて、新しい技術、コストが安い技術を採用してきているということだと思っております。
以上です。
- 【岩原座長】
-
はい、よろしいでしょうか。
特になければ、時間でございますので、自由討議を終わらせていただきます。
本日いただきましたご説明やご意見等を踏まえ、引き続き検討を進めていきたいと思います。
なお、次回は決済に係るアジアを中心としたグローバルな連携協力、及び電子記録債権の普及状況等についてご審議いただいた後、これまでのスタディ・グループの議論を踏まえた自由討議を行いたいと考えております。
最後に事務局から連絡事項がございましたら、お願いします。
- 【佐藤総務企画局信用制度参事官】
-
それでは、私のほうからスケジュールについてご説明を申し上げます。
次回、第8回の会合は既にご案内していますとおり、12月16日火曜日、15時30分から18時ごろを一応の目途として考えております。ただ、今、座長からお話がございましたとおり、次回の会合では、最後にこれまでの年内のスタディ・グループの議論を踏まえた自由討議を予定しておりまして、若干時間が延長される可能性もあろうかと考えております。
したがいまして、一応18時ごろを終了の目途としておりますが、場合によっては最大で19時ぐらいまで延長の可能性があるということはお含みいただければ幸いと考えております。
年明け以降の予定につきましては、また改めまして事務局からご案内を申し上げます。
以上でございます。
- 【岩原座長】
-
それでは、以上をもちまして本日のスタディ・グループを終了させていただきます。
どうもありがとうございました。
以上
お問い合わせ先
金融庁Tel 03-3506-6000(代表)
総務企画局企画課信用制度参事官室(内線3558、3560)