金融審議会「決済業務等の高度化に関するスタディ・グループ」（第７回）議事録

それでは、予定の時間になりましたので、決済業務等の高度化に関するスタディ・グループ第７回会合を開催いたします。皆様、お忙しいところお集まりいただきまして、まことにありがとうございます。

それではまず、本日の参考人の紹介を事務局からお願いいたします。

私のほうからご紹介を申し上げます。

まず、柏木委員の両隣にお座りいただいております三菱東京ＵＦＪ銀行より、第２回の当スタディ・グループにもご出席いただきました梅崎富雄様と、今回初めてご出席いただきます髙木繁様でございます。

また、私の左手のほう、近いほうにお座りの方から、国民生活センターより鈴木基代様でございます。また、浦川有希様でございます。そのお隣、金融情報システムセンターより米山正夫様、掃部朋広様でございます。

まだいらっしゃっておりませんが、日本銀行より岩下直行様にも参考人としてご出席をいただく予定となっております。

私からは以上でございます。

次に、前回の日本商工会議所からの発表に関連しまして、日本商工会議所からの補足説明について事務局からご紹介があるようですので、お願いいたします。

引き続きまして、私からまたご説明を申し上げます。

前回のスタディ・グループにおきまして、日本商工会議所からのご説明に対して幾つかご質問があり、調査の上回答するとされたものがございました。その回答につきまして、事務局のほうでお預かりしておりますので、ご紹介をさせていただきます。

２点ほどご質問がございまして、まず敬老の日のお祝いに地方自治体が商工会議所等の発行する商品券を贈っている例について相当の未使用分が発生しているのではないかと思われるが、有効期限が経過した商品券、またその代金の取り扱いはどうなっているのかという趣旨のご質問がございました。日本商工会議所様におきまして、この取り扱いについて全国にあまた商工会議所がございますので幾つかヒアリングを行ったところ、発行した商品券の約８割が有効期限内に使用されているということでございます。残りの約２割に相当する未使用分の代金は地方自治体に返還をされているということでございます。

もう一つの質問といたしまして、商工会議所における換金フローの中で、商工会議所が換金の窓口である金融機関に決済資金をいつ入金するのか、そのタイミングについてご質問がございました。これにつきましては若干複雑になりますので、お手元にございます資料の表紙をおめくりいただきまして最初に、「商品券の販売・利用・換金のフローの事例」という、前回のスタディ・グループで日本商工会議所様よりご提示いただきましたフロー図がございます。左上のところに商工会議所がございまして、左下のところに消費者、商品券の購入者がございます。場合によって、会員の事業者が売りさばき所となって、委託を受けて発行するような場合もあるということです。

代金が消費者から、というところで代金の支払いがございます。場合によって売りさばき所を経由するルートもありながら、最終的に商工会議所のほうに行きまして、それが上のほうにありますの決算資金の入金というところにつながります。この決済資金の入金は金融機関に対していつ行われるのかということでございます。このフロー図のモデルとなった商工会議所にお聞きになったということで、その例で申しますと、商品券を販売した当日中に、購入者から受け取った販売代金を金融機関の口座に入金しているということでございます。したがって、そこに基本的にタイムラグがないということでございます。

なお、ご質問にあったわけではございませんが、発行保証金の供託に伴う換金資金が不足する例としてどういう場合があるのかというところを補足的に説明したほうがいいということで、例を頂戴いたしました。

商品券がコンスタントに発行されて回収されているような場合、そうするとキャッシュインとキャッシュアウトのバランスがとれて、資金繰りが安定しております。ただ、一時的に多額の商品券を発行するような場合、例えばこのプレミアム商品券ということで地域振興のために一時的に大量に発行すると、発行直後にたくさん使われる場合がございます。

一方で、この供託金の算定というのは３月末及び９月末、年２回の算定の基準日がございまして、その３月末あるいは９月末時点での未使用分の半分を供託するという制度になってございます。

先ほど申しました一時的に多額の商品券を発行した場合に、算定の基準日をまたいだ直後に多額に使用がなされると、だんだんキャッシュ量が足りなくなり、供託義務が半年間続いておりますので、後半のほうになると供託金を取り戻せないと手元の資金が不足してしまうと、そういう場合が発生することがあるという補足の回答がございましたので、これにつきましてもあわせてご紹介をさせていただきます。

私からは以上でございます。

なお、今、日銀の岩下参考人にご出席いただきましたので、一番端のほうにお座りになっております。日本銀行より岩下直行様でございます。

よろしくお願いいたします。

どうもありがとうございました。

それでは、議事に移らせていただきます。

本日は、滝島委員、国民生活センター、金融情報システムセンター、日本銀行の各参考人からお話をいただき、その後で一括して自由討議を行います。本日の議事はこのような流れで進めたいと存じますので、よろしくお願いいたします。

それでは、滝島委員から、時間の関係もございますので、恐縮ですが１０分程度でよろしくお願いいたします。

はい、よろしくお願いします。ウェルネット株式会社の滝島でございます。本日は、日本代理収納サービス協会の会長という立場で参りました。よろしくお願いします。

早速ですけれども、お手元資料の２ページをご覧ください。日本代理収納サービス協会の説明に入ります。

日本代理収納サービス協会は、コンビニエンスストアを中心とした代理収納サービスにおいて、サービス全体の安全性と業界の健全な発展を促進することを目的としています。設立は平成２２年９月でございます。正会員は２８社、リテール会員１３社、グループ会員１７社、オブザーバー１社で構成しております。ここでいう正会員というのは、主にコンビニエンスストアであるだとか、小売業者と代理収納サービスについて直接契約している会社の数になります。リテール会員というのは、主にコンビニエンスストア、その他小売業という利用者に対しまして代理収納サービスを直接提供している会社をリテール会員というふうにしております。

３ページをご覧ください。一般的な話にはなりますけれども、社会インフラとしてのコンビニエンスストアというところで、今のコンビニエンスストアの店舗数についてご報告申し上げます。２６年の、本年の８月現在の数字になりますけれども、１４チェーン、合計で今約５万４,０００店舗、最近の直近の数字ではもう少し増えております。言わずもがなですが、コンビニエンスストアでは全国で２４時間３６５日お支払いがすることが可能というサービスになっております。

４ページをご覧ください。ＥＣ市場におけますコンビニ決済の比率です。マーケットの数字についてはこのスタディ・グループで何度も取り上げられている内容ですので、詳細については省きますけれども、日本のＥＣ市場が約１１兆、最近の数字では１２兆、１３兆と言われておりますが、そういった数字です。ＥＣ化率は約３％で、コンビニ決算は市場の８％ぐらいございまして、ＥＣにおいては約９,０００億円ぐらいの市場規模になっております。

５ページをご覧ください。続きまして、コンビニ収納代行の取り扱い規模です。先ほど４ページで触れましたコンビニ決済の比率は、ＥＣの中においての比率で約９,０００億というふうに申し上げましたが、この５ページでお示ししているのはコンビニ収納代行サービスで、この資料の一番下にもありますが、先ほど触れましたＥＣの支払いだけでなく、公共料金等の支払いも含んだ取り扱いということです。年間で９兆円ぐらいの取り扱いをしておりまして、９億件ぐらいの取り扱い件数というふうになっております。

こちらに書いてある各コンビニごとの件数だとか取扱高につきましては、それぞれのコンビニのＩＲの資料から抜粋して出しておりますので、この順列等については特段の意味はございません。

６ページをご覧ください。そして、この収納代行サービス、私どもは、例えばウェルネットという会社もそうですが、収納代行がなぜ必要かというところでございます。一般的にはコンビニエンスストアから見ますと、ＥＣをやっている会社であるだとか、それぞれの会社とつなぐと振り分けの作業だとか、当然のことながらシステムでの投資が発生します。一方でＥＣの明細ですね、この資料でいうところの右側の販売店と書いているところですが、こういったところが各コンビニエンスストア等と接続、契約をするといった作業、または収納金の管理というところでは非常に管理が煩雑になります。

そこでなんですが、次のページをご覧ください。７ページです。私どものような決済会社、収納代行会社と呼ばれるようなところがその間に入りまして、一元管理をする役割、一元管理といっているのは収納金の管理、コンビニだとかの問い合わせの管理、システムを管理するということで、この資料で右側のＥＣサイトであるだとか、そういったコンビニ収納を使いたい会社の投資等を抑えることにお役に立っているかなというふうに考えております。

お手元資料の８ページをご覧ください。収納代行サービスのスキームについてです。収納代行サービス、コンビニを使った収納代行には大きくこの紙の請求書と、後ほど９ページでご説明申し上げますペーパーレスの大体大きく２種類があります。この８ページにお示ししているのは紙の請求書のものです。

一般的には、利用企業がお客様に払込票と呼ばれる用紙を送ります。お客様は、ちょっとサンプルを１枚載せておりますが、こういった払込票を持ってコンビニに行きます。この払い込みについてはバーコードと呼ばれるところをスキャンします。コンビニでスキャンされますと、お金が入った、いわゆる収納されたという情報がコンビニからうちのような決済会社、代行会社に行きまして、そこから各利用企業に対しまして収納があったというデータを送ります。それとは別の流れとしまして、お金の流れとしましては、コンビニ店舗からコンビニ本部、コンビニ本部から代行会社、代行会社から利用企業のほうに収納金を送るという流れになっております。

続いて９ページをご覧ください。続いてこの９ページでお示ししていますのが、ペーパーレスでの取り組みになっております。これはお客様が利用企業、いろいろなＥＣサイトがありますけれども、そこで注文・予約をします。そうしますと、番ですね、左から右に行く矢印で「予約登録」とあります。この登録時に請求金額、例えばですけれども、私どもで取り組んでいる一例で申し上げますと、全日空だとかＪＡＬといった航空会社がありますけれども、お客様が例えばネットで札幌―羽田と予約して３万８,０００円という予約をします。そうしますとこの予約登録というところで、いついつまでに３万８,０００円を請求したいというデータが登録されます。この右から左の矢印、番で登録情報を送り返します。これは受け取ったという情報です。その後に、お客様に対してユニークに振り出す番号をメール等でご案内します。ここでペーパーレスでご案内することが可能です。

また、先ほどの払込票はお客様のご自宅等に個人情報をつけて送るのに対しまして、このペーパーレスの場合ですと、お客様の個人情報を持たずに番号の案内だけで済むということになっております。あと、お客様は最寄りのコンビニエンスストアに行っていただきまして、先ほど申し上げました代行会社が振り出した番号をコンビニに置いてあります情報端末に入力しますと、先ほどの例でいいますと、例えばあなたは全日空の千歳―羽田、３万８,０００円ですねということを表示します。そこでお客様が確認しまして、コンビニでお金を払いますと、コンビニから決済会社、決済会社から利用企業のほうにリアルタイムで収納情報が飛んでいくという流れになっております。

それと先ほどの払い込みと同じなのですが、その後は、収納金については、コンビニから決済会社、決済会社から利用企業のほうに後ほど送るという流れになっております。

１０ページにお示ししておりますのは、今申し上げた、お客様が実際コンビニで払うシーンの流れになっております。一般的に情報端末と、キヨスク端末とか情報端末と言われ方はありますが、そこで幾つか宣言をしていただきます。「コンビニで支払い」というボタンを押します。その後に、この１０ページの資料でいうです。番号を入力します。そうしますと、番です。ここでお客様がご予約したような内容が表示をされます。そこで確認をして、情報端末から出された紙がありますので、この紙を持ってレジに行きまして、お支払いをするという流れになります。

１１ページをご覧ください。代理収納サービス協会としては、コンビニを主にやっていますが、同じようなサービス、先ほど申し上げましたペーパーレスで同じようなサービスでは、ペイジーが挙げられるかと思っています。ペイジーも先ほどのペーパーレスでコンビニの情報端末を入力すると同じように、これはちょっとＡＴＭのサンプルですが、もしかしたら今現在違う画面になっているかもしれません。「税金・料金払い込み」というボタンを押します。その後に任意のユニークな番号を入力します。これはＡＴＭで行う操作です。そうしますと、この資料で番です。お客様がご予約したような内容が表示されます。ここでお支払いをするという流れになっています。ここに書いてありますとおり、コンビニ収納と同様のサービスを銀行ＡＴＭのペイジーで行うことが可能になっております。

ペイジーは各公共料金や税金の支払いに利用されていまして、全ての銀行、これは何を申し上げているかというと、まだこのペイジーについては全ての銀行のＡＴＭが対応していないので、これが対応できると非常にお客様の利便性が上がるのかなというふうに考えております。

続いて１２ページ以降が私どものご説明と、その後に私どもが一部取り組んでいる決済方法についてのご紹介をさせてもらえたらと思います。ウェルネットは１９８３年設立した会社でございます。今約従業員は７３名ぐらいの会社です。一応資金移動業者の登録につきましては平成２４年１０月に終わらせております。

右側の沿革にありますが、主に２０００年以降先ほど申し上げたペーパーレスの決済方法について提供している会社でございまして、ＡＮＡとかＪＡＬ、ＬＣＣですとピーチとかジェットスターといった航空会社だとか、その他のＥＣの会社に対しましてこのペーパーレスの決済を提供しております。

１３ページをご覧ください。私どもが現在取り組んでいるサービスについて幾つかご案内させていただけたらと思います。２００９年１月より銀行様との提携によりまして、送金サービスとしてネットＤＥ受け取りサービスというものを開始しました。これは通常の銀行振り込みと違いまして、ウェルネットの提供します画面でお客様が口座情報を入力しますので、依頼企業は口座情報を持つことなくお客様に送金できるということで、管理リスクの軽減を実現しております。

お客様が入力した口座情報をあらかじめ統合ＡＴＭネットワークに照会するため、口座情報の誤りでの振り込みを未然に防ぎ、依頼企業での組み戻し作業をほぼなくすことができます。これは何を申し上げているかといいますと、一般的にお客様が口頭でお伝えしたような銀行口座というのは誤りであることがたまにありますので、そうしますと依頼企業のほうは振り込んだ後に組み戻しが発生することで、組み戻し作業が発生することによる作業コスト、あと銀行に入る手数料等が増えるというところで、業務負荷の軽減を実現しようというサービスになっております。

これもよく依頼企業から言われるのですけれども、どうしてもお客さんに振り込む時間が即日ではないだとか、その情報がリアルタイムに返ってこないというところが不満として上がっています。私どものサービスは、早ければ即日でお客様ご指定の口座に振り込みすることが可能です。また、システム的に振り込んだという情報をリアルタイムで依頼企業との間で連携しますので、依頼企業のほうは２４時間その施設を管理することができるということを実現しております。

１３ページの資料の下です。昨年の１０月からコンビニエンスストアのローソンとの提供により、コンビニ現金受け取りサービスというものを開始しました。これは何かといいますと、先ほどのサービスが、企業がお客様に銀行でお金をお渡しする、いわゆる送金をするのに対しまして、コンビニ店舗でお金を受け渡しすることが可能なサービスになっております。依頼企業はお客様に番号を伝えるだけで送金業務が完了します。お客様の口座情報を持つリスクがなくなります。お客様は最寄りのローソン店舗、これは全国に約１万１,０００店舗ございますけれども、設置しているロッピー端末に番号を入力するだけで、依頼企業があらかじめ指定した金額を受け取ることが可能になります。

しかも仕事帰り等の夜１０時まで受け取ることが可能ということで、銀行ＡＴＭですとこういった時間はなかなかあいておりませんが、コンビニであれば受け取ることが可能になっております。

また、お客様は現金を受け取る際に利用手数料が不要です。よく最近ですと、コンビニに置いていますＡＴＭでお客様が自分のお金を引き出すことがよくありますが、そこで手数料が取られることに対しまして、私どものサービスではお客様から手数料を取ることなくサービスをご提供しております。

１４ページが今も申し上げたサービスの実際の流れ、イメージになります。コンビニの端末ですね、これはローソンに置いてありますロッピーというものを事例に挙げていますが、ロッピーでいわゆる宣言をします。番ですね、受け取り番号を入力していただきます。その後は番で内容を確認していただきまして、番で端末から申し込み券というものが出てきます。この申し込み券をレジでスキャンをしますと、お客様に対しましてレジのスタッフが、あらかじめ設定されたお金を渡すというサービスになっております。

本資料には載せておりませんが、今私どもではこういったサービスを、例えばですが、エンターテインメントのチケットの払い戻しだとか、中古買い取りでの買い取り代金のお支払いといったもの、もしくはＥＣの返品に伴う返金で使っていただいております。これは、やってみて数字として出てきたのですが、お客様に対しましては銀行でお金を受け取りますか、コンビニで受け取りますかという選択ができる画面を用意して提供しますが、約４割以上の方がコンビニエンスストアで受け取るということになっています。この辺が、お客様が恐らく何らかの理由で２４時間あいているコンビニエンスストアでお金を受け取るということをご要望しているのだろうなということを示しているような数字になっております。

以上です。

どうもありがとうございました。

続きまして、国民生活センター鈴木参考人、浦川参考人に、恐縮ですが１５分程度でよろしくお願いいたします。

はい。国民生活センターの鈴木です。よろしくお願いいたします。本日このようなご報告の場をいただきまして、ありがとうございます。

それでは、お手元の資料に沿ってご説明していきます。

まず、国民生活センターについてご存じない方もいらっしゃるかと思いますので、簡単に国民生活センターについてご説明いたします。

３ページをご覧ください。国民生活センターは１９７０年に特殊法人国民生活センターとして発足しまして、その後独立行政法人国民生活センター法に基づき、２００３年に独立行政法人に移行しました。その目的としましては一番上にありますけれども、消費者基本法に基づいて、国や全国の消費生活センターなどと連携して、消費者問題における中核的機関としての役割を果たすとなっておりまして、続いて４ページですが、このの相談からのＡＤＲまでの６つの業務を行っております。

次の５ページに消費者行政全体の仕組みと国民生活センターの役割を図でお示ししておりますので、後でご覧いただければと思います。

次に６ページ以降になりますが、国民生活センターにおける相談業務の概要ですが、７ページ、この一番左の欄を見ていただきたいのですが、現在全国の消費生活センターから、解決が困難な相談などが私どもに寄せられてきますが、その相談の解決方法などをアドバイスする経由相談が、私どもの相談業務全体の柱となっております。

それに加えて、この水色の欄になりますが、土日祝日相談、平日バックアップ相談、お昼の消費生活相談といった消費者から直に、直接相談が寄せられる窓口も運営しておりまして、これら全体で、昨年度１年間で２万件を超える相談が寄せられております。

寄せられた相談に対して、ではどうするかといいますと、この水色の欄の最後に書いてあります「あっせん」と書いておりますけれども、必要な場合には最終的な解決を目指して、消費者と事業者の主張を調整し交渉するというあっせんを行っております。

また、直接相談を受けるだけでなく、８ページに移りますけれども、当センターと全国の自治体が設置しております消費生活センター、今約１,０００カ所ありますが、オンラインネットワークで結んで消費生活に関する情報を蓄積しているデータベース、PIO-NETを運営しております。この８ページのピンクの欄でPIO-NET、全国消費生活情報ネットワークシステムといいますが、運営しております。

９ページをご覧ください。ここに消費生活センター１,０５６カ所、３,８２５台の端末が置いてありまして、また中央省庁、金融庁にも置いておりますが、１３カ所にこのPIO-NETの端末が設置しております。

そして、１１ページを見ていただきたいのですが、このPIO-NETに寄せられた相談件数ですが、昨年度２０１３年度は１年間で９３.５万件の相談がありました。PIO-NETの運用を開始しました１９８４年度からの累積相談件数は、約１,８００万件に達しております。

続いて１２ページをご覧ください。そのPIO-NETのデータに登録する場合、一件一件の相談はいろいろな項目から成り立っております。その中には信用供与を受けたか否か、また信用供与を受けていない場合にはどんな支払い方法をとっているか、また信用供与を受けた場合だったらさらに包括信用なのか、あるいは２カ月内払いなのかなどを細かく入力する項目がございます。この１２ページの表は、その年度別の支払い別相談件数を見たものですが、このとおり赤で囲んであるところですが、いわゆるプリペイドカードなどが含まれる「他の前払式」、私どもでは「他の前払式」と言っておりますけれども、この「他の前払式」やクレジットカードのマンスリークリアなどが含まれる「２カ月内払い」と書いておりますが、「２カ月内払い」等で相談件数割合が年々増加しております。

さて、１３ページ以降、具体的な相談事例をご紹介いたします。寄せられるトラブルを見ますと、ここに書きましたように大きく２つに分類されると考えております。

まず１つ目は、決済システム内に加盟店として入り込む悪質業者とのトラブルです。こちらの具体的な事例については１４ページにまとめて書きましたけれども、ここではいろいろな決済手段においてトラブルとなった事例を紹介しております。

例えば事例１のように、アダルトサイトの男性担当者が女性に対しておどすような口調で、怖がらせて不当な支払いを求めたり、事例２のように、サクラサイトが未成年者をだましたり、事例３、４のように消費者が求めていない偽ブランドや商品を送りつけてくる通販サイトなどなど、本当に詐欺性、悪質性の高い業者との間で消費者トラブルが起きております。このように相談を受けていますと、さまざまな決済システムの中に悪質業者が加盟店として本当にうまく入り込んでいることを感じております。

１５ページになりますけれども、それではこの状況がどのようにつくり出されているのか、相談処理をする過程で見えてきたその仕組みの一例を図でお示しししました。真ん中に紫の欄ですけれども、決済代行業者・代理店などが加盟店と各決済事業者の間に存在する場合があって、この場合決済代行業者などは事前にいろいろな決済事業者と契約しています。それをワンパッケージのような形にして、さまざまな加盟店に提供しているようです。この仕組みの中に加盟店として悪質業者が入り込んでしまうと、複数の決済手段を悪質業者が利用することができて、そこからさまざまなトラブルが生み出されるのではないかと感じております。

では、次に１６ページになりますが、最近新手として、今ご紹介しました決済システムの中ではなく、外から決済手段を悪用する業者とのトラブルについてご紹介します。この種のトラブルについては、現在私どもや全国の消費生活センターの相談現場では救済が大変難しくて非常に苦慮しております。この１６ページ、これはプリペイドカードの類型を示したものですが、ご存じのように最近ではサーバー型と言われるプリペイドカードが多数登場しております。そのサーバー型のプリペイドカードをコンビニやクレジットカードで購入させて、発行されたＩＤ番号などをさまざまな手口で不正に取得しようとする悪質業者のトラブルが目立ってきました。

少し詳しくご紹介いたします。１７ページになりますが、事例１として、指示されるままにコンビニで支払い、相手の電子マネーにチャージしてしまったという、これは５０歳代の女性からのご相談です。深夜に携帯電話でインターネットを見ていたときに、アダルトサイトにアクセスしてしまい、クリックした覚えはないのに登録完了となってしまった。問い合わせ番号に電話すると、「今払えば半額だが、支払いが長引けば高額になる」と言われて、その言い方もあったのかもしれませんけれども、怖くなって相手に言われるままにコンビニに行き、端末の前で携帯電話から指示されたとおり、そのアダルトサイトが保有する電子マネー（プリペイドカード）に関する数字を入力するなどした後、端末から出てきたレシートに記載された合計１０万円ほどをレジで支払ったというものです。自宅に帰って冷静になってみると、何かおかしいと不信感が出てきて、返金してもらえないかというご相談でした。

ここでポイントとなるのは、支払い手段として業者のプリペイドカードに消費者がみずからチャージをしてしまっているという点です。コンビニのマルチ端末などの前で携帯電話で指示されているということですので、これは振り込め詐欺で、ＡＴＭの前で振り込みの指示を受ける様子と大変よく似ていると感じております。

続いて１８ページの事例になりますが、これも最近複数寄せられている相談です。これは大変手が込んでいる手口だと感じております。２０歳代の女性が繁華街を歩いていたら、「モデルの仕事をしないか」と声をかけられ、事務所に出向くと、「提携しているエステ店で無料で脱毛エステが受けられる」と言われ、話を聞きに行った。すると「うちはそもそもアクセサリーの販売会社で、買ってくれた人に対してサービスで無料でエステをしている。これから店の知名度を上げるためにも売上高を大きく見せたい。キャッシュバックをするのであなたに一切負担はない」と言われたということです。自分の負担もなくエステもただで受けられるのなら、まあいいかと思って、１２０万円ほどのダイヤのネックレスを契約してしまったということです。そして指示されるままに、その会社のパソコンを使って電子ギフト券をクレジットカードで購入したというものです。

ご存じのようにこの電子ギフト券はメールで送ることができますので、この販売会社のアドレス宛てに送れば、販売会社がこのギフト券をすぐに手に入れることができます。その後、この相談者にはクレジットカード会社からの請求が来ていますけれども、肝心のダイヤは届いていないし、キャッシュバックもない。だまされたのだろうかというご相談です。

この黄色いところで書きましたけれども、この手口を用いる業者にとっては、まず消費者の手元にはないといいますか、普通なら２０歳代の女性ではそうそうは支払えない高額な金額を、クレジットカードでギフト券を購入させることで支払いを可能にしてしまっているということです。また、業者は決済手段を提供する事業者と加盟店契約を結ぶ必要がないことなどがメリットと言えるのではないかと思っております。

一方、消費者にとってはリスクばかりで、本件のような不当な契約をクレジットカードでもし支払っていれば、ケースによっては取引の不当性を鑑みたカード会社から救済の手助けをいただけるケースも中にはあると考えられますけれども、このような形をとられてしまうと、クレジットカード取引においてはギフト券の購入という正常な取引ですし、ギフト券発行会社もギフト券は正常に発行しているので、何ら問題はないということになります。唯一残るのはこの業者なのですけれども、相談現場から言えば、この悪質業者が対応しなければ救済はできないということで、現状、業者は返金には応じておりません。

１９ページになりますけれども、お手元に資料が配付されているかと思いますが、これらの事例は国民生活センターでも消費者に対して注意喚起をしているところですが、１１月１３日の朝日新聞や１２月５日の毎日新聞の記事などに見られるように、報道などもされ始めております。

そこで最後に２０ページで、消費者が安全に安心して決済サービスを利用できるにはどうしたらいいかということですが、２１ページに私どもが考えていることを書きました。先ほども申し上げましたとおり、今のところさまざまな決済サービスについて消費者自身も十分に理解しているとは言えませんし、また相談が寄せられても解決は今のところ非常に困難です。

そこで、まず事業者、業界団体、行政などが連携してこのような悪質業者の新たな手口に関する積極的な注意喚起、啓発というものが必要ではないかと思っております。先ほども申しましたけれども、私どもでも注意喚起をしているところですけれども、単体ではやはりどうしても弱いと思っておりまして、各方面で連携して啓発していくことがトラブルの防止につながるのではないかと思っております。

続いて、トラブルを解決し、継続的な悪質加盟店の排除に有効な仕組みの構築が必要ではないかと考えております。そのためには苦情処理体制の整備も必要であろうし、また悪質加盟店を排除するために、決済代行業者を含めた関係事業者の責任範囲と業務の明確化も必要ではないかと考えております。

こちらからは以上です。ありがとうございました。

どうもありがとうございました。

続きまして、金融情報システムセンター米山参考人、掃部参考人に、恐縮ですが１５分程度でよろしくお願いします。

はい、金融情報システムセンターの米山と申します。本日はどうぞよろしくお願いいたします。私どもからは資料３に基づいて説明をさせていただきます。

本日の説明でございますが、最初に当センターＦＩＳＣについて簡単に紹介をさせていただきまして、その後に金融情報システム、特に銀行のコンピュータシステムについて、そもそもどういうシステムがあり、全体としてどのような体系になっているのか、お話をさせていただきます。最後にＦＩＳＣが策定している安全対策基準というガイドラインについて説明をいたします。

３ページをご覧ください。まず、当センターは、１９８４年、ちょうど３０年前になるのですが、銀行、証券会社、保険会社とコンピュータメーカー等の出損により、当時の大蔵大臣の許可を得て設立された組織でございます。主な活動は、金融情報システムの分野における諸問題、技術やＩＴ利活用、リスク管理、セキュリティー等の問題について調査研究の活動を行っております。会員組織でございまして、会員数は今年３月末時点で６３３機関になっております。

４ページ目でございますが、当センターでは『金融情報システム』という機関誌を定期的に発刊しておりまして、ここ最近１年間の機関誌に掲載した調査レポートをご参考までに載せております。決済に関するテーマを含め様々なレポートを掲載しています。

それから５ページでございますが、最近の主な取り組みということで、昨年度より「有識者検討会」というものを開催しております。昨今問題となっているサイバー攻撃への対応や、金融業界ではまだ利用が進んでいないクラウドコンピューティングなどの重要なテーマについて学界や金融業界、ＩＴベンダー等の有識者の方々にお集まりいただいて、いろいろ議論、検討をいただいております。こうした検討会の報告書を公表していますが、その内容も踏まえてＦＩＳＣの安全対策基準の改訂作業を行っております。

６ページでございますが、ご参考までに、金融機関におけるサイバー攻撃対応に関する有識者検討会の報告書のポイントを書かせていただいています。サイバー攻撃の手法はますます高度化、巧妙化しておりまして、これを完全に防ぐことは難しい状況にあります。金融機関としてはその攻撃を受けることを前提に、いろいろな対策を講じる必要があるということが１つのメッセージです。お手元にこの有識者検討会の報告書を配付させていただいておりますので、お時間のあるときに目を通していただければ幸いです。

それでは、続きまして、金融情報システムの概要と、特に銀行のコンピュータシステムについて説明をいたします。

８ページをご覧ください。コンピュータシステムの類型を整理していますが、大きく業務系システムと情報系システムの２種類がございます。業務系システムは、勘定系システムの他に、資金証券系、国際系、対外接続系があり、この４つのシステムで構成されています。勘定系システムは勘定処理を行う、銀行システムの中核的なシステムです。それから資金証券系システムは、有価証券、デリバティブ等市場取引に関するシステム、フロント・ミドル・バックオフィスの業務をサポートするシステムでございます。国際系については、外国為替業務や、あるいは海外拠点の事務処理等の国際業務をサポートするシステムです。それから対外接続系というのは、外部の金融ネットワークあるいは顧客のシステムと接続するシステムでございます。

もう一つの柱であります情報系のシステムでございますが、具体的には経営管理、収益管理やリスク管理のためのシステムということで、信用リスク、市場リスクなどのリスク量を計測するシステムやＡＬＭ管理システムなどがあります。また、営業支援ということでマーケティングを目的として使う顧客管理システム、ＣＲＭ、カスタマー・リレーションシップ・マネジメントのためのシステムでありますとか、融資支援ということでローンの審査や、住宅ローンのスコアリングによる審査システムなどがございます。

９ページ目は、今ご説明したシステムについて絵にしたものです。中央にグレーの四角で囲った部分がありますが、ここが業務系システムでございまして、中央に勘定系システムがございます。勘定系を挟む形で国際系、SWIFTにもつながっているのですが、国際系や資金証券系のシステムがございます。下のほうに情報系システムがありまして、これらは行内のネットワークで相互に接続されています。

また、この勘定系の上のほうに対外接続系ということで、ハブになるのですが、ここから外部のシステム、例えば日銀ネットや統合ＡＴＭ、全銀システム、こういった外部のシステム、ネットワークと接続されています。この対外接続については、基本的には専用線によるクローズなネットワークでセキュアな環境を確保しているのが特徴で、インターネットのようなオープンなネットワークでは構成されていないということです。

続きまして１０ページ目でございますけれども、勘定系システムの最近の動向、特徴点について幾つか整理をしております。まず１つ目、銀行にとって基幹的なシステムということで、よくミッションクリティカルなシステムとも呼ばれておりますが、極めて高い信頼性、安全性が要求されております。多くはメインフレーム、大型汎用コンピュータで構築されています。

それから、システムの共同化・アウトソーシングです。外部委託が非常に進んでおりまして、特に地域銀行では共同センターを利用している先が、足元約７割、利用を予定している先も含めると８割ぐらいになっている状況にあります。共同センター方式というのはいろいろとメリット・デメリットがありまして、システムのコスト削減とか、機能の強化、サービスの充実を迅速に図れるといったメリットがある反面、システム仕様の変更で、独自に機能を追加することが柔軟に行えないことがデメリットであると一般的に言われています。

また、オープン系のシステムの導入ということで、技術的な話でございますが、UNIXやWindowsというオープン系のシステムがメインフレームよりも安価であり、また信頼性や性能も年々向上しておりまして、勘定系システムにも導入が見られていることが特徴点として挙げられます。

その後の１１ページですが、図表は、先ほど申し上げた勘定系システムについてはアウトソーシングが進展しているということで、過去２０年間の動きを示したもので、業態別に見ていましても、各業態とも高い利用率になっているということであります。ちなみに、このデータは当センターで毎年金融機関に対してシステムに関する動向調査、包括的なアンケート調査をやっておりまして、これをもとにして作成したものです。

それから１２ページの図表、これは地域銀行のシステム共同化について全体像を示したものです。

１３ページは、オープン系システムの導入ということで、統計で見ますと、全体で約２割の先がオープン系で勘定系システムを構築しています。業態でばらつきがありまして、特に信託銀行やインターネット専業銀行、ここでは「その他銀行等」のカテゴリーに入っていますが、こうした業態ではかなり導入が進んでいます。

１４ページでございますが、銀行システムの動向について２点ほど記載しております。まず、今後の重点投資分野ということで、今後３年間の投資計画でどういったシステム、分野に重点的に投資していくのか、ＦＩＳＣのアンケート調査で聞いた結果です。優先度の高い分野としては、勘定系システムであり、例年そうなのですが、重点的に勘定系に投資されております。新規の分野では、融資稟議・審査支援システムや渉外支援システムなどの情報系システムが上位に来ております。

それからもう一つ、デリバリーチャネルという話ですが、顧客接点としてのチャネルにＡＴＭ、インターネットバンキング、コールセンター等々ございますが、今後の流れとしてコンビニＡＴＭとの連携強化、インターネットバンキング、モバイルバンキングが今後も拡大していくと考えられています。

以上が銀行システムに関する説明でございまして、この後１５ページ以降何枚か図表をつけておりますけれども、今ご説明した点で、１５ページ、１６ページは今後の重点投資分野のシステムの一覧を載せております。図表６から図表８は、デリバリーチャネルの動向に関するアンケート調査結果でありまして、ＡＴＭの機能拡張、キャッシュカードの主な付加機能、インターネットを利用した主なサービスの実施状況について載せております。適宜ご参考にしていただければと思います。

それでは引き続きまして、２１ページ以降は私からご説明します。

まず、２２ページにＦＩＳＣが刊行している主なガイドラインを掲載しています。当センターでは、会員企業や学識経験者等の協力を得て、金融情報システムに関する各種自主基準、ガイドラインを策定しています。は、本日ご説明する「金融機関等コンピュータシステムの安全対策基準・解説書」です。それ以外にも「金融機関等のシステム監査指針」や「金融機関等におけるコンティンジェンシープラン策定のための手引書」、「金融機関等におけるセキュリティーポリシー策定のための手引書」等を刊行しています。これらは金融機関や、金融機関に情報システムを提供するコンピュータメーカー等で広く用いられています。

２３ページは、安全対策基準の策定の背景について記載しています。策定の背景はＦＩＳＣの設立と同様に昭和５０年代にさかのぼります。当時、金融機関等に対する社会的な要請がますます強くなる一方で、システム化に内在するリスクへの対策が問われるようになりました。そこで、どのような対策をどこまでやればよいかについて、金融機関等にとっての共通的なよりどころとして業界が自主的に策定したもの、それがこのＦＩＳＣの安全対策基準です。

初版は１９８５年、昭和６０年に発刊しています。資料下段に記載しているとおり、本書は各金融機関等が自社の業務に即して適用範囲や対象システム、具体的な方策等を自主的にご判断いただくための、いわば参考書の位置づけです。自主基準のため強制力はありません。安全対策基準への適合性を評価認定する制度といったものも一切ありません。

次のページでは、金融検査マニュアルを抜粋させていただいております。中段に記載していますとおり、金融庁の検査マニュアルにおいても、システムリスク管理態勢の確認検査において、管理態勢に問題が見られ、さらに深く業務の具体的な検証をする必要が認められた場合には、検査官はＦＩＳＣの安全対策基準等に基づき確認を行うものとされています。このように金融庁の検査においても参照をいただいているという位置づけとなります。

２５ページ以降では、安全対策基準の概要についてご説明します。まず、この安全対策基準の策定の目的ですが、自然災害や機器の障害、不正使用行為等から生ずる各種障害に対して、未然防止、影響最小化、早期回復の３点を目的に記載しています。対象とするシステムは、中段に記載のとおり、金融機関がサービスを提供するのに必要なコンピュータシステム全般となります。そして、安全対策基準の構成は、資料下段に記載のとおり、設備基準、運用基準、技術基準の３つの基準で構成され、合計３０６項目から構成されています。

２６ページに各基準のもう少し詳しい説明を記載しました。まず、設備基準ですが、こちらは建物や設備に関する安全対策基準について記載しています。次に運用基準は、コンピュータ処理にかかわるセキュリティー管理の方針や組織、責任体制、承認手順等を中心に記載をしています。そして技術基準は、技術の進展を考慮した機能を中心に記載しており、システム信頼性向上対策と、安全性侵害対策の２つから構成されています。

次のページは、このＦＩＳＣ安全対策基準の維持・改訂を行うために組成されている組織についてです。安全対策基準の改訂作業を行う組織として、安全対策専門委員会とその下部組織の検討部会を設置しています。この２つの組織は学識経験者や金融機関、メーカーやベンダー等の会員組織の代表者から構成されています。改訂の流れとしては、ＦＩＳＣが事務局となり、検討部会で具体的な改訂内容を検討し、専門委員会における審議・承認を経て改訂版の発刊に至っております。

最後に、今年度の安全対策基準の改訂作業の状況についてご説明します。次期改訂に関する主な検討テーマとして３つあります。まず１つ目は、金融機関におけるサイバー攻撃対応態勢についてです。先ほど米山から説明しましたとおり、本テーマについては有識者検討会の報告書の内容を踏まえて、サイバー攻撃への具体的な対応態勢の整備について、改訂を行う予定で、今検討を進めています。

それから２点目は、金融機関におけるクラウドサービス利用についてです。本テーマについては、今年４月から１０月まで「金融機関におけるクラウド利用に関する有識者検討会」を開催し、この報告書を公表しましたので、その内容を踏まえて、金融機関がクラウドを利用する際の事業者の選定手続や契約内容の明確化、クラウド利用時の情報漏えい対策等について基準を追加・修正する予定です。

３点目は、外部委託先による不正な引出し事例に関する検討です。昨今発生した不正な引出し事例についてヒアリング調査等を行い、その調査結果から得られた対策をもとに、改訂内容を検討しています。なお、今回の改訂では、資料に記載のとおり、例えば重要なデータへのアクセス制限や、外部記憶媒体の利用制限、持ち込み・持ち出し制限など、取り急ぎ金融機関等に求められる技術的な対策について盛り込んでいく予定です。一方、委託先管理態勢の抜本的な内容、ガバナンス等に関する内容に関しては、平成２７年度に開催する「外部委託に関する有識者検討会（仮称）」にて検討し、その結果を踏まえて、本格対応として改めて安全対策基準の改訂を検討していく予定です。

今年度は、ここに挙げた３つのテーマ中心に検討し、来年６月末を目途に発刊を予定しています。

私どもからの発表は以上です。

どうもありがとうございました。

続きまして、日本銀行岩下参考人、大変恐縮でございますが２５分程度でよろしくお願いします。

かしこまりました。

日本銀行金融機構局金融高度化センターの岩下でございます。お手元の資料４に即しましてお話をさせていただきます。

こういった場でお話をさせていただくのは、実は私１０年ぶりでございます。と申しますのは、今を去ること１０年前、平成１７年の２月に「偽造キャッシュカード問題に関するスタディ・グループ」というのが、こちら金融庁の中で開催されまして、私はそちらで二度ほど発表させていただいた覚えがございます。そのときに偽造キャッシュカード問題の、こういう問題がありますということをご説明した資料を１０年ぶりに眺めておりまして、実は多くの問題がまだ解決していないなということを感じた次第でございます。本日の資料は、実はそのときの資料をほぼそのまま使っている部分がたくさんございまして、その意味ではこの１０年間というのは何だったのだろうという感じがするわけでございますが、そういう観点から、金融機関のセキュリティーをこの２０年ほど研究しております立場としてお話を申し上げさせていただきます。

最初にお断りがございますが、１ページの下に書いてございますとおり、本資料の内容は私が個人的に考えたことでございまして、日本銀行としての正式な参加者は、決済機構局の播本課長が前々回にご報告をさせていただいたかと思いますが、これからお話しするセキュリティーをめぐる議論というのは、私の個人的な考えでございますことをお断りさせていただきます。

では、開いていただきまして、４ページから始めたいと思います。

なぜ今こういった議論、決済機能の高度化といった議論がこんなに注目を浴びているのかということについてですが、私ども、日本銀行金融機構局に金融高度化センターがございまして、こちらでもこういった決済機能とか金融ＩＴの高度化についての検討を始めておりまして、そのためのワークショップを開催いたしました。去る１０月９日のことですが、そのときにどういった内容の話をしたかということが５ページ以降に書かれています。

私どもの基本的な認識としては、日本の銀行のＩＴの利用というのは大変これまで活発に利用されてきて、かつ銀行にとってはＩＴというのは非常に重要な経営のリソースであるというふうに考えられてきたのだと思っています。私自身も実際に金融ＩＴの開発に携わったことがありますし、ベンダー側で開発の現場に一緒に居合わせたこともあります。あるいはそれを研究している立場としていろいろお話をお聞きしてきました。今日、最初にウェルネットのお話もありましたとおり、さまざまなオープンなネットワークの中で新しい金融サービスが出てきていて、ＩＴというのはすばらしい力を持っているのだということを、みんながもう実感してしまっているにもかかわらず、銀行の業務の現場においてはそのＩＴの力があまり使われていないじゃないかという声が非常に強くあるわけです。

これは何でなんだろうということを考えてみますと、に書きましたとおり、日本の銀行のシステムというのは非常に堅牢性、あるいは高度な可用性、いわゆるアベイラビリティーですね、これを追求してこれまでつくられてまいりました。それはかなり高いものを達成したと思います。セキュリティーもそれなりに高くなっている。後に挙げますとおり若干問題がありますが。その反面、柔軟性に乏しいと。とりわけインターネットのような大きな変化が起こってきたときに、それに対応するのがなかなかうまくできなかった。しかも、さまざまな変更があったり、維持管理の対応が必要になったりして、こちらに多大なコストを要してしまって、金融機関の経営リソースの非常に多くの部分を今のシステムを維持管理するために使ってしまっていて、イノベーション側に使っていないという問題があるのだと思います。

結果として、普通の企業であれば、ＩＴを活用するというのはこのＩＴを入れて、新しいビジネスをやろうと、新しい戦略を達成しようというイノベーションのための手段であるのが普通です。しかしながら、銀行の場合はどうもＩＴというものが、例えば我が社はこういうシステムを使っていて、システムの変更に何年かかるので、例えばこういう戦略をするのは何年先にしようという話が実際に多く聞かれるわけでございまして、むしろイノベーションを阻害する一因となってしまっているという声もあるわけです。

６ページに挙げましたグラフというのは、皆さんよくご存じのとおり、ムーアの法則と呼ばれるＩＴの世界で非常に有名な法則でございまして、半導体の集積度とか、コンピュータのコストパフォーマンスというものは１年半で大体２倍になるわけです。この比率を普通に適用しますと、もう１０年とか２０年とかたちますと、３桁とかとんでもない形でコストパフォーマンスが改善しますが、実際にそれに類した形でコストパフォーマンスが改善している、例えば普通の我々が使っているＰＣとかタブレットのようなものというのは、かつての性能に比べれば極めて高いものが非常に安価に提供されるようになってきていまして、これがまさにさまざまなイノベーションを生み出しているもとの力となっているわけです。

その次のページでございますが、ところが、どうも金融ＩＴの現場ではこのムーアの法則というのが働かないように実感しております。例えば金融機関が従来から使っている銀行間の接続システムにおいて、ずっと使ってきているシステム、例えば全銀システムにおけるＲＣ（中堅コンピュータ）というのはずっと使ってきているわけですが、これが例えば５年たちましたと、更改しますと。性能がどれだけ上がるのですかと、３割上がりましたと。５年で３割ですかって、一体どこにムーアの法則があるのですかという話を何度か議論したことがあります。

やはりどうも銀行の使っているシステムについては、劇的なコストの低下というのはどうもない、あるいは性能が非常に高くなったかというとそれもないということで、どうも３０年前とあまり変わらないことをやっているのではないかというふうに感じるわけです。これはなぜかということの１つの答えが、銀行というのはどうも世間より先にＩＴ化をしてしまった。その後そこでとまってしまった。このために世の中の変化に対して取り残されてしまったという仮説であります。

具体的に申し上げますと、今我々が使っている銀行のシステム、いわゆるＡＴＭですとか、全銀システムで送金をされるのであるとか、ああいうものというのは、第一次、第二次、第三次の銀行オンラインシステムの開発によって、１９７０年代から８０年代にかけてかなり急速に発展したものです。当時はインターネットなんてものはありませんでしたので、銀行界がみずから全銀プロトコルなんていうのを開発しまして、自分たちでネットワークを一からつくっていったということが、ある意味で銀行界の誇りだったわけです。多分１９８０年頃においては、コンピュータネットワークというものの最先端のものは銀行であると。世界中のＩＢＭのメインフレームのほとんどの機械が日本にあるのじゃないかと、日本に当時１１行あった都市銀行がこぞって買い集めたという、そういう話がございました。

ところが、その後１９９０年代以降、どうも銀行のＩＴ化というのはあまり進んでないのです。もちろんインターネットバンキングをやりました、ＡＴＭは高度化しましたとか、ＩＣカードをちょっとずつ入れるようになりましたとかというところは、多少は変化しているのですけれども、基本的なつくりというのは全然変わってないです。

ところが、まさに１９９０年以降ぐらいにインターネットが登場して、あるいはＰＣが普及して、ムーアの法則が世の中を席巻して、非常に世の中を変えてしまった。その結果、世の中のＩＴというものは進歩するのだけれども、金融のＩＴというのはどうも何かとまっているという、そういう乖離が発生してしまったのではないかということが私の個人的な認識でございます。

こういう状況が長く続きますと何が起こるかというと、８ページでございますが、どうも要するに銀行が使うシステムの基盤技術というのが古いもので固まっちゃうのです。私、日本工業標準調査会の委員というのをしばらくやっておりまして、ここでＪＩＳ、日本の国内標準をつくる仕事をやっておりました。この場で私、銀行界の人間としてよく批判されたのは、「銀行はまだＭＴ（磁気テープ）って使っているのですよね」と。「あれもう世界で使っているところはここだけなので、何とかやめてくれませんか」ということを何度も言われました。同じように銀行にかかわる技術というのは、どうも非常に古い技術を大事に大事に使ってしまって、結果として世間で誰も使っていないようなものをいまだに使い続けてしまうという、そういう傾向があるのではないかと思います。

もう一つは、銀行のＩＴガバナンス体制です。ＩＴガバナンスというのは、言葉としてはいろいろあるわけですけれども、最近のＩＴガバナンスはすっかり会社そのもののガバナンスと非常に密接にリンクしておりまして、どうＩＴを使って、どう会社を経営していくかということを考えるのが普通なのですが、どうも日本の銀行のＩＴの決定の現場というのはそういう議論にはなってなくて、何かボトムアップでいろいろな案件が上がっていって、予算内にこれを採択してどうのという会議を皆さんやっていらっしゃると思いますけれども、これは相当古いスタイルだと思います。

それから、業務推進体制そのものですね、要するに既存の銀行のＩＴを前提としたものとしてさまざまな戦略が立てられますので、そうするとこれがずっと変わらない。変わらないので銀行内でも変えられないという、そういう形になってしまって、全体が固定化してしまって変革を阻んでいる。変革が阻まれている間に世の中がものすごい勢いで、ムーアの法則で進歩しているという、そういうややカリカチュアとしてみればそういう話が起きているのだと思います。

これを解きほぐしていきたい。銀行の情報システムは安定していて安全である、もちろんそれは誇っていいことなのですけれども、それをできるだけ確保した上で、今日の例えば冒頭の議論にあったような、ユーザーに対するサービスをきちんと提供していくためにはどうすればいいかということを考えていかなくちゃいけないだろうというのが、私の今日の立場でございます。

次に、今一体そもそも何が問題なのかということを申し上げます。１０ページのところでございますけれども、日本の金融ＩＴというのは、もともと３つ特徴があると思っておりまして、銀行ごと、あるいは決済機関ごとにセキュリティー・ドメインが切られているのです。それぞれのシステムはそれぞれの中で完結していて、自分たちの責任分野というのはここですということが明らかになっていて、ほかとリンクしているところで、何か知らないけれども情報が送られてきたのでそのまま処理しますということは絶対にしないで、その相手に対してどういう責任を持つかということを非常に厳格に決めているというのが、この閉じたシステム、閉域のネットワークというものの特徴だと思います。

もう一つは、２番目は、その昔通信速度が非常に低かったのです。３００ビット・パー・セカンドとかそんな時代がありまして、その時代のシステムに適合するためにつくられた非常に古い電文をそのまま使っています。そのために今の最新の技術を取り込むということに非常に向いていないつくりになってしまっているわけです。

それからもう一つ３番目は、１とつながりますけれども、外部接続先というのは基本的には銀行同士、あるいは銀行、例えばさっきの日銀ネットとか全銀システムとかそういうものとつないで、金融業界の中だけでつないでいるので安全ですということをやっていたわけです。もちろんこれは確かに安全ですし、もし問題が生じた場合でも、相手をよく知っていますからそことの間でいろいろやりとりができるわけですが、ただそのかわり一般の利用者との接続には非常に向いていないシステムになってしまっているわけです。

先ほどクレジットカードの代行決済がございました。これはこれで便利だということと、それはそれでリスクがあるという話と両方あったと思いますけれども、こういうことが世の中で求めているとすると、そういう連携というものが非常にとりづらいシステムが銀行のシステムになってしまっているということです。

その次のページでございます。メインフレームとかオープン系とかそういう議論がありましたが、言葉の定義はなかなか難しいのですけれども、単純に言いますと、この上の１１ページの絵のように、銀行の外側に覆いをつくって、銀行のシステムは銀行の中で閉じていますと。銀行のサービスを使いたい人は企業の方も家庭の方も銀行に来てくださいと。銀行の窓口で、あるいはＡＴＭで操作をすれば、そこの範囲までは我々が守りますよと。そこから先は皆さんで守ってくださいと、そういう形の銀行自体を閉じる戦略というのが銀行の基本的なシステムです。外部からの隔離によるセキュリティーと言われるものです。

これは一旦銀行の中に入ってしまえば安全だという発想で、例えば４桁の暗証番号でもいまだに皆さん広く使っていると思いますけれども、それはなぜかというと、内部の閉じたシステムで外とはつながっていないから、そこの中で多少素朴な認証手段を使っても何とかなっちゃっているというのが現状だと思うのです。

かつて銀行の外側にネットワークがない時代はこれでよかったのです。ところが、銀行の外側のネットワークというのが、インターネットができて、これがどんどん広がって、かつそのインターネットの上でいろいろなビジネスであるとか、社会活動が行われるようになってくると、銀行だけが孤立したネットワークを持っていて、皆さんこっちに使いたければ来なさいというのは許してもらえない。そこで、その下の絵にあるように、銀行もこのネットワークの一部にぶら下がって、１つのエンティティーとしてそれ以外の人たちと同じネットワークを使うというようになろうとしたわけですが、ただこれをやろうとするとその途端に、従来のセキュリティーの構造からどうも合致しなくなってしまうという問題が起こっているわけです。

今、ちょうどセキュリティーの話が出ましたので、１４ページ以降、かつて大騒ぎされました偽造キャッシュカード問題から１０年たちまして、何が起こっただろうかということを今から反省してみたいと思いますけれども、２００４年、５年というところでこの問題が発覚しまして、２００５年にスタディ・グループが発足して、報告書が発行されて、預貯金者保護法ができて、施行されて、一旦沈静化はしました。多くの銀行が当時の反省に基づいてＩＣカード化、生体認証化を一生懸命やりました。しかし、お客様が必ずしも皆さんＩＣカードに変えていくこととか生体認証を使うことにご同意していただけなかったこともあって、その徹底はできませんでした。

結果として何が起こったか、その次のページをご覧ください。偽造カード事件が騒がれて一旦問題になった後、２００６年、７年、８年と順調に対策が講じられて、実は一番大きいのはＡＴＭの引き出し上限額を引き下げたことが大きかったわけですけれども、ぐっと減りました。しかし、その後また増えてしまったのです。結局偽造カード問題の根というのは絶たれていないのです。しかし、この２０１３年、２０１４年にがくっと減っています。

これはなぜなのだろうというと、どうもこれは偽造カードの対策が進んで、ＡＴＭとかカードが強くなったからではなくて、その下のグラフにあるインターネットバンキングの不正のほう攻撃者集団が移ったようです。昨年のインターネットバンキングの偽造、不正引き出しの規模というのは、かつての偽造キャッシュカード問題のピークを越えているわけで、そういう意味ではターゲットが移ってもやはり同じような形で攻撃されてしまうわけですが、そこで１８ページのところです。

実は今から１０年前に日本だけが偽造カードで問題になったわけではございません。海外でも同じような問題がございました。

２００４年から２００５年にかけて米国でクレジットカード番号の大量漏えい問題というのが発生しました。我々が使っている銀行のＡＴＭであるとかインターネットバンキングというのは、非常にクローズドな銀行のシステムの内側で使おうということでいろいろな工夫をしているわけでございますけれども、それに比べるとクレジットカードというのはもともとオープンなシステムに適合しているものでございます。そのかわり偽造とか不正使用については事後的に対応することにしていたわけですが、その分だけクレジットカード番号がどこかに蓄えられていて、それが不正に利用されると非常に大きな問題になります。２００４年から５年にかけて、これまた大きな漏洩事件が起こって、当時大きな社会問題になりました。そのときにアメリカの業界は何をやったのかというと、PCI DSSという業界標準をつくったんです。このルールを守らないとクレジットカードを使っちゃいけませんよということを非常に詳細に、具体的に、例えばＡＴＭの暗証番号入力装置（ＰＮＩ ｐａｄ）はこういう機能を持ったものにしなさいと非常に厳格に定めました。しかし、これをやってもその後も大規模なカード漏えい事件がまだ続いていまして、その意味では必ずしもそんなに有効ではなかったと思うのです。ただ、この対策だけはしっかり進んだ。もう一つ言うと、今起こっているクレジットカードの漏えい事件というのが非常に大規模なので、多分アメリカの業界も大挙してＩＣカード化に移るものと思われます。

１９ページで、こういったことの違いがどこに出てくるかというと、日本のＡＴＭはセキュリティーが弱いじゃないかという批判をする人たちがいるわけです。皆様聞いたことがあるかもしれません。いわゆる東京オリンピックの関係で、２０２０年までに日本の銀行のＡＴＭの一部を国際クレジットカード対応するようなものにするべきではないかという議論がございます。その妥当性は置いておいて、それをやろうとするときに１つの大きな問題は、もちろん「ＪＩＳ１－ＪＩＳ２問題」すなわちクレジットカードとキャッシュカードでは表と裏と別の方向に磁気ストライプがついていますから、それを読めるようにしなくちゃいけないという問題もあるわけですが、それとは別に、日本の銀行のＡＴＭのセキュリティーが問題だとされているのです。１９ページの引用は、とあるクレジットカード会社の方々が出版した本の中の一節ですけれども、日本の銀行のＡＴＭは発展途上国の金融機関の国際対応ＡＴＭよりもセキュリティー水準が低い危険な状態にありますと。これを何とかしなくちゃいけませんということを書いているわけであります。

これはややぬれぎぬ的なところもあるわけでございますけれども、ただ冷静に考えてもなかなか厳しいところです。どうして厳しいかというと、アメリカの業界はいろいろな漏えい事件に対応してPCI DSSというルールをつくって、これを割と徹底させたわけです。結果としてこういうことは非常に今言いやすくなっている状態にあります。これに対して、日本の銀行のＡＴＭというのはそれに匹敵するようなルールというのがないのです。先ほどＦＩＳＣの方が安全対策基準についてご報告していただきました。確かに詳細なルールが決められておりまして、その中では秘密を要する情報については暗号化すべきということがちゃんと書いてありますが、ただ具体的にＡＴＭの中で暗証番号をどう暗号化するべきかということについてのルールはないわけです。

さらに言うと、例えば暗号化するためにどういうアルゴリズムを使うべきかとかということについても、PCI DSSではきちんと規定してあります。必ずしも十分な形だと私は思いませんが、それに比べて、日本の場合はそこが基本的に任意になっております。さまざまなルールが、標準があるのですけれども、それをどう適用するか、金融機関が自由に判断してくださいというのが基本的な日本の立場なのです。

実際には日本のＡＴＭにおける暗証番号（ＰＮＩ）というのは非常に慎重に取り扱われていまして、滅多なことでは外部に漏えいはしないと思いますが、しかし、先ほどもちょっとＦＩＳＣの方も触れられましたけれども、最近漏えいした事件が実際起こっちゃいまして、そういう事件が一件でもあると、要するに日本の銀行のＡＴＭは暗証番号が漏れちゃうじゃないかという批判を浴びてしまうわけです。これに対する反応というのは、実は非常に難しい点があります。

２１ページですが、これはなぜこういうことになっているのかというと、結局日本の場合は、皆さんで危ない情報は守りましょうよという、そういう形の一般的な議論をしているだけで、具体的な仕様の決定にまでは至っていないわけです。しかも、実際中でどうやっているかというのは全部秘密なわけです。これはなぜかというと、クローズのシステムだったからです。結局、銀行のシステムを守る発想が、実際に銀行のシステムが外と切り離されたクローズなネットワークの中でつくられているということと、セキュリティーのシステムがリンクしちゃっているわけです。こういう外に対して秘密で、我々はしっかりやっています、安心してくださいというふうに言うというのは、security through obscurityと言いまして、さらにはsecurity through obscurity is no security at allという言葉もあるのですけれども、非常に古い考え方でありまして、こういう考え方を多分脱却していかないと、日本の銀行のシステムをオープンなネットワーク環境に適合していくことが実は結構難しいことではないかと思います。多分それらが求められていることではないかと思われるわけです。

２３ページから、最後のところです。インターネットバンキングの話をしたいと思います。先ほどお話ししましたように、インターネットバンキング、最近非常に犯罪が増えてしまっていて、それが問題だということになっているわけですけれども、もともと日本の銀行のシステムというのを考えてみますと、要するに非常にクローズなネットワークですよと。クローズなネットワークなのだけれども、インターネットを皆さんが使っているのでインターネットで使われなくちゃいけないということで、そこをちょっとだけオープンにすると。要するにクローズなネットワークの一部をインターネット側にちょこっとだけオープンにすると。ただし、ちょこっとだけオープンにしたところのターミナルであるユーザーのＰＣは、そこはセキュアだと、そういう前提のもとで日本のインターネットバンキングというのはつくられてきているわけです。例えばそこにありますパスワードを入れればいいでしょうと。インターネット上でＳＳＬで守っていますから、パスワードで大丈夫でしょう、あるいは乱数表を入れればちょっと高度ですよねということをやってきたわけです。

しかし、実際にはフィッシングであるとかいろいろな攻撃によってこれがアタックされてしまったので、もう今はこれではだめだということが知れ渡っていまして、その下にあるワンタイムパスワード、ＯＴＰというものによってセキュリティーを守ろうということに移ってきています。

ところが、残念ながらこのＯＴＰも今アタックが増えてきていまして、今後多分だめになるだろうということが、技術者の間ではもう常識になっております。具体的にいうと、マン・イン・ザ・ブラウザ攻撃と言うのですけれども、ウィルスとかマルウェアによって乗っ取られたユーザーの環境を使って、実際に入力した振替電文とは別の、偽の電文をユーザーが入れた認証のメッセージを使って有効なものとして送ってしまうという、そういう攻撃が今実際に可能になってきておりまして、それに対する対策をいろいろ考えなくちゃいけないということで、そのためにトランザクション認証というものが今必要だというふうに言われてきています。

トランザクション認証というのは２４ページにあるように、個々の取引をするときに、その取引の内容に該当するものをピンパッドから入力をしたり、あるいはここにカメラがついていてＱＲコードを読み取ったりするタイプもありますけれども、それによって取引一件一件についてそれが真正なものであるということを、インターネットバンキングのネットワークとそれに接続したパソコンとは別のデバイスによってそれを守っていこうという、従来のＩＣカードでセキュアなものを守っていこうということをしたものと同じような発想で、別のセキュアなところに閉じ込めた秘密のデータによって、一個一個のトランザクションを守っていきましょうということであります。

こういう変化がインターネットバンキングの世界で起こっているということは、従来クローズだったネットワークをインターネットで一部オープンにしたというのが、結局銀行のシステム全体がオープンになるということの蟻の一穴になったのではないか。それが今後銀行システムの基本設計に大きな影響を与えていくのではないかというのがこの後の推論です。２５ページですが、従来の考え方は非常に素朴で、インターネットバンキングというのは利用者との間のネットワークを守って、全体の領域を一緒に安全な領域として、銀行のＡＴＭとか窓口を利用者のパソコンのところに持っていくんですよみたいな、そういうコンセプトだったわけです。そこがもう安心できない、外部から隔離してセキュリティーを守るということがオープンなネットワーク上ではできないということが分かってきたのです。ある意味で最初から自明なことだったわけですけれども、オープンなネットワークで隔離するというのは定義矛盾みたいなものですから。それを事実上やらなくちゃいけないということでこのトランザクション認証的なことを行うとすれば、これが銀行取引において外部のネットワークと自由に接続をするということの大きな可能性になるのではないかと思います。最後の２７ページのところでございます。

今我々がこういう議論をしているのも、結局銀行がオープンなネットワークに十分対応していなくて、やれPayPalであるとか、Apple Payであるとか、Googleであるとか、Facebookであるとか、そういうものに対して多分対抗できないんじゃないかということを我々が恐れている。将来を危惧しているからこそ、こういう議論をしているわけです。そうだとすると、そういう中でどうやって銀行は従来のセキュリティーの基本理念を切りかえてやっていくべきかというと、多分こういったトランザクション認証的な考え方をさまざまなところに入れていけばいいのではないでしょうか。

幸い日本では２００１年に電子署名法が成立しておりますので、少なくともきちんとした形で電子署名を付与するような、各トランザクションにきちんと認証機能を付与することの法的な有効性については既に担保されているはずなのです。だから、必ずしも外部からの隔離だけに頼る必要はなかったのですが、ただ、これをやろうとするととてもお金がかかりますし、システム的にも大変です。あるいはユーザーを巻き込んで、従来からやっている磁気ストライプに４桁の暗証番号でいいやと言っている人たちを何とか説得して、新しい面倒くさい認証の仕組みのほうに引き込まなくちゃいけないと、これが大変だということだったわけですが、ただ、さすがにインターネットがこれだけ普及してきますと、利用者もそういうことに理解するようになるでしょうし、お金がかかる件についても先ほどお見せしたようなトークンになっていて、昔で言えば１個何万円もしたものが今、非常に安くなってきているということで、そういう技術の進歩というものを、ムーアの法則を味方につけるような形で何とか新しい認証の仕組みというものを入れていく。典型的には例えばＩＣカードにして、そこを、ＩＣカードを読み取る機械をユーザーに配って、そのユーザーがそこでピンとかあるいはカメラとかで、個別の切り離された認証を行うということはいろいろ考えられると思うのですが、そういうことを考えていったらいいのではないかと思います。

最後２９ページですが、２０１５年、来年にはマイナンバーが付与されます。当初、銀行預金というのはマイナンバーの付番対象にはなっておりませんが、しかし今年の４月に発表されましたマイナンバー検討グループの政府税調のほうから、銀行預金にマイナンバーを付与すべきという議論が出ています。これ、実際やるのは大変です。今、銀行は各個人がどういう、どこに住んでいて、何という名前だということを確たる情報として持っているわけでは実はなくて、昔口座開設したものについては本人確認も十分されていないものがあるのです。それらについても全て磁気ストライプのカードがたくさん発行されて１０億枚ある状態ですけれども、これをどこかで見直さなくちゃいけない。そのときにこういう新しいデバイスを入れていくということをぜひ考えるべきタイミングに来たのではないかということが、私の意見でございます。

ありがとうございました。

どうもありがとうございました。

それでは、自由討議に移りたいと思います。

どなたからでも結構でございますので、ご質問、ご意見等ご発言をお願いいたします。

翁委員、どうぞ。

それでは２つお伺いしたいのですが、１つ目はウェルネットの滝島委員にお伺いしたいのですけれども、収納代行サービスについては平成２１年の、この金融審議会でもいろいろ議論がありまして、そのときにかなり業界としてもこういった安全性に対しての取り組みを強化していくというお話があったように記憶をしているんですが、日本代理収納サービス協会につきましては、利用者の保護という観点から、先ほど国民センターのほうからお話しいただいたような、消費者の啓発とか、それからトラブルの情報収集とか、または一定のガイドラインとか、安全性を担保するためにどんな取り組みをされているのかということを教えていただければと思います。それが１つ目です。

それから２つ目は岩下参考人にお伺いしたいのですが、非常に勉強になりました。クローズドなシステムからオープンにしていくことが難しいけれども、それに合ったセキュリティーを考えていかなければいけないというお話、非常に参考になりましたが、このトランザクション認証というのは今、欧米諸国などでどのぐらい使われていて、どういう段階になっているのかということを教えてください。

それでは、滝島委員、どうぞ。

お答えします。当協会としての取り組みとしましては、幾つかやっておりますが、その中で今まさに取り組んでいるところでは、消費者の保護ということでは二重弁済について、お客様・消費者が発生しないようなことを取り組んでおりまして、具体的には各払込票というものでは既に実施、恐らく、私も先ほどの平成２１年の新改訂の内容をちょっと存じ上げてなくて申しわけないのですが、払込票において代理受領であるものを伝えております。また、ペーパーレスのほうのサービスでは代理受領である旨の表記がなかったものですから、こちらについて代理受領である旨の表記をしていくというような取り組みをしております。

また、先ほど国民生活センターからありましたようなトラブルの中で、お問い合わせがある件も協会に入っております。そこにつきましては、それぞれお問い合わせがあった方に対しまして、当協会で答えられる範囲のことにつきましてはお答えをするというような取り組みを今現在行っております。

以上です。

はい。翁委員、よろしいですか。

今、業界としてどんなことをやっているかという全体像みたいなものがまたありましたら、また資料なり何なり、教えていただければと思います。

今どういう取り組みをしているかということについては、今のお答えでわかったのですが、体制というか、そういうことについてもしまたわかりましたら、今日でなくて結構ですので教えていただければと思います。

ちょっとついでによろしいですか。

今の滝島委員からのお答えで、二重弁済が発生しないように払込票で伝えるというのは、具体的にどういうことをやって、それによってどのように二重弁済が防げるのでしょうか。また、代理受領である旨を表記するということは具体的にどういう意味を持っているのでしょうか。

滝島委員、お願いします。

そうしましたら、先ほどの翁委員からもご質問ありました全体像がわかる資料を、次回に当協会のほうでガイドラインも含めて設けておりますので、それをもってご説明するという形でよろしいでしょうか。

わかりました。じゃ、よろしくお願いします。

それでは、岩下参考人、お願いします。

かしこまりました。

とてもいい質問をありがとうございます。海外の状況でございますけれども、海外におけるインターネットバンキングにおいてトランザクション認証を行うというのは、もう世界の常識であります。今日お示しした２４ページのところにある、これは左がシティーバンク、右側は北欧の銀行でございますけれども、海外の金融機関のインターネットバンキングにおいてのこの種のピンパッドつきのものというのは非常に広く使われております。割と有名なところだとシンガポールが、シンガポールの国内の銀行は全てこういうのを使っていまして、各銀行ごとに持っているので、シンガポールの銀行取引をやっている人たちはこれを５台ぐらい持っているのが普通です。

ちなみに中国の中でもこの種のものを使うべきということが、人民銀行の指針に書かれておりまして、多くの銀行がこれを既に採用しております。もちろん中国の場合は幾つか階層が分かれておりまして、非常に高額の取引をする人は機能の高いトランザクション認証のものを使うけれども、取引金額が低い人は、例えばスクラッチ型のカードという、もうちょっとセキュリティーの低いものを使うという、そういう幾つかのスペクトラムがあるようでございますけれども、ちなみに日本では一部のメガバンクがこれに類した機械の配付を始めておりますが、まだ実際のトランザクション認証として使っているという事例はないと理解しています。

はい、よろしいでしょうか。

髙木参考人、どうぞ。

三菱東京ＵＦＪ銀行の髙木です。今の岩下参考人のご発言に少々補足しますと、私どもが欧米の銀行の何行かにいろいろヒアリングした中では、概して欧州の銀行がこのトランザクション署名について非常に積極的で、かなり流通も広がっております。

一方で、米州の銀行につきましては、少なくともリテールの銀行取引ではあまり広がっておらず、積極的な採用状況ではないというのが私どもの認識でございます。

それから、シンガポールにつきましては先ほどおっしゃられたとおり、当局の指導でほぼ義務化に近いような形となっておりますので、かなり広がっているのが実態でございます。

それから、このトランザクション署名につきましても、オプションとして提示していますので、全てのお客様がご利用されてやっているかというとそうでもなくて、割とセキュリティ意識の高い方であるとか、お金を払って利用してもいいという方が採用しているのが実態だというふうに認識しております。

はい、河野委員、どうぞ。

ご報告ありがとうございました。私は消費者ですので、先ほど国民生活センターが報告してくださいました消費者の被害の実情といいましょうか、今顕在化してきている問題に関しまして、非常に興味があるところでございます。

先ほど岩下参考人が非常に明解に説明してくださいましたけれども、私たちが今の日常の暮らしから決済方法、利便性というのをやはり一番先に置いてどんな方法を選んでいるか。新しく出てきた決済方法に関して消費者側の知識が追いついていない、そのあたりでいろいろ私たちの日常的な注意というのが多少おろそかになるような形で、さまざまな被害が発生しているというふうに感じております。

それで、事業者側の皆さんもやはり利便性を強調して、トラブルというのを過少評価しているのではないかなと思っておりまして、今ＣＭ等でさまざまキャッシュレスで簡単に払えるよというふうなのを見ておりますと、本当に何の問題もなくさっとカード一枚で払えるというふうにＣＭが出ていて、そのあたりも問題だというふうに感じております。

質問をさせていただきたいのは、ちょっと重複するかもしれません。先ほど日本代理収納サービス協会は、次回こういった消費者トラブルを防ぐためにどのような対策をとられるのかということで、まとめてご報告いただけるということでしたけれども、そのほかに資金決済業協会とか、それから日本クレジット協会、それから大きくこの行政の所管官庁である金融庁は、今現在こういったキャッシュレスの決済において消費者トラブルの状況をどのように把握してくださっていて、消費者がこういった新しい利便性といいましょうか、これまでのかつての銀行がやってくださったよりもはるかに私たちの暮らしの実態に合っている新しいこの決済方法を利用するに当たって、消費者向けの啓発はどんなふうに考えてらっしゃるのか。そのことをぜひ伺いたいというふうに思っております。

さらに、基本的にはこの後ガイドラインですとか、それから啓蒙活動をしっかりやっていただきたいというふうに思っております。

それから今後に向けてなんですけれども、消費者側のトラブルというのは全国の消費生活センターを通じて国民生活センター、PIO-NET等に結構集約されていくと思いますが、国民生活センターと連携してこういったことに対処して、私自身はいってほしいというふうに思っております。やはり実態というのとしっかりあわせて考えていただきたいというふうに思っておりますので、そのあたり今後の方向性をぜひ具体的に考えていただきたいというふうに思っております。

実は今日、報道で読みましたけれども、かつて携帯電話でソーシャルゲームの課金が非常に大きな騒動になりましたコンプガチャ等、あれも国民生活センターのところにいろいろな被害情報が寄せられまして、その後業界のところで事業者の団体をつくって自主規制のガイドラインをつくったり、啓蒙活動をやられた。それが功を奏して、スマホのほうに移っていったということもありますけれども、非常にそこのところは被害が縮小していきました。今日のニュースは、その事業者団体がもう解散するというふうなニュースでした。つまり、あっという間に広がり、あっという間に問題が大きくなり、それに対処しているうちに、業界はもう既に違う業態に吸収されていってしまうという、先ほどムーアの法則のお話を伺いましたけれども、非常にスピードが速いというところだというふうに思います。

そのあたりも含めまして、ぜひキャッシュレスの消費者被害の対応というのが、今年度ここまでやって、次年度以降ここからやるのだというふうな、そんな悠長な問題ではないかなというふうに思っておりますので、関係者の皆さんのぜひ迅速な対応をお願いしたいというふうに思います。

はい。何か金融庁の側からありますか。

今お話しございました点、金融庁全体としてもいろいろ取り組んでいるところがございますので、整理しまして、しかるべきタイミングでご説明したいと考えております。

それ以外に、小野委員。

ご報告ありがとうございました。岩下参考人に、２点お伺いしたいと思います。

１つ目は資料の１０ページから１２ページで、日本の金融ＩＴの特徴として、オープンな環境になかなか対応できなくなっているというお話があったのですけれども、これは日本に固有の特徴なのか、それとも例えば銀行業という産業の世界共通の特徴なのかを知りたいと思います。例えば海外の銀行でも、やはり共通する特徴なのか、それとも海外ではうまく対応出来ている事例があるのかというのを教えてください。

それから２点目として、偽造キャッシュ問題のお話ですけれども、ちょっとこれは細かくて瑣末な話かもしれないんですけれども、キャッシュカードに有効期限を設けることはできないのかなという素朴な疑問を前から持っています。これだけ技術革新のスピードが速くて、それに応じていろいろな、今日もご報告がありましたけれども犯罪行為が行われるようになると、恐らくイタチごっこの世界なのだろうと思います。我々パソコンを使っているとよくＯＳの更新というのがあって、最初のころは非常になれなくて悪戦苦闘するんですけれども、それでもそれをやらないといろいろな被害に遭うということで、我々ユーザーとしてもそれを受け入れざるを得ないと思ってやっている訳ですけれども、同じことが多分決済の世界でもあると思うんです。やはり決済は誰にとってもすごく大切なことですので、そこに関して何か情報セキュリティー上の理由でアップデートの必要が生じたら、ユーザー側でそれになれなきゃいけないという不便があったとしても、それはそれである程度コストとして割り切れるんじゃないのかという素朴な疑問があるんですけれども。

以上２点です。

それでは、岩下参考人、お願いします。

かしこまりました。

まず、１０ページから１２ページにかけて書いたことは日本の固有の事情かというご質問でございますけれども、おっしゃるように銀行業界にはもともと似たような性格がございまして、海外でもある程度クローズドなネットワークを使ってセキュリティーを守ろうというコンセプトはありましたが、多分日本がちょっと特殊なのは、多分日本と韓国が特殊なんだと思いますけれども、クレジットカードを銀行が発行していないということです。

クレジットカードというのは、冒頭のウェルネットとかあるいは国民生活センターのお話があったとおり、非常にオープンな仕組みなのです。今は別の認証手段と組み合わせることによって、インターネット上のセキュリティーを高めるための努力はもちろんしているのですが、もとといえば、ウェブページにクレジットカード番号とexpiry date有効期限を入れて送れば、それで決済ができてしまう。そのデータは普通のプレーンなテキストデータですから、転々流通してどこかで保存されてということを自由にやっていたので、決済もできてしまうし、不正にも使われてしまうという、それをどうやって不正に使われてしまうのを防ぐかみたいなことの対策、イタチごっこをやってきましたし、それのセキュリティーを向上するためにオープンなネットワークの中でどういう改善を加えるかということをやってきたということが、アメリカの国際クレジットカードブランドとアメリカの銀行なんかが中心になってそういうことを一生懸命やってきました。欧州でもやはりＩＣカード化をするプロセスの中でそういうことを一生懸命やってきたということで、結局クレジットカードというインターフェースを持っていたところが、オープンなネットワーク化に何がしか対応しなければいけないということの意識が非常に強かったように思います。アプローチはいろいろ違って、アメリカの場合は普通の磁気ストライプのカードがまだ使われているけれども、そのかわり別の対策を講じるであるとか、あるいは欧州の場合はそのために国を挙げて全部ＩＣカード化しちゃおうみたいなことをやって、そのＩＣカードは例えばトランザクション認証にも使えるよみたいな、オランダみたいな国とかが出てくるという、そういうことが起こっているという意味では、残念ながら日本の場合はもともとの歴史的経緯によってクレジットカードを分離してしまったことが、そういうユーザーとのインターフェースの部分をイノベートする誘因を１つ失わせたということが多いのかなと思います。

ただ、もちろん海外でも銀行のネットワーク全体はクローズドな発想で持っている部分はまだありまして、そこについてどれぐらい使いやすくするかと、そこのセキュリティーをどうするかというのは、我々も海外も同じような課題です。

もう一つは、あえて言うと、日本の場合はやはり標準が違うということです。海外の場合は比較的同じような技術を業界内で入れて、それをイノベートしていこうということを割と一生懸命やる業界団体がいっぱいあったわけですけれども、その努力によって国全体として、例えばイギリスではチップ・アンド・ピンが普及したとか、そういうことが起こったわけですが、日本の場合は残念ながらそういうことがあまり行われなかったというのが問題だと思います。

２番目のキャッシュカードにexpiry dateを設けることは、もし設けられれば私もぜひ設けたほうがいいと思います。今でも例えばＩＣカード型のキャッシュカードはexpiry dateがあります。なぜかというと、ＩＣカードの中に入っている公開鍵暗号を利用した認証証というのが、公開鍵証明書というのが入っていますけれども、これはもともと有効の期限が例えば５年とかというふうに限られていまして、それ以降は更新しなくちゃいけないというルールがあるからです。

おもしろいのは、ＩＣカードでセキュリティーが高くて中にちゃんとした電子署名の公開鍵証明書が入っているものはexpireして、今から３０年も前に発行された昔の都銀１１行時代のカード、私今でも何枚も持っていますけれども、これは全部使えるのです。

これはどうしてかというと、３０年前の技術なので、それを今でも使っているので、そういう意味では、それが急に何か脅威にさらされるとか、そういうことは多分ないのだという発想なのだと思うのです。それに比べると、インターネットの例えばWindowsであるとか、Internet Explorerというのは年中アタックが出てきます。それに対する攻撃を防御しなくちゃいけないから更新します。

逆に言うと、でも磁気ストライプに対する攻撃というのはもう何十年も前から現に存在していて常に脆弱な状態なので、できることであればより高度な認証手段を使った技術に置きかえていって、古い磁気ストライプのカードは使えなくするというのが正しい選択です。ただ、実際に銀行の方々といろいろ話をしますと、既にやっているサービスをやめるというのは、銀行にとっては非常に厳しい判断のようでございます。そこの部分の発想も多分この種のイノベーションにどれぐらいフィットした経営思想になっているかということとリンクしている話かなと思います。

はい、永沢委員。

翁委員、河野委員からもご質問やご依頼がありました件ですが、先ほど国民生活センターからご報告のありましたトラブルの事例について、今回お答えいただくのは難しいと思いますので、次回以降で、日本代理収納サービス協会様だけではなく、金融庁や資金決済業協会、クレジット協会の皆様にも状況を把握した上でどのような対策をとっているのかを、コンパクトな形でご報告いただけたらということを、私からも重ねてお願いさせていただきたいと思います。

それから、些少な質問になって恐縮なのですけれども、と言いながらも消費者としては大変関心のあるところで重要な問題だと思っているのですが、日本銀行の岩下様あるいは銀行協会への質問になりますが、先ほど１４ページのところで出ました、これだけ不正な利用、悪質な事業者などに私ども消費者がリスクにさらされ、銀行もリスクにさらされているということがわかりましたが、このような状況の中で、ＩＣカードや生体認証というものへの対応というのは、大きな設備投資を銀行様もされているように思うのですけれども、その普及がいっこうに進んでいないということなんですが、この普及率というのはどの程度なのかということと、普及しない原因についてお伺いできますでしょうか。利用者が同意しない理由というのは面倒くさいからということだと思いますが、その辺のリスクに対する教育というものが十分ではないのではないかというところも考えられるのではないでしょうか。よろしくお願いいたします。

まず岩下参考人、お願いします。

かしこまりました。

まず利用率ですが、正式な数字は事務局なり、事務局からもしかしてお答えいただけるかもしれませんが、何枚発行されているという意味でいくと、多分磁気ストライプカードが巷間１０億枚とかと言われていまして、ＩＣカードというのはそれに比べるとかなり少ない枚数しかまだ発行されていないのが事実でしょう。実際に使われている量というのは、もうちょっとＩＣカードが多いようです。この間とあるＡＴＭ業者にお聞きしたところ、「我が社で扱っている取引の４割はＩＣです」というふうにおっしゃっておられましたので、そんなぐらいの比率なのかなと思います。

あとは、なぜそれが普及しないのかということについては、銀行側はせっかくＡＴＭをお金かけてあれだけ入れたわけですので、相当努力をしています。費用を負担しろともお願いしておりません。ただ、そうは言っても自分たちの磁気ストライプのカードを銀行に持ってきて、ＩＣキャッシュカードにかえてもらうということを積極的にやりたいというふうにおっしゃる預金者の方々はあまりいらっしゃらないのと、クレジットカードのように送りつけて、磁気ストライプがＩＣカードに変わったということがありません。先ほどの議論のようにexpiry dateがありませんので、結果として本人が相当意識しなければなかなか変わらない。

ただ、一部の地域銀行なんかですと、全てのお取引先にＩＣカード化したカードを送りつけて、それにかえてくださいとやった事例等もありますので、もちろんこれからセキュリティー対策を、私自身はＩＣカードにかえただけでは十分な向上には残念ながらちょっとならないと思って、いろいろ変えるところがあると思うのです。そういうことのパッケージとして、どうやって古い技術を不便になるけれども、お客様で使わないでいただいて、新しい、より対策された技術を使っていただくように仕向けていくかというのは、いろいろ工夫の余地があるなと考えています。

ありがとうございます。

柏木委員。

三菱東京ＵＦＪ銀行の柏木でございます。大変有意義でご示唆に富む内容であったと思います。今のご質問に関連してなのですが、今ご説明のありましたとおり、銀行としてもＩＣカード化は非常に重要だと思っておりまして、一生懸命取り組んでいるところでございます。

個別行の話になってしまうのですが、私どもの銀行で発行しているキャッシュカードについて、現在、新規発行分は全部もちろんＩＣカードでございます。ただ、おっしゃられるとおり、過去からのお客様についてもＩＣカードへ切りかえをお願いしているところでございますけれども、お客様にしてみるとそれほど今お持ちの磁気カードで不便を感じていらっしゃらない。あるいは、万が一のことがあっても基本的には銀行が補償するということになっておりますので、それほど積極的な切りかえへのインセンティブがないのかなというのが正直なところでございます。

全体で何％かという数字に関しては、オープンにしておらず、今この場ではお答えはできないのですけれども、個別行としては現在、かなり一生懸命取り組んでいるということでございます。

以上でございます。

はい、ほかにいかがでしょうか。

加毛委員、どうぞ。

ありがとうございます。滝島委員に２つ質問があります。

１つはウェルネットの滝島委員に対する質問で、もう一つは日本代理収納サービス協会の滝島委員に対する質問ということになります。最初の質問は、お配りいただいた資料の１３ページから１４ページにかけて、「コンビニ現金受け取りサービス」を開始しているというご説明いただいたところですが、これは法的にはどのように構成されているのでしょうか。ウェルネットが事業者から委託を受けて第三者弁済（立替払い）をしていると理解してよろしいでしょうか。

委託をした事業者が破産した場合などに誰がリスクを引き受けることになるのかが気になっておりまして、このサービスが法的にどのように構成されているかを教えていただければと思います。

もう一つは、日本代理収納サービス協会の滝島委員への質問です。資金決済法との関係では収納代行が為替取引に該当するのかという問題がかねてから指摘されていたと思います。一般的には資金決済法の適用はないと考えられているのではないかと思いますが、資金決済法の適用除外を明文化することなど、業界としての検討に基づくご提案・ご要望はないのでしょうか。

滝島委員、お願いします。

はい、ご質問を２つ承りました。

まず１つ目についてです。こちらについてはまず立てかえ払いになっております。具体的に幾つかありまして、１つはですけれども、これは非常にサービスレベルというところでございまして、ウェルネットとして立てかえができる部分については立てかえをするというスキームになっております。

しかしながら、その額によってはウェルネットとして立てかえができるには限度がございますので、そういった立てかえをする金額をあらかじめ聞いて、ウェルネットとして立てかえがいろいろな理由でできない、しづらいといった場合には、あらかじめ資金を預けていただく形になります。

当然のことながら、あらかじめ預けていただく資金については１００万以上であるわけにはいきませんので、こちらについては当社の口座ではなくて信託口座のほうに１００万以上の口座を預けていただくというスキームで運用をしております。

２つ目です。まず為替取引のところについてですけれども、今回そこについては、まずお示しはしておりません。協会の中でですけれども、為替取引の適用除外になるかどうかについての今のところ具体的な協議は、少なくともこの１年は触れていないというのが今の状況でございます。

ただ、為替取引の適用除外になるかどうかというところに、直接的にご説明になっているかどうかわかりませんけれども、当サービスが自主規制、ガイドラインを持って安全に使っていただくようなサービスであることを考えて、今先ほどもおっしゃったとおりにガイドライン等も設けてサービスを運用していこうという目的で会を設立して、サービスを運用しているというのが今の状況でございます。

以上です。

加毛委員、いいですか。

もう一つだけよろしいですか。

関連して実態を知りたいということなのですが、この「コンビニ現金受け取りサービス」を、ウェルネットは２０１３年１０月から開始しているということなのですけれども、ほかの業者でもサービスを行っているところは多いのでしょうか。それともウェルネットが業界に先駆けて独自になさっているということなのでしょうか。

滝島委員。

お答え申し上げます。コンビニについては、私が知っている限りは、今のところこういったお金を事業者にかわって委託を受けて、お金をお渡しすると、決済するというサービスをやっているのは、まずコンビニだけかなと思っています。

私どもでは資金決済法に基づいて資金移動業者として取り組んでいるのは、私ども含めて２社というのが今の状況です。

以上です。

よろしいですか。今のご発言に関連して、収納代行のサービスを提供している事業者の中で、資金移動業者としての登録をしているのは２社だけという意味で発言されたのでしょうか。

はい。今私が２社と申し上げたのは、こういったコンビニで現金受け取りサービスをするということを取り組んでいるのが２社という意味でお答えを申し上げました。補足ながら、私どもはいわゆる収納代行会社で、資金移動業者に登録している会社は当然２社以上ございます。

以上です。

はい。堀委員。

今の滝島委員からのご回答に少し補足してお伺いしたいと思います。

御社のほうで資金移動業者登録をとられている一方で、収納代行サービスも行われているということでありますけれども、どの範囲を資金移動業として申請されているのかという点をもう少し教えていただけますでしょうか。

滝島委員。

はい、お答えします。

まず、少しサービスの内容ですね、決済、これは入金ですね、コンビニ収納代行に代表されるような入金と送金に分けてご説明申し上げますと、この入金のところを払込票であるだとか、先ほど申し上げたペーパーレスでの決済方法につきましては対象としておりません。対象としておりますのは、あくまでも事業者にかわって、先ほど少し触れました立てかえ払いをしているところのサービスについて認可をとっているというところでございます。

以上です。

ということは、他のコンビニ業者の皆さんも入金に関する収納代行については、資金移動業者としての登録はしてないという状況なのでしょうか。

はい、各会社のちょっと細かいところまでは私も把握しておりませんが、少なくともコンビニ収納のサービスとして資金移動業者登録はしていないという認識でございます。

堀委員。

今のご回答はよくわかりました。実務上の、先日も何か問題点があるようであればお話ししてほしいという事務局からのご指摘もありましたので、１点申し上げさせていただきますと、私どもにご相談にいらっしゃる事業者の中で、資金移動業者登録をとってサービスを行いたいという希望を持っている事業者がおりますが、法人間送金についてこれを営もうといたしますと、１００万円の上限規制があるということで、事実上これはできないということになります。どうするのかといいますと、サービス提供自体を諦めるのか、あるいは収納代行という形で行うというように資金移動業者登録を諦めて、今制度整備が必ずしも明確化されていない収納代行の業態で営むということが行われることが現状の実務としてあるというふうに認識しております。

今後どうなるのかということを、先ほど滝島委員からも特に収納代行を適用除外とするということはご意見としてはないということですので、このまま議論されないことになるのか、あるいは平成２１年の金融審議会で先送りとなったことを、このスタディ・グループの場で再び議論されることになるのか。私としては、この場で、制度整備の必要があるということなのか、ないということなのかということを、いずれにしても明確にすべきではないかというのが個人的な意見でございます。

もう一つは、きちんと登録をとって資金移動業者で行いたいというような事業者につきましては、とりわけ法人間送金においては、１００万円の上限規制があるためにできない部分が、かなりの部分があるというふうに我々は認識しておりますので、これを銀行と同じようなレベルまで行えるようにするのかどうか、これはまた議論があるとは思いますが、こういったものも取り扱えるようにすべきではないかというのが私の個人的な意見でございまして、この上限規制のあり方についてもこの場で議論をしていただけないかと考えているところでございます。

以上です。

はい、どうもありがとうございました。資金決済法を立法したとき以来の大きい課題ですので、私も個人としてできればそういう問題をここで整理する議論をしたいと思っております。

ほかにございますでしょうか。

戸村委員、どうぞ。

ありがとうございます。ＦＩＳＣと日本銀行から来られた参考人の方々それぞれに１つずつ質問させていただきたいのですが、以前のご説明、他委員、他参考人のご説明で１つご指摘があったのは、日本というのは外為円決済制度と外国為替決済制度の二本立てでありまして、先進国の他の制度と比べると一つ特殊なありようを持っているというのが私の理解でありますけれども、それに付随して、外為円決済の手数料が送金額に従量制で課金されるような、少し高いものになっているというご指摘がどなたかからのご指摘であったかと思いますが、それに関連してＦＩＳＣ様の資料の９ページ目について質問させていただきたいんですが、細かい点ですけれども、このように２つのクリアリングシステムが二本立てであるということで、それによってここに勘定系、対外接続系、全銀システムとなっていますが、外為円決済制度、外国為替決済制度の二本立てのシステムのつながりが必要で、それがシステム設計上のコスト上、どのくらいのインパクトがあるのかというものをもしもご知識があれば、教えていただきたいのが私の質問です。

日本銀行から来られた岩下参考人に対しては、簡単な質問なのですが、日本にはゆうちょ銀行という他の普通銀行と成り立ちが違う銀行がありまして、ゆうちょのＩＴシステムもご説明にあったような理解で正しいのかという点について、質問させていただきたいと思います。

以上です。

それでは、米山参考人。

今いただいたご質問ですが、二本立てのシステムについてどのようなインパクトがあるかについては知見がございません。大変申しわけございません。

それでは、岩下参考人。

ちょっと越権になりますが、今の二本立てのシステムについてちょっとだけお話しします。私、以前そういう講演をしたことがありますので。

外国為替のシステムがSWIFTのネットワークを使ったもので、日本の国内は全銀システムの二本立てになっていることのコストについてのご質問ですが、実は日本国内のシステムを変えなくて済んだという意味においては、もしかしたらコストセービングになったのかもしれないのです。どっちかというとSWIFTのシステムは、これは先ほどのインターネットのイノベーションじゃないですけれども、結構それなりにイノベーションをするので、それに対応していくのが結構大変です。日本の銀行でも、いわゆる外為部門の人たちというのはSWIFTのネットワークに対応するために、それなりに一生懸命努力をしてシステムを組んでいます。こちらはいわゆるオープン系のシステムです。

ところが、日本の場合はそこが内・外が切り離されていたので、国内のシステムは国内システムで温存できて、海外のシステムは海外のシステムに対応するという、それは１つのメリットでした。ただ長い目で見ると、それの結果として国内のシステムのイノベーションがとまってしまったということが、もしかしたらデメリットだったかもしれないと思います。金銭的な、金額で幾らということは言えないのかもしれませんけれども。

それから、ゆうちょ銀行の話。ゆうちょ銀行のシステムはもともと銀行のシステムとは成り立ちが違うんですが、例えばゆうちょ銀行の口座番号とか店番の持ち方というのがそもそも全然違いまして、結果としてゆうちょ銀行以外の銀行とゆうちょ銀行との間で、システムを普通につなぐのはなかなか難しいということが、昔から議論がございました。

ただ、基本的に閉鎖系の中でセキュリティーを守ろうという発想はゆうちょ銀行も同じでございます。今、ゆうちょ銀行も銀行としての業務というものを、通常の銀行のほうにむしろ合わせてという形でやってきているというふうに私は理解しておりまして、その意味では、むしろかつてよりも差は縮まっているのかなというふうに思っています。

以上です。

はい。ほかにいかがでしょうか。森下委員、その後山上委員。

ありがとうございます。

まず滝島委員に１点、あとは国民生活センター様に１点、あとはＦＩＳＣ様に１点ございます。

まず滝島委員のご報告に関してなのですけれども、資料の８ページ、９ページの収納代行のスキームに関してなのですが、私の理解が正しいかどうかという点なのですが、これですとお客様からコンビニ店舗に支払われた時点で、一応お客様は債務が弁済したということになって、利用企業がその後のクレジットリスクを負担されていると。先ほど代理受領ということを明確にされているというお話があったと思うのですけれども、コンビニ、あるいは代行会社が万が一破綻したときのリスクというものは、利用企業が捉えているという理解でシステムが動いているのかという点について、確認をさせていただければと思います。

続けてでよろしいでしょうか。

はい、どうぞ。

あと国民生活センター様のご報告の資料の中で、１８ページにクレジットカードで１２０万円ものギフト券を購入したというふうなお話があったのですが、そういったものについて、ふと素朴に思うのは上限はないのだろうかということです。個人の方がクレジットカードを使って１２０万円もの電子的なギフト券を購入するというのはなかなかないような取引のような気もするのですけれども、そのようなことが一般的に行われるような環境なのか、そうではなくて何らかの歯どめがかかっているのかというようなことについて、もしご存じでしたら教えていただければと思います。

あとＦＩＳＣ様のご報告に関してなんですけれども、先ほど岩下様のお話の中で、銀行のシステムもオープンにしていくことが大事ではないかとのお話がありました。外部からの隔離によるセキュリティー確保という考え方については見直すということもあってはいいのではないかというようなご趣旨のご報告をいただいたかと思うのですけれども、今日添付していただきましたサイバー攻撃に対応する有識者検討会議の報告書の９ページを拝見しますと、インターネット環境と金融機関内システム環境との分離というようなことが内部対策という形で挙げられております。リテールを考えるかホールセールを考えるかということによってもひょっとして違うのかもしれませんけれども、このＦＩＳＣでの報告書における分離というのが有効な対策ではないかというような記載と、先ほどの岩下様のご報告と、どのような形で整合的に理解すればよいのかについて、教えていただければと思います。

以上です。

はい。それでは、まず滝島委員、お願いします。

ご質問は、この収納代金がコンビニを含め小売業、もしくは私どものような代行会社、決済会社が万が一何かあって、倒産を含む何かあったときの資金回収のリスクはどこにあるかというご質問というふうに理解をしております。こちらにつきましては、今現在利用企業様がリスクを負っていただくようなサービスになっております。

以上です。

ありがとうございました。

それは、そういうことが全て、顧客に対する約款等でも整備されているということでしょうか。

はい。ここは、契約につきましては収納会社個別ごとになりますので、全てというふうには言い切れませんが、例えば私どものウェルネットを例にとりますと、契約でそういうふうにうたっております。

以上です。

それでは、次に国民生活センターの鈴木参考人、お願いします。

では、お答えいたします。

ご質問のとおりクレジットカードはもちろん上限金額はあるのですけれども、要するに多くの方が何枚かクレジットカードを大概お持ちですので、それを使わせているということと、それからこの事例ではなかったのですけれども同じような相談で、カードを持っていない人に対して即日発行できるカードがありますので、そこに誘導してつくらせて払わせるという例もありました。ギフト券ももちろん上限があるのですけれども、それを何枚も買わせているというものです。

ありがとうございました。

それでは、米山参考人。

インターネット環境と金融機関内の行内のネットワークを分離するという対策については、この検討会報告書の２６ページにイメージ図を載せています。ここでは、基本的に勘定系というよりは、社内の情報系システム、ファイルサーバーやデータベースサーバーのある内部ネットワークと外部のインターネット接続環境を物理的に分離する、あるいは物理的にはつながっているが論理的に遮断していく対策について整理をしております。

勘定系についても、例えばインターネットバンキングを踏み台にして勘定系が攻撃されることも考えられますので、その辺りはきちんと分離することも含め、いろいろな対策が必要と考えています。

よろしいですか。それでは、岩下参考人、お願いします。

そうですね、私自身はオープンなネットワークに銀行も対応していくことが必要だよということは申し上げておりますけれども、銀行のシステムを全てオープンなネットワークにするべきだと申し上げているわけではありません。

ただ、どちらかというと今の銀行というのは、私も銀行に勤務して実態をよく知っておりますけれども、銀行の中のシステムは本当に完全にインターネットから切れているのです。銀行員の方にこのウェブページ見てくださいよと、いや、そのウェブページ見るのはちょっと特別な機械で見ないといけませんでみたいなことを言う方がいらっしゃって、ちょっとそれだと時代におくれちゃうのじゃないのみたいなことも多かったのですけれども、多分そういう意味ではインターネットは非常に怖いところであって、銀行のシステムはそれに比べると安全であるという、そこの落差がものすごく大きいのです。

ただ、インターネットのほうも徐々に安全に使える技術が発達してきていますし、むしろ銀行もいろいろな形でインターネットに近いビジネスをやっていかないと、利用者の期待に応えられないだろうと思います。そういう意味では、インターネットに対してもうちょっと親和的な形で日々の業務をやられシステムをつくられたら良い。インターネットに仮に接続していたとしても、例えばお客様の預金のところについてはしっかり守らなくちゃいけない。それはもちろんいろいろな形での守り方があるとは思いますけれども、それを工夫していこうということだと思います。必ずしも今の現実の対策としてのＦＩＳＣの答え方と、私が申し上げているような今後のあるべき姿としての銀行とは、必ずしも矛盾しないと思います。

よろしいですか。

皆さん、どうもありがとうございました。

ほかにいかがでしょうか。柏木委員、その後で沖田委員、お願いします。

今の議論に少々補足させていただくと、銀行の中でインターネットが閲覧できなくなっているというようなことは、現在は必ずしも一般的ではないというふうに認識しております。支店であっても、あるいは我々本部にいる人間であっても日常的にインターネットを利用しております。ただ、以前にも申し上げましたけれども、銀行は常にサイバー攻撃のリスクにさらされておりますので、その辺の対策というのはかなりしっかりとやっているということだと思います。

セキュリティーについてはいろいろ申し上げたいこともあるのですけれども、なかなか公の場で議論するのが難しいなというのが、実務方の我々の意見でございます。我々が何を考えているかというと３つでございます。１つは、安全性・安定性、それから安心であるということ。それからもう一つは、お客様の利便性を高めないといけないということ。もう一つはコストでございます。コストは結局誰かが負担するということになりますから、この３つは技術によってだんだんトレードオフは解消されていくのだと思いますので、岩下参考人ご指摘のとおり、新しい技術をどんどん取り入れていかないといけないと思いますけれども、３つのバランスをどのようにとっていくかということを考えつつ、日々やっております。

ですので、今日のような議論の中で方向性が見えてくれば、銀行もその方向に持っていきたいなと考えている次第です。

以上です。

沖田委員は今の岩下参考人のご発言に関連したご質問ですか、それとも別の。

独立した……。

独立した御質問ということでしたら、先に山上委員、お願いします。

いろいろご説明いただきましてありがとうございました。

特に岩下参考人のお話を伺っておりまして、金融のＩＴの、特にセキュリティーの現状というのが日本固有の経路依存性のあるものがあるのだなというような思いで聞いていたんですけれども、ただ、日本にずっといますとなかなかそれはわからないことではあります。

その中で、一方で、逆に日本が置いてけぼりを食ったような状況になってしまいますと、そのセキュリティーの脆弱性といいますか、国としての脆弱性が高まってしまって、それもまたうまくない方向なのかなと考えております。

その点、ＦＩＳＣ様のほうにお聞きしたいのですけれども、金融機関にとっての共通のよりどころとして基準をおつくりになってらっしゃる過程において、添付していただいた資料をざっと拝見したんですけれども、海外におけるセキュリティーのいろいろな試みのベストプラクティスのご紹介のようなものを拝見しているんですが、例えばもう少しそれを踏み越えて、基準自体をすり合わせたり、連携したりというようなことについてはどのような活動をされているかについてお聞きしたいと思います。

それでは、ＦＩＳＣの米山参考人、お願いします。

海外との連携というところでございますか。

はい、そうです。

海外との連携に関しましては、特にアジア各国での情報セキュリティーについて情報連携を行い、日本の安全対策との比較等を行っていく検討を進めているところです。

山上委員のご質問は、単にそういう障害だけではなくて、日本自身の基準として取り入れることを検討してないかという、そういうご質問ですかね。

取り入れるばかりでもないとは思うのですけれども、いいことがあれば出すというのもあると思っておりますが、そういう連携といいますか、すり合わせといいますか。

はい、当然のことながら日本の基準として取り入れるべきことがあれば検討を行って、きちんと取り入れていくということをやっていきたいと思っております。

髙木参考人お願いします。

先ほど日本のセキュリティーが置いてけぼりではないかというご質問がありましたけれども、セキュリティーの対策といいますのはやはり絶えず脅威とのバランスでございまして、皆さんご承知のように、従来は日本の場合は日本語という割と見えない壁がありましたので、結果的にそれに守られており、脅威が少なかったということが実態としてございます。

最近はその辺の壁がなくなってきており、犯人側も日本語をよくわかっています。日本語のできる犯人が出てきたということで、壁がなくなってまいりましたので、対策としては欧米と同じような対策を講じていかなければならず、結果的に従来の対策のレベルでいきますと、欧米のやっている対策に日本の銀行が追いついているということになります。このあたりは、サイバー攻撃につきましてはやはり欧米が進んでいるといいましょうか、先進的なことをやっておりまして、被害、脅威ともに欧米のほうが多くございまして、私ども、あるいは日本の銀行も海外の金融機関との連携ですとか、海外のこういった金融機関のセキュリティー団体との連携、あるいは先進事例の活用、情報共有、こういった観点につきましてここ最近急速に追いつきを図っていると、こういう状況でございます。

よろしいですか。

それでは、沖田委員、どうぞ。

岩下参考人にご意見をお伺いしたいのですけれども、ご説明にありましたような既存の金融機関ですね、つまり銀行がオープン化していく、変革化していくというのは、これ当然一つの世界的なトレンドだと思うのですけれども、もう一方のトレンドとして、いわゆるＯＴＴといいますか、既存の金融機関を基盤として使って、その上位にいろいろなアプリケーションですとかサービスを展開していくというものがございます。中でも触れられているのは、そのPayPalですとかApple Payですとか、あとは概念的には多分クレジットカードも古くは展開とするのだと思うのですけれども、そういったところももう一つの世界的なトレンドだと思うのですけれども、逆にそういった場合は日本の銀行が持たれている堅牢性ですとか、それから可用性の高さというところが基盤としてむしろ役に立つということです。

まとめますと、銀行自身が変革していくという部分と、逆にそういった上位のサービスと連携をしていくというところと、２つやり方があると思うのですけれども、もちろんどちらも正解・不正解ないのだと思いますけれども、例えば後者のようなアプローチの場合、特に今ですとそれに加えてもっとたくさんの先進的なイノベーションの事例が起きていると思うんですけれども、そういった方法をとることによっても、恐らくイノベーションという観点で日本が国際競争力を保つというところが可能になるんじゃないかと思います。

それから、自社デバイスの問題は内包するとは思いますけれども、中でも議論されていたような消費者の保護ですとか安全性という観点においても、有用な部分を保ち得るのじゃないかなというふうに思いまして、そういったいわゆるＯＴＴのサービスですとか、逆にそこは比較的規制を少し緩和してイノベーションを促進していくと、そういったアプローチもあると思うんですが、この点についてはいかがでしょうか。

岩下参考人、お願いします。

私もPayPal、Apple Pay、Facebook、Twitterといった勢力それ自体が金融機関にとって代わってしまうと脅威だなと思いますが、一方で、彼らは多くの場合に確かに既存の金融機関との協力によって金融サービスをやっています。ほかにも海外で幾つかそういう事例がありますので、ＯＴＴ的な話を日本の銀行はどう考えるかという話は１つ論点になると思うのですけれども、ただ一方で、多分日本の銀行の今のプロトコルだとＯＴＴに乗らないだろうと思います。まずそこは無理です。

多くの場合クレジットカードであれば、例えばApple Payであるとか、PayPalであるとかというものとリンクし得るので、そういうところには刺さるわけだと思いますけれども、日本の銀行のインターネットバンキングの仕様の上にさらに覆いかぶさって、何とか銀行のサービスで例えば家計簿の何かをつけますとか、そういうサービスをやりますということをやろうとしても、多分それは技術的にちょっとハードルが高いのと、そもそも銀行自身が、ここから先は例えば何とか銀行のサービスですとか、ここまでは別ですということをすごく意識している今の銀行のビジネスプラクティスですと非常に難しいだろうと思います。ただ、そうなると当然iPhone買った人はみんなApple Payを使いたいので、そうするとApple Payを使っちゃうとなると、どんどん日本の銀行のシステムが使われなくなってしまうという可能性があると思います。そういうふうになっちゃったときに、現に今なりそうなので、そこをどう考えるかというのが多分このスタディ・グループ全体のテーマなのだろうと思います。

ただ、私自身は日本の銀行のシステムもそういうものと親和性を高くした上で、そういうサービスも十分に使い得るような形に日本の金融界が変わっていくことが必要だと思います。その上でさらに、日本の国内でもし使うのであれば、何もそんなオーバーザトップ（ＯＴＴ）の人たちが提供しているサービスだけを前提とするべきではなくて、日本の銀行が勝てる世界も十分あると思います。ただもしそういう努力をしないと、全部オーバーザトップに取られちゃうだろうという感じはします。

加毛委員、どうぞ。

お時間ないところ申しわけありません。

滝島委員に対して、先ほど森下委員の質問、代理受領権限との関係についてご質問を差し上げます。

収納代行業に対する規制が必要なのかという問題を考える前提として、今実情がどうなっているのだろうか、あるいは業界としての見通しがどうなのだろうかということを伺いたいと思います。資料８ページ、９ページあたりでは「利用企業様」という言葉が出てきます。もちろん現在の仕組みは「事業者」の代金の収納を代行しているのだと思います。ただ、この「利用企業様」のところに事業者でない消費者が立つということが現在でもあるのだろうか、または将来の展望として、消費者の代金収納を行うという形でのサービス展開を業界として考えているのだろうかということを伺えればと思います。

滝島委員。

はい。ご説明します。

この資料で書いた利用企業のところについてです。当協会でそこの部分について今具体的な協議はしておりませんが、私が考えるところというところでご説明させてください。

まず、利用企業について今、加毛委員からもありましたように、いわゆる法人ではなくて一般消費者を含むどういった対象者が含まれるかというところですが、私が把握しているのに幾つかのパターンがあるかなと思っていまして、いわゆる店子を管理するようなプラットフォームを提供している事業者、その先にもまた利用企業があるというところであるだとか、昨今よく取扱量が増えているといわれているＣ２Ｃをやっているプラットフォーマーであるだとか、もちろんのこと今触れましたとおり、いわゆる個人が本当に個人レベルで何か物を売るというようなところは、全て可能性だけで申し上げれば入ってくると思っています。

ただ、私どもウェルネットとしての取り組みとしましては、今のところここの利用企業については申請ベースでやっておりまして、事業内容を見て利用の可否をさせていただくというところで対策を打っております。

以上です。

よろしいですか。加毛委員。

質問の趣旨をもう少し明確化しますと、プラットフォーマーが介在する場合に、それを利用した消費者が倒産リスクなどを負担する可能性があるのでしょうか。今のお話によれば、消費者が売り手としてプラットフォーマーを利用した場合には、中間に事業者としてのプラットフォーマーが介在するので、保護が与えられるようにも思われたのですが、そのあたりはいかがでしょうか。

滝島委員。

可能性だけの話でいいますと、消費者がその責任を負うケースはあり得るというふうに考えております。ちょっとこれ、少し質問に対して答えをずらしてお答えするつもりでいるわけではありませんけれども、例えばそういったプラットフォーマー、Ｃ２Ｃの取引については、コンビニ収納を代表するような収納以外にもクレジットの決済なんかもあるかと思いますけれども、私の知っている限りではクレジットカード会社なんかもこういったＣ２Ｃの取り扱いについては、取り扱いを認めないというようなことをして、少し取り扱っている企業が、今お話のあった倒産リスクがあるかないかも含めて見ながら、サービスを提供しているのが今の実情でございます。

よろしいですか。

ほかに。松井委員どうぞ。

終わりの間際に申しわけございません。

１点だけ岩下様に確認でお伺いしたいと思います。金融機関が古いシステムを使っているということの問題点として、イノベーションを阻害しているとの観点からご指摘があったのですが、同時にセキュリティーの観点からも問題があるというご趣旨でしょうか。

なぜこういう質問を差し上げているかと申しますと、イノベーションが問題であれば、それは端的にイノベーションをしてくれたほうが好ましいという話になるのですけれども、セキュリティーの問題であれば、これは金融監督等でチェックをしていかなければならないという話にもなりますので、どちらに基本的な重点があるのかということです。もしセキュリティーについても多々問題があるということであれば、これは今後の金融検査であるとか金融監督の問題としてはね返ってくるのではないかと、そんな感じもいたしましたので、この点だけ確認させていただければと思います。

岩下委員。

かしこまりました。

どちらが重要か、主眼かというのはちょっと答えにくい質問です。どういうことかというと、これまで古いシステムを使って、古いセキュリティー対策をやってきました。典型的にはＡＴＭに磁気ストライプカードで４桁の暗証番号ですと。これは古いセキュリティー技術で、古いシステムですと。それを使っている限りは、これまで３０年、４０年、それなりに安全に、時々偽造カード事件が起こりましたけれども、安全に使ってこられたじゃないかと。あるいは銀行の内部に閉じている決済の仕組みであれば、全銀システムであれば、これまで不正な侵入とかということはこれまでなくて、大きなトラブルはなかったではないかという説明はできるわけです。つまり、古いシステムを古いセキュリティーで使っていて、これまでどおりのことをやっているのであれば、それはこれまでの検査等においても特段問題はなかったという判断であれば、それはそれで問題ないのでしょうと。

新しい攻撃手段ができてきたからといって、特に物理的にセグメントを分けている世界において、それを攻撃するのはそう簡単なことではありませんから、できないことはないのですけれども、そういう意味では古いシステムは古いシステムの限りにおいて使っていて、その中で使われているセキュリティーが古いからといって、それが直ちにすごく大きな問題かというと、それは例えば偽造カードのような外に出ている分に問題が出てくる以外は大丈夫でしょうと。

ただ、問題はそういう古いシステム、古い設計思想、security through obscurityの発想のままオープンなネットワークでイノベーションしようとすると、その途端にセキュリティーの問題が出てきちゃいますと。だから、セキュリティーの問題を解決しながらイノベーションをしないといけないのですという、そういう感じだと捉えていただければと思います。

よろしいでしょうか。

松井委員。

そうしますと、金融機関としては新しいシステムに接続さえしなければセキュリティーの問題は生じないので、そこはむしろ安泰であるということにもなってしまいそうですね。そこがやはり問題であるということなのでしょうか。

金融機関として新しいシステムに入っていかない理由が、まさにそういうセキュリティー上の新たな投資が必要になるから、あるいは非常にコストがかかるからという点とすると、これはなかなか対策が難しいですね。要は金融機関に投資をさせるという話になるので、そのあたりがやはり問題だという認識でいればよいのでしょうか。

おっしゃるとおりだと思いますね。

よろしいでしょうか。

柏木委員。

今の話に関連してなんですけれども、古いシステムというところについては少々こだわりがございまして、個別行の話になってしまいますけれども、システム的には必ず更改の時期が来ます。そのときには最新の技術を調べて、どういうシステムにすべきかというのはどこの銀行も恐らくやっていることであります。その中で可用性の問題ですね、リアルタイムでこれだけ大量のトランザクションをお客様にご迷惑をかけずにやる、あるいはダウンタイムが起きますと、お客様の生活に影響を与えてしまうということも加味して、どのテクノロジーをその時点で採用するかというのを決めているということでありますので、ずっと同じシステムを３０年間使い続けているわけでも全くないというのが１つ。

それからもう一つは、先ほどＦＩＳＣの資料にありましたけれども、勘定系のところは割とメインフレームの率が高いかもしれませんが、それでもオープン化が進んできています。それから、勘定系の周りのところに関して言えば、かなりオープン化が進んでいて、新しい技術、コストが安い技術を採用してきているということだと思っております。

以上です。

はい、よろしいでしょうか。

特になければ、時間でございますので、自由討議を終わらせていただきます。

本日いただきましたご説明やご意見等を踏まえ、引き続き検討を進めていきたいと思います。

なお、次回は決済に係るアジアを中心としたグローバルな連携協力、及び電子記録債権の普及状況等についてご審議いただいた後、これまでのスタディ・グループの議論を踏まえた自由討議を行いたいと考えております。

最後に事務局から連絡事項がございましたら、お願いします。

それでは、私のほうからスケジュールについてご説明を申し上げます。

次回、第８回の会合は既にご案内していますとおり、１２月１６日火曜日、１５時３０分から１８時ごろを一応の目途として考えております。ただ、今、座長からお話がございましたとおり、次回の会合では、最後にこれまでの年内のスタディ・グループの議論を踏まえた自由討議を予定しておりまして、若干時間が延長される可能性もあろうかと考えております。

したがいまして、一応１８時ごろを終了の目途としておりますが、場合によっては最大で１９時ぐらいまで延長の可能性があるということはお含みいただければ幸いと考えております。

年明け以降の予定につきましては、また改めまして事務局からご案内を申し上げます。

以上でございます。

それでは、以上をもちまして本日のスタディ・グループを終了させていただきます。

どうもありがとうございました。