行政書士トーラス総合法務事務所トーラス・フィナンシャルコンサルティング株式会社

サイバーセキュリティ関連改正

  3. サイバーセキュリティ関連改正

2025/07/30

インターネット取引のセキュリティ対策

金融庁は、2025年7月15日付で「金融商品取引業者等向けの総合的な監督指針」等の一部改正(案)を公表しました。同改正案は、社会問題化した、一連の証券会社のインターネット取引サービへの不正アクセス及び不正取引の被害が多発に対応して、証券会社をはじめとする金融商品取引業者等に対して、インターネット取引における認証方法や不正防止策を強化することを求めるものです。

詳細は、こちらの新旧対照表をご覧ください。

とりわけ、第一種金融商品取引業者及び第二種金融商品取引業者で、インターネット取引を提供している事業者はその内容に注意を払って対応する必要があります。

以下、注目箇所を抜粋すると、金融庁は、事業者に対して「金融ISACやJPCERT/CC等の情報共有機関等を活用して、犯罪の発生状況や犯罪手口に関する情報の提供・収集を行うとともに、有効な対応策等を共有し、自らの顧客や業務の特性に応じた検討を行った上で、今後発生が懸念される犯罪手口への対応も考慮し、必要な態勢の整備に努め」ることを求めるほか、「「金融分野におけるサイバーセキュリティに関するガイドライン」や日本証券業協会の「インターネット取引における不正アクセス等防止に向けたガイドライン」等も踏まえ、提供するサービスの内容に応じた適切なセキュリティ対策を講じ」るよう求めています。

また、具体的な技術的仕様としては以下のような内容が具体的に提示されています。

・フィッシング詐欺対策については、メールや SMS(ショートメッセージサービス)内にパスワード入力を促すページのURL やログインリンクを記載しない。

・利用者がアクセスしているサイトが真正なサイトであることの証明を確認できるような措置を講じる、送信ドメイン認証技術の計画的な導入、フィッシングサイトの閉鎖依頼等、提供するサービスの内容に応じた適切な不正防止策を講じる。

・ログイン、出金、出金先銀行口座の変更など、重要な操作時におけるフィッシングに耐性のある多要素認証の実装及び必須化(デフォルトとして設定)

・顧客が身に覚えのない第三者による不正なログイン・取引・出金・出金先口座変更を早期に検知するため、電子メール等により、顧客に通知を送信する機能の提供

・ 認証に連続して失敗した場合、ログインを停止するアカウント・ロックの自動発動機能の実装及び必須化

・ 顧客のログイン時の挙動の分析による不正アクセスの検知(ログイン時の振る舞い検知)及び事後検証に資するログイン・取引時の情報の保存の実施

・不正アクセスの評価に応じて追加の本人認証を実施するほか、当該不正が疑われるアクセスの適時遮断、不正アクセス元からのアクセスのブロック等の対応の実施

・ その他、日本証券業協会の「インターネット取引における不正アクセス等防止に向けたガイドライン」においてスタンダード(着実に実行する必要があるもの)とされた措置の実施

また、ベストプラクティスとして以下のような項目も記載されています。

・取引時や他の銀行口座との連携サービス提供時におけるフィッシングに耐性のある多要素認証の提供

・ 取引金額の上限や購入可能商品の範囲を顧客が設定できる機能の提供

・ 不正なログイン・異常な取引等を検知し、速やかに利用者に連絡する体制の整備

・ その他、日本証券業協会の「インターネット取引における不正アクセス等防止に向けたガイドライン」においてベストプラクティス(対応することが望ましいもの)とされた措置の実施

顧客対応や問題発生時の報告等に関しても、監督指針案では具体的な要件や手続が詳しく示されています。関係する金融商品取引業者は、内容をよく確認して対応する必要があります。

eKYCのマイナンバーカード一本化(運転免許証の利用廃止)

2025年7月16日付の報道によれば、金融庁が銀行業界に対し、預金口座をオンラインや郵送で開設する際、運転免許証の画像で行う本人確認手続きを早期に廃止するよう要請したとのことです。

同報道では、運転免許証等でのオンラインでの本人確認について原則廃止予定だった2027年4月を待たず、金融庁は成り済まし防止機能が高いマイナンバーカードの活用を促すとしています。

金融商品取引業者も銀行と同じく金融庁の所管する特定事業者ですので、今後、同様に取引時確認に際してのeKYCのマイナンバーカード一本化を進めるように通知されるものと見られます。

金融庁は銀行に対して「可及的速やかな対応」を求めているとしています。非対面取引を提供する金融商品取引業者等は、マイナカードのICチップ情報に対応したシステムの導入を急ぐ必要があります。

運転免許証等を利用する旧来型のeKYCは、平成30年11月30日の犯罪収益移転防止法改正で導入された、まだ歴史が浅い制度です。制度の導入当時は、各社とも多額の費用をかけて、競ってシステムを導入又は開発したものですが、思ったより早く陳腐化してしまいました。

お気軽にお問い合わせください

お電話無料相談窓口 03-6434-7184 受付時間 : 9:00 -17:00 営業曜日 : 月〜金(除祝日)
メール無料相談窓口メールでのご相談はこちらをクリック