2020/09/18
金融庁から、令和2年9月15日付で、資金移動業者の決済サービスを通じた銀行口座からの不正出金に関する対応について、令和2年9月17日付で、オンライン取引サービスを顧客に提供する金融商品取引業者におけるシステムリスク管理態勢の自主点検及び顧客被害の発生状況の確認についてが公表されています。
今月になって明らかになった、モバイル事業者の支払サービス(資金移動業)における連携口座での不正出金及び大手証券会社における証券口座から架空銀行口座への不正出金問題に対応したものです。
一連の事案では、昨年発生したセブンペイの問題とあわせ、大手事業者の提供するものであっても、オンライン金融サービスは、多くの技術的な脆弱性を抱えていることが明らかになりました。
モバイル支払サービス事案の問題点は、資金移動業者としての本人確認の不十分及び銀行口座との連携の技術的脆弱性に起因しているとされます。また、大手証券会社の事案に関しては、IDPASSの漏洩と、出金先銀行口座の架空口座が原因であると報じられています。
とりわけ後者は、現在の金融機関の一般的な取引システムと比して特筆すべき不備があったわけではなく、架空銀行口座という外部的な問題により発生した不正出金ですので、同社を責めることはできません。本事案では、個別の事業者の責任を問うよりも、規制枠組み自体の検証が必要であると考えます。
個人的には、これら問題は、不正アクセスに対する技術的な検証が不十分なまま、サービスをローンチできてしまう規制構造にあると考えます。こうした金融サービスにおいては、法令又は自主団体規則に技術的にクリアすべき事項が具体的に定まっていません。
一般に、オンライン取引では、顧客のIDPASSの漏洩は避けることができないと考えられます。そのため、オンライン金融サービスは、IDPASSが漏洩しても安全であることを基本的な設計として構築する必要があります。
事業者に生体認証、二段階認証、サービス間の連携時の確認記録の照合等の有効性の高い技術的な安全措置を講ずる具体的な義務を課し、自主規制団体等の主導でそれを技術的な観点から検証する枠組みを構築できれば、こうした問題が発生するリスクは大きく低減するものと考えられます。
とりわけ、今回脆弱性が明らかになった複数金融サービス間の連携に関しては、金融サービス間の不正アクセス抑止の観点からの有効な連携のあり方について整理すべきだと考えます。複数サービス間の連携はシステムの脆弱性となっていますが、サービス間の有効な連携がなされれば、実際には単体サービスよりも不正アクセスに対する耐性を向上することは可能であると考えます。
また、今回不十分さが指摘されている本人確認に関しては、現在の犯罪収益移転防止法の枠組みに限界があると考えます。犯罪収益移転防止法は、AML/CFT(マネーロンダリング及びテロ資金供与防止)に重点を置いており、純粋な経済犯罪である(もっとも不正アクセスの背後には一部政府の関与も指摘されていますが。)ハッキングへの対策を念頭に置いたものではありません。
また、取引時確認手法に関しては、従来の紙ベースによる非対面の取引時確認は偽造に対して極めて脆弱です。既に政府の議論に挙がっている事項ではありますが、e-KYCの導入強化や横断的で一元的な取引時確認の実施等、規制体系自体をより進化させていく必要があると考えます。