法人向けネットバンクの補償指針 (全銀協が発表)

平成26年7月18日付日経新聞の記事です。全銀協が、予定通りに法人向け補償のガイドライン(正確には考え方)を公開しました。今でも損害保険を使って補償する銀行がありますが、業界としての統一基準がなく、協会として検討してきました。特に、今年になって、法人向けでの被害が急増したことから、統一基準を求める声が大きかったそうです。

全銀協は17日に会員銀行に向けて、補償の考え方とセキュリティ対策事例等に関する申し合わせを通知しました。指針とかガイドラインという表現は使っていません。個人向けの補償は、預金者保護法という根拠法があるので業界統一基準を作ることに問題ありませんでしたが、法人向けには根拠となる法律がないので、独禁法に抵触する可能性があり、参考までの考え方として、具体的には各行個別に判断して下さいということです。独禁法以外にも制約があったようです。それは、金融取引に精通し、かつ、IT専門家を抱える企業取引の場合、悪意のある取引先や杜撰な取引先の存在も否定できず、取引額が大きいこともあり、一律に対応すると被害補償に歯止めが効かなくなる危険性が考えられます。

今回の原則的な考え方として、「銀行に法的責任がない場合でも、継続的なサービス提供や経営戦略の観点から合理性があるとして法人向け補償を行う判断もある。」としています。これは、銀行株主等に対する説明を代弁した表現でしょう。旨いものです。ただし、その前提として、銀行と法人取引先に、十分なセキュリティ対策の実施を求めています。これが統一基準の代替となります。少なくとも、この申し合わせ事項に準拠すれば、対顧客と対株主、そして、対金融庁で必要最低限の管理注意義務を充たしたと言いたいのでしょう。仮に、訴訟になった際に、裁判所が善管注意義務を果たしたと認定してくれるかどうかは判りませんが。

前提条件となる、顧客側対策は、最新版ソフトの利用、サポート切れソフトやブラウザを使用しない、セキュリティ対策ソフトの継続的更新など11項目を必須(という表現は使っていない)と推奨に区分して列挙しています。いずれも、もっともな項目ですが、利用者の中には「こんな面倒なことをやっておられるか。」とか、実際に被害にあった際に、これら11の対策を実施していたか否かを、どのように誰が判定するのかといった問題もでてくるでしょう。詳しくは、全銀協のサイトで確認して下さい。

筆者が気になったのは、銀行側の対策に関してのことです。
電子証明書、OTPや二経路など認証方法の強化、セキュリティ対策ソフトの提供、即時振込の停止などは、現在も実施する金融機関がありますが、殆どの銀行が未対応というか検討してもいない対策も含んでいます。トランザクション認証、リスクベース認証、取引先のセキュリティ・レベルに応じたサービス提供などです。各金融機関は、ネットバンキング委託先のNTTデータ、IBM、日立などに情報提供や費用感を打診することでしょう。

マイクロセグメント化したセキュリティ対策は、各金融機関の客層や営業ポリシー、セキュリティ・ポリシーによって組合せが千差万別となる筈です。ベンダーも組み合わせ判断に困るでしょうが、何よりもセキュリティのカストマイズですから、導入だけでなく運用の複雑化します。最大公約数的機能が前提の共同システムに最少公倍数的機能を求めることになります。見積り価格は、金融機関の想像を大幅に超えるでしょう。さりとて、個別に自社システム化できる銀行は、殆どありません。セキュリティ担当者だけでなく、経営陣も途方にくれることでしょう。その点、ネット専業銀行の大半は、悠然たるものでしょう。既に対応済みか、実施するとしても共同システムに比べれば、簡単に速く実施できます。その分、費用も抑えられます。何よりも、取引先のセキュリティ・リテラシーを上げる努力をしてきたのが強みです。多くの銀行は、「ウチのネットバンキングは対策が行き届いているので安心です。」としか言ってきませんでした。

今回の協会申し合せは、技術的対策については、特段新しいものはなく、むしろ、これまで面倒で費用がかかるとして、対応してこなかった対策を並べています。しかし、攻撃側は、新たな攻撃方法を開発して、防御に弱い銀行を狙ってくるでしょう。良かったと思うことは、利用側のリテラシー重要性と具体的対策を明確にしたことです。それを具体的に顧客取引先に説明できる担当者がいるかは課題ですが。

今年5月9日迄の法人被害は、4億8千万円だそうです。このまま増えると今年は12億円超となるかもしれません。しかし、今回の申し合わせを全金融機関(昨年3月で法人向けネットバンキング提供行は464社)が忠実に実施すれば、軽く1千億円を越える投資になるでしょう。誰が喜ぶのか、全く妙な話になります。12億円持って行け!その替わり、セキュリティ投資はしないと言いたくなるところです。日経新聞は、中小零細企業の被害が増えていることから、地域金融機関の対応を急がせる内容の記事を書いていました。何も、全金融機関が同じような対策を取る必要はないと思うのですが。

例えば、資金移動だけでも、人間の操作を介在(コールセンター等)させて、利便性を落とせば(即時性を放棄するなど)、全自動対応のセキュリティ対策は不要となります。IDとPWによる認証方法も既に限界です。今のセキュリティ対策はIDとPWの奪い合いです。中小金融機関こそ、顔や声紋などの生体認証や携帯電話を使った2経路認証にジャンプすべきでしょう。後は、保険をうまく使うことです。

こう考えると、やはり銀行経営者のITリテラシーというか、基礎知識がネックとなります。判らないから、競合他社と同じことをやって安心しようとする。昔、ビートたけしの漫談で、夜道に落し物をした人が、暗くて見えないからと、離れた街路灯の下で捜すという話がありました。同じ構図に思えます。

                                   (平成26年7月23日 島田 直貴)