金融IT犯罪発生状況 (金融庁が4〜6月度集計結果を公表)

平成26年10月23日に金融庁が、「偽造キャッシュカード等による被害発生等の状況」を公開しました。どういう訳かメディアは全く報道していません。警察庁の発表に比べると3カ月近く遅いからでしょうか?恐らくは、警察庁担当の社会部記者がこのテーマを担当しており、金融庁関連の情報に疎いのだろうと推察します。まして、標題が「ネットバンキング不正送金の被害状況」ではなく、偽造カードですからマスコミの関心を呼ぶことはないでしょう。振込め詐欺もそうですが、この種の犯罪に名前をつけるのは難しい。お母さん助けて詐欺と言っても何の事だかわからず、昔の振込め詐欺だと言って、ようやく通じるのと同じでしょう。

金融庁の資料は、各金融機関からの報告に基づくので、警察庁とは数値は一致しません。しかし、傾向は同じですし、業態別の件数や被害額が公表されます。金融機関による補償状況を公開するのが、当初の目的だったようですが、今では補償率に関心を示す人は限られます。平成18年2月に預金者保護法が施行され、金融機関に被害補償が求められましたが、この法律成立には合理的とは言えない背景がありました。

銀行が顧客に貸与するキャッシュカードが偽造されて被害が発生した際に、約款等に基づき銀行に法的責任はないとした金融業界を消費者団体や学者、メディアがこぞって袋叩きにし、国会議員達もその流れに便乗してできた法律と筆者は理解しています。国会などの様々な委員会に銀行の代表者が呼ばれて、一方的かつ集中的に非難を浴びながら、どうするのだと問い詰められます。個別銀行の頭取であれば、当行はこうしますと言えるでしょうが、決定権も強制力もない協会会長行や協会の委員会委員長が独断で業界全体に係わる施策を即断して口にできる訳がありません。そんな事情を知りながら、銀行代表者を袋叩きにする議員達の姿にメデァ記者達が、違和感を抱いていたことを覚えています。某会長行が最初に、銀行には責任がないと本音を言ってしまったのがきっかけでした。全く世の中の空気を見ないで、世間(この意味定義は難しい。)を敵に廻した代償は余りに大きかったということです。

さて、今回のレポートですが、詳しくは金融庁のサイトでご確認頂くとして、最近話題のネットバンキングです。25年度1948件だった被害が、4−6月は489件でした。単純に4倍すると1956件ですから、横ばいです。しかし、業態別で、かつ、四半期別で昨年と比較すると大きな違いがあります。昨年4−6月被害件数178件が今年は489件と大きく増加しています。中でも地銀は4件から50件に、信金は0から18件に増えています。大手銀は伸び率こそ地銀信金より低いものの173件が416件になっています。この伸びでいくと、今年度は5千件程度に増えることになります。平均被害額157万円を乗じると総額78億5千万円となります。昨年度は総額22億円の被害でした。個人の被害も2倍以上に増えていますが、法人の被害が11件から55件と5倍増です。一件当たり被害額も154万円から562万円と3.6倍です。特に地銀での被害急増が顕著で1件から24件になっています。

地銀界では、OTP採用や都度振込や即日取引を停止することで被害防止に努めていますが、顧客企業側のセキュリティ対策が不備なことが多く、利便性を犠牲にするような取引制限に頼らざるをえません。一方、これまで安易に利便性を強調して拡販したことや、共同ネットバンキング業者に対策を依存し過ぎたことを非難されても仕方ない面があります。ネット専業銀行などでは、法人顧客数が少ないというよりは、ITリテラシーの高い企業が多いこと、銀行が比較的高度なセキュリティ対策を施しているなどの理由で、公表された法人被害は殆どありません。金融機関も顧客のリテラシーを判別して営業活動を行う必要が出てきました。これまでのような、全顧客同一のサービスは無理な時代に入ったということでしょう。

筆者は、たかが年10数億のネットバンキング被害に、全金融機関で年百億単位の対策費を投じるのは不合理なので、セキュリティ投資を止めて保険を使った方が良いと言っています。半分以上は冗談ですが、本気にそう考える面もあります。しかし、最近、驚くような調査結果を見ました。米国連邦準備制度の報告書「2013Federal Reserve Payment Study」です。2012年度の決済動向に関する調査レポートで、3年毎に実施されています。今回のレポートでは初めて不正取引被害を調査しています。クレジットカードやATM関連、そしてネット取引(ACH取引),小切手の合計です。総計では実に31.1百万件の不正取引があり、6.1B$の被害だったそうです。わが国では昨年度で合計5791件、39億円ですから、余りに桁違いです。

ネット関連不正で比べると(定義は同じではありません。日本はネットバンキングだけを対象とし、米国はACH犯罪ですから必ずしも預金口座だけが犯罪対象ではないと思われます。)米国では160万件で被害額12億ドルと言いますから、円換算1300億円程度となります。米経済規模は17兆ドル(1800兆円強)ですから、日本がその28%だと計算すると、年362億円程がネット関連被害額となります。こうなると日本の顧客は、米国にようには銀行を許してくれないでしょう。またまた、社会的大問題となり、銀行が袋叩きに合って、全ての負担を押し付けられます。

その事態を逃れる方法は、@ 銀行免許を返却してノンバンクになる。 A ネットバンクを止める。 B セキュリティ・リテラシーのある顧客だけに提供する。リテラシーの低い顧客の手数料を高くする方法もある。 C セキュリティ対策と保険によるリスク負担の最適化を見出す。 D 経済合理性の追求を抑えて、考えられるセキュリティ対策を全て打ち、それでも破られるリスクに備える。

筆者は、認証の仕組みをID&PWから抜けだし、金額や時間などの取引制限をメニュー化し取引認証と組み合わせることが実効性を期待できる方法かと思っています。それを実現するには、少なくとも3〜5年はかかるでしょう。銀行員の不得意とする移行(Transit)戦略が課題となりそうです。

                                  (平成26年10月30日 島田 直貴)