Civil Watchdog in Japan

情報セキュリティ強化、消費者保護、情報デバイド阻止等、電子政府の更なる課題等、わが国のIT社会施策を国際的な情報に基づき「民の立場」で提言

Friday, July 21, 2006

米国のOCC等が連名で「なりすまし詐欺」阻止に関する「FACT法」の解釈ガイドライン等草案を公表

7月18日付で連邦財務省通貨監督庁(OCC)、連邦預金保険公社(FDIC)、連邦準備制度理事会(FRB)等は連名で「なりすまし詐欺(Identity Theft)」の阻止に関する「2003年信用取引の公正・適正化に関する法律(the Fair and Accurate Credit Transactions Act of 2003)」114条、315条の①金融機関向け適用・解釈ガイドライン、②金融機関のガイドライン適用時の監督機関の規則、③金融機関の取締役会等も含む組織的対応プログラムのあり方等に関する草案を公表した(コメント期間は9月18日まで)。
全文で96頁にわたるため詳細は省略し、本草案策定の背景や目的、さらに全体の構成、留意すべき点のみ紹介する。(筆者注1)
また、特に興味深い点は「なりすまし詐欺」につながる「予兆」をいかに口座開設や住所変更等と関連付けるかといったことや金融機関等の「なりすまし」のリスク判断にかかる時間や費用面の試算を行うなど実証的な観点に重点を置いていることである。
なお、なりすまし詐欺問題は、金融庁が7月13日に公表した「情報セキュリティに関する検討会」の共通認識のうち、インターネット・バンキングで問題となりうる点であり、一方別の機会に紹介するが、英米日の金融機関ですでに導入している「トークン型ワンタイムパスワード」システムの脆弱性を狙った「Phishing」がシティバンクのシティ・ビジネスの顧客に対して発生している。る。今後も、金融界は限りないもぐらたたきを続けなければならないであろう。

1.FACT Act の114条のガイドライン策定の背景(5以下)
FACT Act(Pub.L.108-159(2003))は「1970年公正信用報告法(Fair Credit Reporting Act)」になりすまし詐欺の捜査、阻止および緩和に関する新たな規定を加えた。同法114条は金融監督機関に対し次のような具体的対応を求めている。
(1)金融機関に口座を開設したり、与信業者から信用供与を受けている顧客に関するなりすまし詐欺についての監督機関連名のガイドラインの策定。
 (2)前記ガイドラインの策定にあたり、監督機関はなりすましのパターン、実行行動、や特定の行動形態を特定しなければならない。
 (3)ガイドラインは、必要に応じ見直しまた「愛国者法(PATRIOT Act)」326条に定める方針や手続きに合致しない内容は禁止される。
 (4)ガイドラインの内容は、過去2年間における不活性口座(睡眠口座)において取引が発生した場合に、金融機関に対し顧客への適正な通知に関する方針や手続を遵守させ、また実際になりすましの発生を減じさせる効果のある考えで臨むよう配慮したものでなければならない。
 (5)監督機関は、上記の金融機関の対応を徹底させるための連名の規則を策定しなければならない。
 (6)前記連名規則は、クレジットカードやデビットカードの発行者が住所変更手続の要求を受けた場合のその有効性の調査を行うことについての規定を含まねばならない。特に、カード発行者が既存口座につき短期間(少なくとも30日以内 )に住所の追加や変更手続の要請を受けた場合、なりすまし詐欺を阻止するための合理的な方針や手続を準備しなければならない。すなわち、発行者は以下の場合以外はカードの発行が禁じられる。①カード保有者から旧住所における手続き要求がありかつ誤った住所における緊急信用報告の提供について通知すること、②変更要求するカード保有者に対し、かつて発行者と保有者間で合意した通信手段によって通知すること、③発行者が共同規則の内容に従い、作成した合理的な方針や手続に従って住所変更の有効性を査定することである。
 これを受け、具体的には金融監督機関は、①金融機関の対応要件を定める「 Red Flag Regulation」の策定、②各金融機関におけるなりすまし詐欺阻止プログラム策定、③なりすましのパターンや実行行動からみたリスクの程度についてのデータの提供(「Red Flag Regulations 」または「附則(Appendix)J」)に即した責任が求められる。

2.Red Flag Regulationsの草案(6以下)
(1)114条に基づき金融監督機関は、過去に銀行監督機関により策定された「監督機関共通情報セキュリティ規格に関するガイドライン(Interagency Guidelines Establishing Information Security Standards)」等の取組みに準じた弾力的なリスク判断に基づく草案を策定しなければならない。同規則に基づき、個別金融機関が作成する遵守プログラムには次の内容が含まれなければならない。
 ①顧客のなりすまし被害の阻止や金融機関(与信業者を含む)の安全性、健全性を確保するための「Red Flag」手続の確認。
 ②新規口座開設時の本人確認手続の厳格性の確認。
 ③「Red Flag」がなりすまし詐欺リスクの捜査時の証拠となりうるか否かの調査。
 ④予想されるリスクに比例した「なりすましリスク」の緩和策。
 ⑤対応プログラムに関する役職員の研修。
 ⑥海外のサービス提供部門との調整。

(2)Red Flag Regulationsの逐条解説(詳細内容は略す)(7以下)
 ①90条:なりすまし詐欺の捜査、阻止および軽減に関する義務(口座(account)(8)、金融機関の取締役会(8以下)、顧客(9)、なりすまし(9)、Red Flag(9以下)、サービス提供業者(10)、なりすまし阻止プログラム(10以下)および同プログラムの開発・適用(11以下) 等の用語の定義にかかる条文)
②附則J:114条を受けてRed Flagの対象となるリスク度の高い指標を列挙している。

(3)カード発行業者の住所変更手続き時の確認義務(規則草案91条)(17以下)
 カード保有者などの定義、一般的要求内容、保有者への通知様式を定める。

3.FACT Act 315条の内容(18以下)
(1)同条は、全米レベルの個人信用情報機関(FCR Act 603条(p)の列挙)に対し、地域社会再投資法(Community Reinvestment Act)(筆者注2)の消費者ファイルの住所と大幅に不一致がある場合、その旨を通知しなくてはならないと定める。また同条は監督機関がユーザーが住所不一致の通知を受け取った際、消費者信用情報のユーザーが採用すべき合理的な方針や手続に関する共通規則を定めることを求めている。
(2)規則案82条で具体的な範囲、定義、「なりすまし」がありうると信じるに足る要件の明確化を規定する(19以下)。同条では、「愛国者法」326条が定める新規顧客確認プログラム(Customer Identification Program)(筆者注3)に準拠する識別・確認の方針ならびに手続の要件を満たすものでなくてはならない旨定める。実際に、信用情報の利用者はすでに住所の不一致時にCIPルールを適用している。
(3)消費者の住所の確認要求(20以下)

4.連邦取引委員会(FTC)が行った草案を金融機関に適用した場合の対応時間・費用面の試算(28以下)
本規則草案は、金融機関において遵守プログラムの策定と年1回以上取締役会その他委員会等への遵守状況の報告を要求している。またFCRA 法は与信業者の定義を「均等信用供与法(the Equal Credit Opportunity Act:ECOA))および同法に関する「レギュレーションB」(筆者注5)と同様に定めている。
このため、ETCは監督下にある与信業者1,100万社以上および金融機関3,500社以上に対して114条適用時の遵守にかかる時間および費用の試算を行った(28以下)。本稿では試算内容の紹介は略すが、このような分析手法はわが国でも参考となろう。

(筆者注1)米国政府機関の資料は従来から大部であることとインデックスがないのが致命的である。
金融機関の法務専門家用に作成されたとしても、いかにも読みにくいし、重要なポイントが見えない。筆者は米国政府機関の専門パートナーとして過去数回コメントしてきたが、この傾向は依然変わらない。そこで、本稿ではなるべく共通的に重要と思われる点を中心に取り上げ、また該当箇所の( )内にFRB通達の頁数を記しておいたので活用されたい。
(筆者注2)「1977年地域社会再投資法」とは、銀行による低所得者やマイノリティに対する融資差別(レッドライニング)を禁止する法律(金融機関の安全かつ健全な銀行経営が前提)。各金融機関の遵守状況をほぼ2年おきに貸出、投資、サービス面から金融機関に規模別に評価・査定し(優(Outstanding)、良(Satisfactory)、改善の余地あり(Need to improve)、かなりの程度の不遵守(Substantial noncompliance)の4区分)、監督機関はその結果をインターネット等で公開している。OCCの直近の査定結果は下記のURLで閲覧できるが、問題指摘のあった例はない。
http://www.occ.treas.gov/cra/jul06.htm
(筆者注3)「CIPルール」とは、米国市民・それ以外にかかわらずマネーローンダリングおよびテロ資金の流れを阻止するため金融機関は新規口座開設時に遵守を義務付けられたものである。具体的には、納税者識別番号(Taxpayer identification number)または外国政府が発行する国籍や住民であることを証明する身分証明カード(例えば、メキシコの例ではMatricula Consular identity card)(筆者注4)に基づき口座開設後一定期間内に顧客の識別する場所において手続きがとられねばならない。
(筆者注4)メキシコ政府が市民に対して発行するラミネート耐水加工済み写真つきIDカード。内容は発行日付、有効期限(通常は5年)、氏名、出生年月日、住所、顔写真、署名等である。http://www.mexico.us/consulate.htm
(筆者注5)レギュレーションBの内容:http://www.bankersonline.com/regs/202/202.html

〔参照URL〕
http://www.federalreserve.gov/boarddocs/press/bcreg/2006/20060718/attachment.pdf

Copyrights (c)2006 福田平冶 All rights Reserved

0 Comments:

Post a Comment

<< Home