米国連邦金融検査機関協議会の「インターネット・バンキング環境下における顧客認証方法」の遵守期限迫る

　

Last Updated:October 8 ,2022

　本ブログでも数回にわたり、インターネット・バンキングを巡る金融詐欺やなりすまし金融犯罪の急増や消費者の利用回避の動きなどを背景として出された標記ガイダンス（筆者注1）の内容や欧米の金融機関の取組み状況について取り上げてきたが、いよいよ標記協議会(Federal Financial Institutions Examination Council: FFIEC)の改訂ガイダンスの遵守期限が2006年12月末日となり、ハードおよびソフトベンダーの売り込み、シンクタンク等によるセミナーの開催等わが国において2005年4月の個人情報保護法全面施行時直前の状況と極めて似ている（“カウントダウン”と言う言葉が一般化している）。
　当然のことながら、9月8日に連邦財務省通貨監督庁（OCC）がさらなる徹底通達を出すなど（筆者注2）、その動きが急速に目まぐるしくなってきている。わが国の金融機関ではATM取引きについてはICチップカードへの切替や生体認証の相互運用化への取組みが進んでいるが、インターネット・バンキングについては、トークン型または複数画面入力による「ワンタイム・パスワード」が主力になっているといえる。ただし、インターネット・バンキング自体の普及テンポが遅いことから本格的な対応はこれからといったところであろうが、金融犯罪の多様化やハイテク化とりわけ個人の金融情報の盗取や振込め詐欺リスクが高まることは間違いなく、ここで改めて欧米の金融機関の対応状況を整理しておく（筆者注3）。

１．米国ロス・キャピタル・パートナーズ（筆者注4）の分析結果
　2006年7月現在で135の金融機関を対象に調査した結果、2006年末までに以下述べるFFIECの要求条件を何がしか充足する予定の金融機関数が69％で、うち16％の機関がリスク調査の段階にあると回答している。同調査では具体的にハードウエアー・トークンの採用を予定する金融機関数が5％である。
　なお、いうまでもなく効率的な認証方法の要件は次の点であるといえよう。
(1)顧客の受容性（使いやすさ、取引内容の透明性）
(2)機器、技術面の性能に対する信頼性
(3)将来の成長性に対する規模の利益の確保
(4)既存のシステムと将来の計画との相互運用性

２．FFIECが要求する具体的多要素認証の方法とは
　FFIEC改訂ガイダンスでは、次のとおりその認証方法が例示的に整理されている。

(1)金融機関と顧客との間の機密情報の共有によるもの
①認証時に答えるため本人しか知りえない知識・情報を必要とするもの（毎月の不動産担保ローンの返済額等）
②本人しか知りえない本人が選択したイメージ（好きな人のイニシャル、好きな本のタイトル等）（筆者注5）
(2)トークン(Tokens)
①USB型トークン端末（デジタル証明付きまたは証明なし）

例示：

②スマートカード（ICメモリーに情報を保管し、第一次的に本人確認を行う専 用 カード）(筆者注6)

例示：

③パスワード作成機能付きトークン（時刻の同期機能付き）（筆者注7）

例示：

④生体認証技術（生物学的特性判断）（指紋、虹彩・網膜、顔のイメージスキャ ン、声紋　キーストローク、手・指の形状、筆跡がガイダンスでは例示されている。）（筆者注8）

(3)非ハードウェア型のローテク・低価格の手段（かつて利用されていた乱数表 (grid cardまたはscratch card)）

(4)電話、電子メール、SMSテキストメッセージをインターネットは異なるチャンネルで送ることで併用による認証の厳格化を図るもの（Out- of-Band Authentication ）

(5)アクセス中のPCの現利用者が特定されるIPアドレス（ただし、同アドレスは顧客個人が常に所有しているものでなく、頻繁に変更されたり時としてなりすまされたりする点が課題）や顧客の地理的位置情報（この点についてもワイヤレスや携帯電話によるインターネット・バンキングでは認証効果が薄れる）

(6)金融機関と顧客の双方がSSL等暗号化によるウェブサイトの真正確認やデジタル署名を使用する相互認証（フィッシング等に有効）

３．多要素認証への対応をめぐる最近時の新たな認証技術の出現
　米国のシテイ・バンクがFFIECの要件を満たすため取り組んだ技術は、詐欺犯捜査ソフトウェア（実際、2006年の税還付申告期間において同技術を利用した米国最大手の税申告代行業者H&R Blockは還付詐欺の阻止に有効であったとしている（筆者注9））の応用形であった。
　この技術の導入に関し、ソフトベンダーが第一に挙げた理由はFFIECのガイダンスへの遵守対応期間が短いことである。その点は別として、この認証方法は前記２．で紹介した技術を一部応用している。最も特徴的な点は顧客の取引振りをリアルタイムでモニタリングし、必要に応じ速やかに顧客に警告をならす点であろう。オンライン取引きのトレースすなわち銀行取引のアプリケーション・プログラムの一部というより、ネットワークのトラフィック・モニタリング技術の進化があってこその対応と言えよう。以下要約してみる。（筆者注10）

(1)金融機関はオンライン・バンキング取引の各セッションの間をぬって、顧客のサイトへのナビゲーシヨンをモニタリングし、動的にリスクのスコアリング(dynamic risk score)を行う。このスコアが一定のレベルを超える場合、直ちに第二段階の認証すなわち電話による照会や取引停止を行う。この場合、顧客に対し、その不審な状況について テキスト・メッセージまたは電子メールを送信する。

(2)このような取引の異常値をリアルタイムでチェクするため、data warehouse(基幹系業務システム（オペレーショナル・システム）からトランザクション（取引）データなどを抽出・再構成して蓄積し、情報分析と意思決定を行うための大規模データベース。) (筆者注11)では顧客の取引プロフィールや疑問点を保管する。実際の顧客のアクセス面では、各金融機関は①グリッドカード、②クッキー(cookie)に基づく端末認証、③ワンタイム・パスワード、④相互認証、⑤Out- of-Band Authentication等より強固な認証技術を使用する。
************************************************************************
（筆者注1）FFIECの改訂ガイダンスは2005年10月12日に発出されている。ガイダンス（PDF版）が添付されている。
また、FFIECは2006年8月15日に前記ガイダンスのFAQsを発刊している。http://www.ffiec.gov/press/pr081506.htm

（筆者注2） 本警告通達ではガイダンスの遵守に伴う顧客の混乱を避けるための顧客への通知内容について対応窓口の強化等も要求している。

（筆者注3）トークン等のついての解説はわが国でも多く見られるので、今回はより多要素認証の概念を広くとらえて説明する。

（筆者注4）Roth Capital Partnersは米国において投資銀行業務、資本市場取引、M&A、市場調査等を行っている企業である。

(筆者注5)英国のAlliance &Leicester銀行が、2006年3月からこの方式を２要素認証方式として導入している。http://www.alliance-leicester.co.uk/internetbanking/index.asp?page=extrasecurity&ct=ibsecurity

（筆者注6）スマート・カードによる２要素認証の例として、スイスのCantonal Bankが2007年に 最大2万人の顧客に対し無料でEMV対応携帯用カードリーダーを配布する。顧客はまず従来どおり４桁の暗証番号を入力し、その後カードのチップにより組成された８桁のワンタイム・パスコードを入力する。ロイヤルバンクオブスコットランド、Xiringスマートカードリーダーを発行

Xiring smart card reader

（筆者注7）その他英国の大手銀行ではLloyds TSB銀行、Barclays 銀行がパスワード生成型トークンを採用している。しかし、本年7月22付けの本ブログで紹介したとおりシテイ・バンクは、「Man in-the –middle –attack」攻撃によりワンタイム・パスワード生成型トークンの脆弱性をつかれフィッシング被害にあうというリスクが顕在化した。

（筆者注8）わが国の日本郵政公社や一部銀行で利用が始まっている指や手のひら静脈認証（vein pattern authentication ）はガイダンスでは直接明記されていないが、認証技術として技術的には一定以上に評価されるものといえよう。しかしながら、顧客の受容度といった点でなお抵抗があり利用者数は急増とはいえないのが現状であろう。

（筆者注9）H&R Blockは税金コンサルタント業だけでなく、不動産ローン、銀行、個人年金アドバイスなど手広い。皮肉にも2009年3月15日に同社はニューヨーク州司法長官から約50万人の低所得者層のうち約85%の顧客の個人年金を詐欺的に販売し、結果的に顧客に損失を与えたことを理由として起訴された。起訴状によると罰金および払戻し額の合計は2億5千万ドル（約292億5千万円）と報じられている。http://www.msnbc.msn.com/id/11839807

（筆者注10）詐欺的インターネット取引きモニタリング・ソフト（real time risk scoring）の発想については、最近読んだスタンフォード大学のフリーウェア「SpoofGuard」を思い出した。まだ、インストールしていないが、ユーザーが設定するセキュリティレベルのパラメーターに基づき、新規ウェブへのナビを行う際にチェックを行い、そのブール演算子の結果をユーザーがあらかじめ設定した警告レベルを越えると、フラグがたち偽サイトにアクセスしないようユーザーに警告を送る。詳細は以下のURLを参照されたい。
　http://crypto.stanford.edu/SpoofGuard/

(筆者注11) http://www.atmarkit.co.jp/aig/04biz/dwh.htmlから引用。

〔参照URL〕
http://www.bankinfosecurity.com/articles.php
******************************************************************************
Copyrights ＠2006 芦田勝(Masaru Ashida ) All rights Reserved

米国連邦金融機関検査協議会等が銀行機密取引報告義務法等に関する改訂マネロン銀行検査マニュアルを公表

　

　米国連邦金融機関検査協議会（Federal Financial Institutions Examination Council:FFIEC）（筆者注1）、金融犯罪法執行ネットワーク（Financial Crime Enforcement Network:FinCEN（筆者注2）ならびに連邦財務省・外国資産管理局（Office of Foreign Assets Control:OFAC）（筆者注3）が、「1970年銀行等に対する機密性が高くまたは不審な現金払いおよび海外との金融取引等に関する報告義務法（Bank Secrecy Act）」（筆者注4）等マネロン防止に関する検査マニュアル2006年改訂版（筆者注5）を公表した。

　以下においてその概要を紹介する。なお、これらの行動の背景には世界的規模のマネーロンダリング対策の責任組織であるFATF（金融活動作業部会）40の勧告に基づく対応があるのであるが、最近のわが国の対応としては、８月30日に公表された「郵便受取および電話受付」代行業の追加を始め (筆者注6)、金融庁も、具体的対応が進んでいる。米国では、実は前記監督機関連名で、金融機関の協力強化の観点から9月13日、14日の2日間にわたり（両日とも内容は同じである）1時間という短時間ではあるものの全米ベースの金融機関等を対象とするインターネット会議（電話会議も併用されている）を開催し、改訂マニュアルの主な改正内容につき説明がなされる。登録期限は9月6日であり、筆者はすでに登録手続きを終えたが、関心のある向きはチャレンジされたい（筆者注7）。

１．改訂マニュアルの構成
全体で６章および付属資料で367頁（PDF版）にわたるものである。
(1)序論
(2)BSA/AML遵守プログラムの調査に関する検査概観および手続
(3)関係法令に基づく要求内容および関連のテーマに関する基幹（core）となる検査概観
(4)遵守対象企業の範囲拡大および外国銀行の支店等に関する検査概観
(5)米国内外における遵守対象商品・サービスについての検査範囲拡大に関する検査概観
(6)人や企業についての検査範囲拡大の概観
(7)附属資料（関係法令、指令、参照資料等）

２．改訂マニュアルを読むうえのポイント
(1)前記(2)章、(3)章の大部分は検査官におけるBSA/AML遵守検査プログラムの基盤となる部分で「検査範囲および検査計画」(PDFバージョンの15～17頁参照)および「BSA/AMLリスク査定」（同27頁）等が中心となる。両章に共通する用語、例えば「funds transfers」「foreign correspondent banking」等であり、これらの明確化が検査官等の改訂内容の理解向上につながる。

(2)検査官は、最小限次のような手続を踏まえ検査対象の金融機関のリスク査定を均一的に行う。
　①検査範囲および検査計画(15～17頁参照)
　②BSA/AMLリスク査定（27頁参照）
　③BSA/AML遵守プログラム（34～39頁参照）
　④検査総括および検査の終了(41～44頁参照)

(3)OFAC規則は、BSAの一部ではないが、OFACによる制裁処分の遵守確認に関し、検査対象機関の遵守方針や検査手続に関する基幹となる各章に関するものである。このため、検査官は検査範囲ならびに検査計画の策定に当り、銀行のOFACのリスク査定内容を確認するとともに、銀行のOFAC対応プログラムが検査期間中に行動を伴って行われているか否かをチェックする（マニュアルの144～146頁にわたるOFAC基幹検査手続参照）。

(4) 金融機関が的確な管理を欠く場合、企業・商品、顧客、企業はBSA/AMLに関するリスクを負うと評価される。加えて、今回拡大された章は、それに応じたリスク管理責任を負うことになる。これらの基幹となる検査手続は、すべての金融機関にとって適用可能なことではないが、独立したこれらのテストによる遵守内容の品質、数量の確認が求められることは間違いない。
*****************************************************************************************
（筆者注1）FFIECは、米国の連邦金融監督機関である連邦準備制度理事会(FRB)、連邦預金保険公社（FDIC）、全米信用組合管理局(NCUA)、通貨監督庁（OCC）、貯蓄金融機関監督局（OTS）からなる協議会である。監督機関の共通の取組み課題についての指導的機能を有しており、最近ではインターネット・バンキング取引の安全対策の観点から2006年12月末までに多要素認証（multi- factor authentication）の義務化の各金融機関に遵守を義務付けており（http://www.fdic.gov/news/news/financial/2005/fil10305.html）、わが国の都市銀行でも始まっている「トークン型ワンタイム・パスワード」もその対応例に当る。

（筆者注2）わが国の監督窓口は、金融庁総務企画局特定金融情報管理官である。2007年(平成 19 年)３月までは金融庁総務企画局総務課特定金融情報室が担当していたが、同年４月以降は国家公安委員会（警察庁刑事局組織犯罪対策部犯罪収益移転防止管理官）にその機能が移管されている。

（筆者注3）外国資産管理局の内容について参考となるURLは、https://www.jetro.go.jp/world/n_america/us/invest_02.html

（筆者注4）わが国では「Bank Secrecy Act」を「銀行秘密法」と直訳されるケースがいまだに多い。
　これでは何が秘密なのか、誰の秘密なのかが分からない。同法は、現在では「愛国者法」に基づく改正も行われており、テロ資金防止法（BSA/AML）と引用されることが多いが、1970年に制定された当時は脱税のための資金洗浄阻止も重要な目的であったようであり、企業に対する同法の報告義務に関し、連邦財務省内国歳入庁(IRS)が多く関与している。分かりやすく言うと「銀行等に対する機密性が高くまたは不審な現金払いおよび海外との金融取引等に関する報告義務法」である。つまり、報告義務を課されるのは、狭義の金融機関（規制内容や罰則は金融機関の場合が厳しいが）だけでなく、現在は外国の銀行に金融資産を有する企業、さらに貴金属・宝石取扱業者もFinCENへの報告義務が課されるなど範囲が広がっている。IRS等のサイトでは企業向けにBSAについて報告義務の内容や罰則規定についてQ&A等で詳しく説明している。
http://www.irs.gov/businesses/small/article/0,,id=152532,00.html
Bank Secrecy Act (BSA) | OCC (treas.gov)

FDIC | Banker Resource Center: Bank Secrecy Act / Anti-Money Laundering (BSA/AML)

（筆者注5）わが国と同様、「検査マニュアル」は当然のことながら頻繁に改訂されるので、原本に当る際には注意が必要である。2006年7月28日に改訂された版のURLは次の通りである。FDIC等も同時に改訂のポイントを公表している。
https://www.ffiec.gov/press/pr072806.htm

(筆者注6）わが国の金融監督機関のマネロン対策の政府機関は、金融庁総務企画局総務課特定金融情報室(国家公安委員会（警察庁刑事局組織犯罪対策部犯罪収益移転防止管理官）に移管済)である。FTTF40の対応に関して、最近では金融庁が本年6月13日に「カナダ金融部門との疑わしい取引に関する情報交換枠組の署名について」を公表している。現行の金融機関監督規制の下では本人確認法や組織的犯罪処罰法により届出が義務化されているが、今後はより包括的な法規制が行われる可能性が高い。

（筆者注7）登録方法は、米国の金融機関向けに説明されているが、それ以外の場合でも可能ではある。登録サイトの標題は、「FFIEC BSA/AML Examination Manual Outreach Fact Sheet」である。

〔参照URL〕
http://www.bankinfosecurity.com/regulations.php?reg_id=298&PHPSESSID=97c3860d339c70e6d50368b0e0747873
*****************************************************************************************
Copyrights ＠ 2006 芦田勝(Masaru Ashida) All rights Reserved