米国財務省が中心となる大統領金融市場作業部会が「テロリスク保険の拡大」等についてコメントを求める

　2006年2月28日に、大統領金融市場作業部会（President’s Working Group on financial Markets ）(注) 座長である財務省は標記コメントについて9月30日までに取りまとめ、連邦議会に報告する旨「連邦官報」に公表したとのリリースを行った。その内容は、①グループ保険、②化学、核、生物学や放射線などを使用したテロへの補償保険として、長期間の有用性および企業の購入可能性等について45日間の関係者からのコメントに付すものである。

　米国は2005年12月22日に「テロリスク保険拡大法(President’s Working Group on financial Markets 以下、TRIA)」 (注)を制定し、同法に基づき全米保険監督官協会（National Association of. Insurance Commissioners： NAIC ）は、12月28日に各保険会社に対し、TRIAについての最近の拡大に関する法的要件の理解を支援するためのガイダンスとして2種類の「モデル公告」と提供した。
　また、財務省は12月29日に「TRIAに関する暫定解釈ガイダンス(Interim Guidance Concerning the Terrorism Risk Insurance Extension Act of 2005)」通知を行っている。

　同公告は、州の保険監督機関がテロ活動から米国企業を守るために有効と認めるための保険料率の届出内容（rate filing）および契約文言(policy language)について説明するとともにTRIAの内容について解説している。

　また、TRIAは2006年1月1日付けで施行されたが、１月26日にテロ保険適用作業部会(Terrorism Insurance Implementation Working Group)は保険会社が作成する2種類の「モデル開示様式」を採択・公表した。各保険会社は契約交渉においてこの様式を採用もしくは修正を行うことになる。

 その後財務省は同年8月25日付で「テロリスク保険プログラム; TRIA拡張法の実施」最終規則を公表、2006年9月25日施行された。(注2)

******************************************************************************:

(注1)大統領令12631に基づき設置された「作業部会」の構成メンバーは、財務省長官、連邦準備制度理事会議長、証券取引委員会(SEC)委員長、商品先物取引委員会（ Commodity Futures Trading Commission) 委員長である。

(注2)官報の概要部を仮訳する。

財務省（財務省）は、2005年のテロリスク保険延長法（延長）によって2002年のテロリスク保険法（TRIAまたは法という）のタイトルIに加えられた改正の実施の一環として、この規則を最終的な形で発行する。同法は、2005年12月31日に失効する予定の一時的なテロリスク保険プログラム（プログラム）を確立し、その下で連邦政府は、認定されたテロ行為による被保険者の損失のリスクを商業財産および損害保険会社と共有した。この延長法は、プログラムを2007年12月31日まで延長し、この規則によって実装されるその他の変更を行う。特に、この規則は、法律の対象となる商業用財産および損害保険の種類の変更、法律を満たすための要件に対応している。法の第103（e）条（1）（B）の必須の可用性（「利用可能にする」）条項および新しい「プログラム・トリガー」条項の運用を定める。財務省は、2006年5月11日に、暫定最終規則と相互参照された提案規則を公開し、コメントを求めた。この最終規則は、暫定最終規則のテキストを改訂せずに採用することにより、提案規則を最終決定する。

〔参照URL〕

連邦財務省レポート「Terrorism Risk Insurance-Report of the President’s Working Group on Financial Markets-」(全99頁)

https://www.treasury.gov/resource-center/fin-mkts/documents/report.pdf
連邦財務省のリリース文：http://www.treas.gov/press/releases/js4077.htm
全米保険監督官協会　http://www.naic.org/topics/topic_tria.htm

*****************************************************************

（今回のブログは2006年3月2日登録分の改訂版である)

*****************************************************************************

Copyright © 2006-2010 芦田勝(Masaru Ashida)．All rights Reserved．No reduction or republication without permission．

英国の銀行等のこの10年間の店舗数の減少推移と新たな支店戦略

　わが国と同様に、顧客の大部分が支店利用を希望しているにもかかわらず、英国の銀行や住宅金融会社(注1)はこの10年間で店舗数が5分の1に減少している。特に減少が目立つ（約24%減）のはあまり裕福でない都心部と工業地区で、逆に高所得者層を顧客に持つ多くのハイ・ストリート・バンクでは新たな支店サービス（direct banking services）概念の構築に向け新たな投資を行っている。

　以前に英国のフォレスター調査会社が行った調査結果では、英国の顧客の半分以上が1人あたり１カ月に1回支店を利用し、利用顧客2千人の55%は小切手の預入れや現金の引出しという通常のサービスであった。このようなためか、イギリスの支店の混雑程度はスペインの5倍以上とされている。

　このようなカウンターサービスを減少させるため、たとえば英国の大手金融グループであるAlliance & Leicesterは、煩雑な入金窓口処理のATM化に取り組んでいる。 (注2) その結果、1回のATM処理で60枚の紙幣の預金口への入金が可能となった。今後の課題は、イメージ処理による小切手の入金処理が計画されているとのことである。

　なお、英国のATMによる出金サービスに関しては、その有料化問題が消費者保護・教育団体を統括している全国消費者協議会（National Consumer Council）等から持ち上がっている。英国は現在、引出時に無料のATMと有料のATMがあるが、後者が急増している。これまで、現金引出し手数料が無料のATMが主流だったが、すでに台数の約4割が有料になったため、銀行側の見込みでは、2006年中の手数料総収入は2億5千万ポンド（約497億5,000万円）となっている。反面、無料のATMの台数は2004年9月の20,685台に比べ2005年9月末には23,931台となっている。
消費者団体などからは、「家計を圧迫する」と批判の声が上がっており、政府自体も改善へ動き出している。

************************************************************************************

（注1）英国の協同組織金融機関としては、信用組合(credit union)と相互会社形態の住宅金融会社がある。もともと英国では住宅金融会社については銀行の住宅ローン業務への本格参入により競争が激化し、資本強化のため1986年住宅金融会社法により株式会社への転換手続きが制定された。このため1980年代から1990年代にかけて転換が進み、この10年間で機関数は約2割減少し、総資産シェアも15.8%から4.8%に大きく減少している（日本銀行信用機構局　2004年10月「海外における協同組織金融機関の現状」より引用）。

(注2) 「direct banking services」はインターネットやテレフォン・バンキングを中心としたフル金融サービスを指すが、平行して窓口業務の効率化策として現在研究されているのは現行の小切手や現金での入金手続きの「ATM処理化」である。具体的な手続きについては英国金融サービス庁(FSA)のサイト（消費者向け情報）の「入金手続き」で説明されているので、熟読して欲しい。カードによるATM処理に慣れ親しんでいる日本人から見るとなんとも・・という感じである。

〔参照URL〕
http://www.finextra.com/fullstory.asp?id=14960
http://www.finextra.com/fullstory.asp?id=14771

************************************************************

（今回のブログは2006年2月27日登録分の改訂版である)

************************************************************************************

Copyright © 2006-2010 芦田勝(Masaru Ashida)．All rights Reserved．No reduction or republication without permission．

顧客情報漏洩事件で米国FTCの「CardSystem 」に対する行政処分和解(案)が公表

　2006年2月23日、2005年6月に発生した顧客情報の漏洩事件において米国連邦取引委員会（FTC）は、CardSystem Solution Inc.(2005年12月にPay by Touch Solutions.に買収されている)に対し、適切な顧客金融情報の保護を怠ったこと（結果として数百万ドルの詐欺的なカード決済が行われたこと）を理由に、安全対策の実施、今後20年間に亘る隔年の第三者機関による独立監査の実施等を含む「行政処分和解(案)」を公表した。

　この記事は、わが国でも2月27日付け「IT Pro」などにすでに紹介されているが、FTCが和解条件とした本来のコンピュータ処理会社としての責任内容・漏洩の原因などについて説明がない。
　そこで、監督機関であるFTCのリリースを中心に解説を加える。コンピュータ処理会社としての基本中の基本が守られていなかったといえよう。

　FTCが公表した「行政処分(案)」の内容は以下のとおりである。なお、委員会では4-1で承認されたが、米国行政の一般ルールのとおり、同案はまもなく刊行される「連邦官報(Federal Register)」においてパブコメに付され(3月27日がコメント期限) 、その後に最終決定を行う。

１．CardSystemは、顧客から数百万ドルの民事訴訟を起こされる潜在的な責任を追う可能性がある。その背景には、正当な理由なしに顧客の金融取引機微情報を保有し、その結果、顧客を各種リスクにさらしたことである。

２．CardSystemは、2005年中に約2億1000万件のカード業務処理を請け負い、約11万9000先の中小小売企業に関して約150億ドルの決済取引にかかわった。その取引処理中で、同社は磁気ストライプの①カード番号、②有効期限、③その他の情報を収集し、それらを同社のネットワーク中に保管した。

３．CardSystemは、以下に指摘するとおり、顧客の機密情報保護のための適切な対策をとっていなかった責任がある。
(1)機微情報を保管することによる本来不要なリスクを発生させたこと。
(2) インジェクション攻撃(injection attack)に対する「Structured Query Language」(注) を含む、コンピュータネットワークへの一般的かつ合理的に予見すべき脆弱性についての調査を怠った。
(3)保有情報への簡単、安価かつ容易な防御対策を実装しなかった。
(4)ハッカーがコンピュータネットワークのコントロール権を入手することを放置し、ネットワークへのアクセスを防ぐ強力なパスワードを使用しなかった。
(5)個人情報へ無権限のアクセスを調査したり、セキュリティ調査にかかる十分な方策を採用していなかった。

４．今回の被害の発覚後、銀行はカードの無効化や数千枚のカードの再発行を行った。さらに消費者は、カードが使えない、なりすましの不安、時間的なロスを被った。

５．和解(案)の具体的内容は次のとおりとする。
(1) CardSystem およびPay By Touchは管理面、技術面および物理面の安全措置を含む包括的な情報セキュリティプログラムの確立し、その維持を行う。
(2)今後20年間、①第三者独立機関による監査、②標準簿記規則(standard bookkeeping provisions)および記録保存(Recordkeeping)規則を遵守する。
*******************************************************************************************
(注) IBM社が開発したデータベース操作用言語。リレーショナルデータベースの操作に使用する。アメリカ規格協会(ANSI)やJISで標準化されている世界標準規格。

〔参照URL〕
http://www.ftc.gov/opa/2006/02/cardsystems_r.htm

*********************************************************************

(今回のブログは2006年2月27日登録分の改訂版である)

****************************************************************************

Copyright © 2006-2010 芦田勝(Masaru Ashida)．All rights Reserved．No reduction or republication without permission．

EUにおける産業災害回避のための危険物情報のリアルタイム情報プラットフォームの概要

Last Updated :November 11,2010

　産業災害は全世界で毎年数千人の生命に影響を与えるが、危険物の使用状況についての企業からの情報がより広くかつ容易にアクセスできることで、多くの危険を回避できる。この点に着目して「eTEN」（2006年2月25日付け(2010年11月6日更新)のブログ参照）プログラムの下でEUの研究者が開発した最新の危険物情報についてインターネットを介してリアルタイムで情報の統合・配分を行うプラットフォームが「e-Seveso」である。これに関する欧州委員会指令は企業規模にかかわらず産業・化学事故の防止の観点から取り組んだものである。

　欧州委員会がこの問題に取り組んだきっかけは、1976年のイタリアの化学プラント工場の火災事故（約2千人以上に影響を与えた強い有毒雲が発生）であった。このような事故は世界中どこでも起こりうる問題であり、第一次の「Seveso」の改善版として1996年には企業が使用・格納している危険物について①情報の保有、②リスクアセスメントや最終的な事故の予防のため監督機関や行政機関における情報の共有を目指すEU指令「Seveso Ⅱ(Directive 96/82/EC )」が公布された。(注) 

　しかし、このような情報の更新により実戦的な予防が100%保証されるわけではない。すなわち、中小零細企業においてそれを実際に適用、維持、モニタリングする人的・財政的な方法、セキュリティ・システムが欠けている場合が問題となる。

　特に消防士など緊急サービス機関は火災時に工場内に侵入する際、どのような化学物質がどの程度あるのかを知らないままに行動せざるを得ないのである。

　イタリアのバレンシア地方では、おもちゃの製造工場や化学物質を使用・保存するプラスチック加工、靴やセラミック加工業者が多く、さらにそれらのほとんどは小企業なのである。またそれらの工場は街の中心から数百メーターに位置している。

　「e-Seveso」プラットフォームは、異なるビジネス分野の情報を統合する倉庫を作ることで潜在的な生命保護へのアクセスを可能とするのである。すべての企業が最低限行うべき責務は、毎週、手入力で自社の工場などが格納している科学物質の質量等を入力することであり、その結果、公共機関や消防署などが相互に利用可能となるのである。

　さらに、より高度な情報システムとしては、企業は①倉庫内の温度や湿度、②ガスやけむりの量について測定値に基づくリアルタイム・データベースの作成とこれらの情報を自動的に更新する一定のセンサーシステムを採用がある。

　仮にこれらのセンサーシステムがない場合でも、事故発生時に公共機関や消防署の担当者は無線を通じリアルタイムで化学物質の内容や今どのような対策を採るべきかについて継続的に知りうるのである。

　さらに、このプラットフォームは国家、地方、地域などにおける異なる公的機関や民間機関の利害関係者の損害調査や警報機能のシステムの相互運用性を確たるもの（公開基準：open standards）にする。このオープンで拡張性をもった構造は、①地図システム、②地理・位置情報、③新たな無線情報システムを含むもので、情報の共有、統合、配分といった未来技術（emerging technology）を採用している(完全な安全を実現するもの)。

　このシステムの試作品は2005年9月の完成目前に公的機関や消防署などの利害関係者により検査され、きわめて高い関心を引き出している。EUの約150万社の産業・化学分野の企業で利用され、「sevesoⅡ」指令により影響される中小企業等にとっても、また「e-Seveso」プラットフォームの潜在的な利用はEU全体のセキュリティにとって好ましいことといえよう。

********************************************************************

(注) 欧州委員会は加盟国における本指令の遵守を目的としてガイダンス「EU指令96/82/ECの要求に合致するための安全性報告の準備にかかるガイダンス(Guidance on the Preparation of a Safety Report to meet the requirements of Council Directive 96/82/EC (Seveso II))」を公布している。

〔参照URL〕

http://cordis.europa.eu/ictresults/index.cfm?section=news&tpl=article&ID=80707

********************************************************************

(今回のブログは2006年2月27日登録分の改訂版である)

Copyright © 2006-2010 芦田勝(Masaru Ashida)．All rights Reserved．No reduction or republication without permission．

EUにおけるISPや固定通信事業者などに対する通信内容の記録保存義務に関する「指令」が承認される

　
Last Updated:April 1,2021

　2005年秋以来EUにおいて論議を呼んでいた「通信事業者に通信記録の保存を義務づけるData Retention Directive(案)」(pdf 全20頁)が2月21日の「欧州連合理事会（閣僚理事会）」司法内務委員会で採択された（アイルランド、スロバキアは反対票）。

　本指令を立案した理由は、戦争テロおよび組織犯罪の撲滅にあるのであるが、保存義務を負う通信事業者は、①ISP、②固定電話通信事業者、③モバイル電話会社である。本指令の施行後通信内容の2年間の保存が義務付けられるのである。すなわち、加盟国は国内法に基づき定める重大犯罪につながる特定の事例において管轄国家機関のみが、捜査、探知、訴追を目的とした利用が認められ、また、保存データへの意図的なアクセスの排除にかかる法整備（行政罰や刑事罰の制定）が義務付けられるのである。

１．この保存にかかる費用はプロバイダーなどの負担とする。

２．保存データの対象は法人・自然人の通信・位置データであり、ネットワーク参加者や登録者に関するデータも対象となる。ただし、通信データの内容の保存は求められていない。

３．保存項目は、①発信者、②通信年月日・時刻、③通信手段、④接続時間であり、法執行機関は6カ月から24カ月の間、前記国内法に基づきその利用が可能となる。

４．本指令の施行（EUのOfficial Journal発刊の日から20日目）後、18カ月以内（2007年8月まで）に加盟国は指令の実施内容を監視・セキュリティ対策の責任部門を任命しなければならない。

〔参照URL〕
1.今までのEUでの指令論議を含めたローファームPinsent Masons LLPの概要解説「Data RetentionDirective endorsed by Ministers」(2006.2.23)のURL。

http://www.out-law.com/page-6666

２．欧州連合理事会（閣僚理事会）司法・内務委員会のプレス・リリース（2006年2月21日付）

https://ec.europa.eu/commission/presscorner/detail/en/PRES_06_38
******************************************************************:

（今回のブログは2006年2月26日登録分の改訂版である)

***********************************************************************

Copyright © 2006-2010 芦田勝(Masaru Ashida)．All rights Reserved．No reduction or republication without permission．