« Book:反省させると犯罪者になります | トップページ | 金融商品取引法192条による差止 »

2013/08/03

NetBanking詐欺とセキュリティ保持義務

昔、コンピュータの脆弱性がかなりの部分利用者の無理解と怠惰のせいであるとして、セキュリティ保持義務があるのではないかという議論に片足を突っ込んだことがあった。

そんな昔の議論を改めて思い出すのが以下の記事だ。

産経「ネットバンキング不正送金被害、最悪の3億6000万円に

被害に遭ったのは楽天、ゆうちょ、みずほ、三菱東京UFJ、りそな、シティバンク、ジャパンネット、セブン、北洋、十六、大垣共立など計12銀行

大半の利用者のパソコンがウイルスに感染しており、IDやパスワードを盗まれていた。金融機関が取引のたびにパソコンのメールに送ってくるワンタイムパスワードを盗まれたケースもあった。送金先は約600口座で、約75%が中国人とみられる名義だった。

ネットバンキングの不正アクセスの手口が、ウィルス感染したパソコンの利用者(口座利用者)により入力されたID、パスワード、ワンタイムパスワード、あるいは乱数表の全部の記載などを犯罪者が送信を受けて不正使用するというものであれば、ウィルスの巧妙な挙動を見破ることが困難な場合が多数であろう。
被害に合わないためには、パソコンのウィルス感染をいかに防ぐかということにかかっている。

ところで、この種のウィルスはウィルス防護プログラムで排除できるものなのであろうか?
新種や亜種のウィルスにタイムラグが生じることを除けば、ウィルスバスターなどのプログラムや、そもそもOSのアップデータなどで予防できるとすると、適時にそうした予防策を取らなかったがゆえの被害ということになるだろうか?

ところで不正送金により口座から資金が流出してしまった預金者は、無過失であれば、その被害を被らなくても済む。
偽造カード等及び盗難カード等を用いて行われる不正な機械式預貯金払戻し等からの預貯金者の保護等に関する法律(預金者保護法)自体は、偽造カードや盗難カードを用いた不正払い戻し・不正借入などについて無過失の預金者を保護する法律だが、これに基づいて、平成20年に全銀協が「「預金等の不正な払戻しへの対応」について(pdf)」という申し合わせをしている。そこには、以下のように記されている。

インターネット・バンキングによる預金等の不正払戻しについて、銀行に過失゙ない場合でも、お客さまご自身の責任によらずに遭われた被害については、補償を行うこととする。  同時に、インターネット・バンキングによる預金等の不正払戻しは、銀行の管理が及ばない場所で発生し、かつ、インターネット技術の進展と相まって複 雑高度化するため、そうした犯罪手口へ対抗する手段として、各行においては、一層のセキュリティ向上に努める。また、被害事実や犯罪手口等の全容解明・ 被害抑止の観点から、捜査当局との窓口の明確化など迅速な意思疎通・相互の協力体制の整備等を行い、お客さまとの連携のもと、捜査に全面的に協力する。  なお、補償請求の際には、お客さまにも銀行に対する被害内容の速やかなご連絡、事情のご説明や捜査機関へのご説明などを求めるが、銀行界として、お客さまのご理解が得られるよう広報活動等を積極的に行うとともに、被害拡大の抑止のために、連絡を受けた被仕向銀行において速やかに出金停止を行うな どの協力態勢を構築する。

※インターネット・バンキングにかかる補償の要件等については別紙 3 参照。

その別紙3(pdf)には、以下のように書かれている。

預金者過失あり・重過失

 インターネットの技術やその世界における犯罪手口は日々高度化しており、そうした中で、各行が提供するサービスは、そのセキュリティ対策を含め一様ではないことから、重過失・過失の類型や、それに応じた補償割合を定型的に策定することは困難である。したがって、補償を行う際には、被害に遭ったお客さまの態様やその状況等を加味して判断する。

 つまり、あらかじめ何を持って過失ありとするかは定められないので、個別対応にするということである。

 さてここで問題。ウィルスに感染したパソコンでインターネットバンキングも利用していた場合に、上記のような手口でIDパスワード等を盗取され、不正に送金されたという場合に、そのウィルス予防として合理的に要求できる対処を怠っていた場合には、銀行に補償を求めることができるだろうか?

 ウィルス対策ソフトをインストールしていなかった場合はもちろん、インストールしていてもアップデートの通知を無視して行わなかった場合には、そのことが原因でウィルスにデータ盗取されたというのであれば、重過失ないしは過失があると判断されることもあり得るのではないか?

 そのような可能性があるとすると、預金者の側での予防策が進んで、被害を減らせることも期待できる。しかし預金者の側で対策可能なことをしないという場合を過失と認めなければ、そのような対策を取ろうとするインセンティブも生まれにくいので、被害防止はなかなかできない。
 単純な経済分析のまね事だが、基本的にはこのように言うことができる。

 問題はそこからで、個々の消費者が、若者から高齢者に至るまで、適切な防御措置を執るように仕向けるにはどうしたら好いか、単に結果の責任を取らせたり銀行の約款等で定めたりするだけでは十分ではない。技術的な話は基本的に分からないのだが、例えば、オンラインバンキングに用いる端末をクッキーなどで限定すると共に、オンラインバンクへのアクセス時にウィルス対策ソフトの最新版がインストールされて機能していることを判別するプロセスをかませるということで、随分と被害は減るのではないか。

 オンライン・バンキングの利用効率というか利便性は随分と損なわれるが、いつでもどこでも取引できる環境は「誰でも」取引できる環境につながるだけに、仕方のないことである。

|

« Book:反省させると犯罪者になります | トップページ | 金融商品取引法192条による差止 »

パソコン・インターネット」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/31412/57917766

この記事へのトラックバック一覧です: NetBanking詐欺とセキュリティ保持義務:

« Book:反省させると犯罪者になります | トップページ | 金融商品取引法192条による差止 »