(2)検査時における3項目についてのポイント
A.安全・健全性検査官(safety-and –soundness examiner)はレッド・フラッグ手続の遵守および消費者に対する法令遵守検査(compliance examiner)中で大幅な住所相違やクレジットカード等における住所変更について適切な確認が行なわれているかにつき、定期検査時において重点的に検査を行うこととなった。
B.「大幅な住所相違の取使ルール」は、金融機関を含む消費者信用情報のユーザーに対し、信用報告機関(consumer reporting agency)に対し(筆者注8)から大幅な住所相違の通知を受けたときに報告を求めた消費者に関する消費者報告確認を義務付けるものである。これに加えて、同ユーザーは自らが(a)消費者と継続的な関係を確立している場合、かつ(2)定期的に信用報告機関に対し大幅な住所変更に関する通知を提供している場合、ユーザーが合理的に確認できた消費者の住所を信用報告機関に提供するためのポリシーと手続の策定が義務付けられた。
C.「レッド・フラッグ」ルールは、金融機関に対し、対象となる口座について新規則によりカバーされるかたちで提供および維持されているかどうかについて定期的に決定することを求める。対象口座は一般的に金融機関がなりすまし詐欺のリスクを予測しうる消費者の口座またはその他の口座である。新規または既存の対象口座に関し、金融機関はなりすまし詐欺の調査、阻止および削減という観点から設計された文書によるなりすまし詐欺阻止プログラムの作成と適用を行わなければならない。このプログラムは各金融機関の業務の規模や複雑さに合致したものでなければならない。金融機関は「銀行機密報告法(Bank Secrecy Act:BSA)」(筆者注9)や「反マネー・ローンダリングのための遵守プログラム(Anti-money Laundering compliance programs )等の既存の遵守プログラムに加え、なりすまし詐欺プログラムの考案が求められることとなった。
D.クレジットカードやデビットカード発行業者は、カードの追加発行や交換の要求に際し、住所変更手続の有効性調査に関するポリシーや手続の策定を行わねばならない。そのような状況下で、カード発行者はそれらポリシーや手続に従った住所変更の有効性の調査が完了するまで、カードの追加発行や交換を行ってはならない。
2.米国の金融機関等の対応の遅れ
2008年6月20日にBank Systems &Technologyの報告におけるLexisNexisの詐欺・法遵守担当部長デブ・ガイスター(Deb Geister)氏のレポート等において多くの問題点が指摘されている
筆者も従来から感じている疑問であるが、米国の金融関係者も指摘しているとおりFRB等の規則は金融機関がどのように対応すべきかが非常に曖昧である。すなわち、金融機関が何をなすべきかについては述べているが、どのように実践すべきかについて述べていないのである。遵守期限のみ決めてあとは自分で考えろといういかにも権威主義的である。そこに目をつけてビジネスが入り込む余地を作るのがいかにも米国流であるが、批判が出るのは当然であろう。
2008年の春にLexisNexisが行った約1,100人の銀行員を対象としたアンケート調査では、84%はレッド・フラッグ・プロジェクトの取組みを開始していないかまたは、始めたばかりという状況であった。その原因の1つは、FFIECが策定した多要素認証(Multi- factor Authentication)の対応ガイダンスと比較して周知度が極めて低いという点である。
なお、11月1日の法遵守期限の意味について補足しておく。当該企業や組織に対し次のペナルティが科されるのである。(筆者注10)
①FTCによる連邦裁判所への法執行申立て:規則にもとづき個別違反行為に対し、最高2,500ドル(約243,000円)の罰金が科される。
②州の法執行機関:州監督機関は住民に代って訴えを起こすことができる。その場合、各違反行為ごとに最高1,000ドル(約97,000円)の損失補償請求が行われ、かつ原告勝訴の場合は弁護士費用も負担することとなる。
③消費者は、なりすまし詐欺の被害に対し法遵守違反に基づく損害実額の補償を求める民事裁判を起こせる。この場合、多くはクラス・アクションとなり巨額な損害賠償を求められるとともに、原告勝訴の場合は合理的な範囲の弁護士費用も負担することとなる。
3.米国の金融機関にみるシステム・サポートの取組みや信用情報機関の支援システムの導入状況
Fact Actのレッド・フラッグ・ルールは、マニュアルでもオートマティックでもかまわない。以下で具体例を紹介するが、ガイスター氏等は金融機関の既存のリスク・アセスメントに関する情報システム(例えばマネー・ローンダリング・チェックのための口座取引のモニタリング・システム)の再利用が考えられると述べており、これらの取組みを理解するうえで参考となろう。
(1)Secure Identity Systems社(SIS)の例
フォーブスは10月8日のニュースでケンタッキー州ワシントン郡に本部を置く地方銀行“Springfield State Bank”(FDIC加盟銀行)がSIS社の支援のもとで当初のリスク・アセスメント・プログラムに係るポリシーやレッド・フラッグ手続のマニュアルをカスタマイズし、併せて全取引口座について新規口座の認証システムや住所変更時の確認システムを提供したと報じている(10月30日のフォーブスは、さらにSISの利用銀行等が増加(Troy Bank&Trust(本部はアラバマ州)、First Tier Bank of Kimball(本部はネブラスカ州)した旨報じている。
なお、ロイター通信が4月21日に報じている4金融機関(Affinity Bank,Campo Federal Credit Union,First National Bank of East Park Jeffco Credit Union)に対するSISのシステム・教育支援もあり、今後他金融機関における対応でも話題となろう。(筆者注11)
(Fact Act 114条への対応)
SISは同銀行のBank Secrecy Act対応システムの内容を調査し、標準的な2様式以上の認証方法を採用できるようにした。つまり同行の顧客が新規に口座開設する際、新規口座所有者に関する最も適切かつ最新の情報を連邦社会保障庁(the Social Security Administration)、個人信用情報機関(credit bureau)および郡政府がそれぞれ独自に管理している資産税徴収システムのデータベース(local property database)等一連のデータベースに簡易にアクセスできるよう解決策を開発した。 同様に、顧客が既存口座の住所変更手続を求めたとき、SISの住所変更確認システムにより、7億件以上の記録データベースを数秒で検索し、関連するリスクの程度を特定するのである。同システムの利用により、銀行は詐欺師が違法に住所を変更したり、顧客口座の乗っ取りといった潜在的リスクの約25%を排除できることとした。
SISのHP では、「レッド・フラッグ」規則対応(Red Flag Ruling Solutions)について詳細な説明がなされているが、金融機関だけでなく家族、企業を詐欺被害から守るための解決策が紹介されている。企業の独自のノウハウの関連からあまり詳しい内容ではないが、参考までに項目と要旨のみ記しておく。
① 当初のリスク・アセスメント(BSAの要求内容、情報セキュリティ、なりすまし詐欺対応プログラムを含む当該金融機関の提供商品やサービスの一覧化、適所なリスク・コントロールが行われていない商品についてのギャップ分析(筆者注12)を用いる。
②対応組織が策定すべき「ポリシーと手続マニュアル」に関するガイダンス
OCCやFDICの前検査官の協力により作成したものである。主な内容は(a)レッド・フラッグ対応に関する確認・調査、(b)なりすまし詐欺の阻止・削減、(c)レッド・フラッグの警告・注意通知、(d)不自然・疑わしい行動とは、(e)住所変更後の重要な変更事項、(f)改ざん・偽造・疑わしい文書とは、(g)レッド・フラッグ・プログラムの更新
③新規口座の認証(New Account Authentication:All consumer accounts)
レッド・フラッグの新規則は金融機関等に対し、口座の新規開設時に必要とされる伝統的な2様式(筆者注13)のID確認事務の他に第三者機関のデータベースとの照合という更なる詳細な確認義務を追加した。SISは、リアルタイムで「全米三大信用情報機関(Equifax、Trans Union、 Experian)」「ビジネス向け消費者データベース」(筆者注14)「電話会社」「連邦社会保障庁」「消費者報告機関」「法執行機関」「郡資産管理局」「米国郵便公社」「財務省外国資産管理局(OFAC)」「州陸運局(DMV)」が管理する約7億の記録(毎月400記録が更新される)にアクセスできる。
SISの照合システムは2部に分れており、ユーザー機関は①「基本照会申込入力項目」として、SSN、フルネーム、現住所、生年月日が、また②「追加照会項目」として「電話番号」「運転免許証番号」「前住所」について照会が可能である。
④住所変更時の照合方法
SISの住所変更確認システムは、最高レベルの住所に合致する個人を特定してフラッグを立て、また使い勝手のよい認証の実践を通じてエラー率を20%以上減らした。また、従来に比べ確認手順の迅速化(レスポンスタイムは3秒以下)を図った。
(筆者注8)「消費者報告機関」と「個人信用情報機関」の意味の相違について補足しておく。
FACT Actの改正前法であるFCR Actは、わが国の信用情報機関に相当する「消費者報告機関(consumer reporting agency)」の取り扱う個人情報について規整している。同法は、消費者報告機関のほか、消費者報告機関に情報を提供する者、消費者報告機関から消費者報告の提供を受けてこれを利用する者を広く規整しており、対象は金融機関に限られない。FCR法の保護対象である、「消費者報告(consumer report)」は、個人・家族・家計向けの与信や保険、雇用目的、その他法令上認められる目的で消費者の適格性(eligibility)を判断するため、消費者報告機関が第三者に提供する、個人の信用度・信用残高・信用枠・人格・一般的評判・個人的な特徴・生活様式に関する消費者(consumer)の情報である(同法603条(d)(1))。消費者は個人を意味するため(同法603条(c))、法人の情報は含まれない。
消費者報告機関(消費者報告を定期的に第三者に提供する者)の代表例は、Equifax、ExperianTransUnion等の個人信用情報機関(credit bureau)であるが、これに該当するか否かは、消費者報告に該当し得る情報を定期的に第三者に提供しているか否かにより機能的に判断されるため、このような情報を定期的に第三者に提供する者は、消費者報告機関とみなされる可能性がある。消費者報告機関は、本人の書面による指示がある場合や、与信・雇用目的・保険の引受・支払能力の評価等の特定の目的で利用されると消費者報告機関が信じるに足る理由がある場合、公的機関の要請がある場合等、一定の場合を除き、第三者への情報提供が認められないうえ(FCR法604条(a)、607条(a))、消費者報告の正確性を確保する義務(同法607条(b))や本人からの請求に応じて消費者報告を開示する義務(同法609条(a))等を負うこととなる。また、センシティブ情報の一部である医療情報については特に厳格な規制がなされる。このため、金融機関は消費者報告機関に該当しないようにしていると指摘されている。なお、FACT法により、金融機関(GLB法(Gram-Leach Bliley Act of 1999)上の金融機関と同義)が、顧客の事故情報(negative information)を、全米規模で信用情報を取り扱う消費者報告機関に提供する場合には、本人に書面により通知することとされた(改正FCR法623条(a)(7)(A)
「金融機関のグループ化に関する法律問題研究会」報告書(日本銀行金融研究所/金融研究/2005.11)より抜粋(下線部は筆者の補足箇所)。
(筆者注9)“Bank Secrecy Act”は正確に言うと「銀行等に対する機密性が高くまたは不審な現金払いおよび海外との金融取引等に関する報告義務法」である。
http://fukuhei.blogspot.com/2006_09_01_archive.html
(筆者注10)この解説部分は、もともと7年前に大手会計監査会社がネットワークセキュリティのコンサルティング専門会社として立ち上げた組織を、最大手のセキュリティ対策専門会社McAfeeが2004年9月に買収した“Foundstone”サイトから引用した。Red Flags Ruleについて分かりやすく解説している。
http://www.foundstone.com/us/pdf/ProgDev/red_flag_rule_datasheet.pdfn b
(筆者注11)4金融機関の導入に関する記事内容は、Springfield State Bankの場合とは異なる点があり、併せて紹介しておく。
(筆者注12)リスク分析の手法の1つで、管理基準をチェックリストとし、基準からの差異(GAP)に基づき脆弱性を分析するもの。以下の算出式により、リスクを定量的に示す。リスク=資産価値×脅威×脆弱性
(筆者注13)米国銀行等において新規口座開設時に必要とされるID書類について触れておく。ここでは米国市民権をもっている場合についてのみ説明する。
(1)IDのための最優先的ID確認カード・文書
①写真つき有効期限内の運転免許証
②写真つき有効期限内の当該銀行が所在する州発行のIDカード
③有効期限内のパスポート
④有効な義務兵役IDカード
(2)IDのための第二次的ID確認カード・文書
①地方の短大の学生および教員IDカード
②公的被介護者IDカード
③有効期限内のクレジットやデビットカード
④銃等小火器所有者カード(FOID card)
⑤氏名および写真つき有効期限内IDカード
⑥出生証明書の証明つき写し(certified copy of birth certificate)
http://72.14.235.104/search?q=cache:vJ-qNkbhzFIJ:www.busey.com/pdfs/new_account.pdf+traditional+forns+identification+saving+account+active+ssn&hl=ja&ct=clnk&cd=19
(筆者注14)SISがいう“commercial consumer databases”について、具体的な企業名は不明である。筆者の推測であるが、例えば「データマン・グループ」等が該当するのではないか。マーケテイング手法が多種対応な米国ならではのビジネスであろう。
〔参照URL〕
http://www.federalreserve.gov/boarddocs/srletters/2008/SR0807.htm#Footref2
http://www.fdic.gov/news/news/financial/2008/fil08105.html
http://www.bankinfosecurity.com/external/fil08105a.pdf
Copyright (c)2006-2008 福田平冶 All Rights Reserved.
0 件のコメント:
コメントを投稿