⑤なりすまし詐欺の阻止
SISレポート内容は、当該ユーザー企業自身が保有する顧客情報の増加をもたらすのみでなく、金銭面以外の顧客のなりすまし詐欺被害を阻止・保護するといった面で企業の信用度全体を向上させる機能を持つ。すなわち、SISは次の4要素を用意している。
(a)信用情報以外の個人のID全体のモニタリング
最新のFTCの報告でも、なりすまし詐欺の70%は非信用情報(non-credit related)に関するものであるとしている。このことは信用情報機関の保有する信用情報のみに頼らない、効果的な「なりすまし詐欺対策プログラム」が必要であることを示している。SISとしてはモニタリング対象とすべき取引項目・データは次であると指摘する。(%の数字はモニタリング対象を100%とした割合)
・ 信用情報関連:20%
・ 社会保障番号(SSN):15%
・ 政府の文書:10%
・ 銀行口座:16%
・ 電子的資金移動:8%
・ ワイヤレス口座(モバイル口座等):8%
・ 電話:4%
・ 詐欺的住所変更:6%
・ 公益事業(utility account):6%
・ 犯罪関係:3%
・ 投資:4%
(b)当初の調査
SISは新規利用企業等に対し、1,000のデータベースの矛盾点等を調査し、IDに関する危険な事態がすでに生じているか否かについて決定する。
(c)レッド・フラッグを立てる
次に矛盾するデータについてフラッグを立てることにより将来の潜在的詐欺行為を阻止することである。矛盾事項の選別は金銭面の損失の阻止のための更なる確認を必要とさせる。換言すると、顧客のクレジットカードの申込において既存の届出住所と異なる住所の記載がある場合は顧客へ警告が必要となる。
(d)継続的モニタリング
(e)SISは専門的教育を受けた紛争解決専門の企業内弁護士(professionally trained Resolution Advocates)を擁している。彼らは、詐欺被害の程度および問題解決のために行うべき事項の決定のため詐欺被害者に直接面談する。彼らは
個別解決案を予め用意し、徹夜で被害者にメールを送信するとともに一般の弁護士では限られる被害者の立場に立った直接的な支援(信用回復の過程を通じた被害者が持つであろう懸念材料に対する答等を用意)を行う。
(f)ユーザーたる金融機関等の顧客や役職員への教育的研修会を実施し、なりすまし詐欺の阻止に向けて相互のコミニュケーションの円滑化を支援する。
(g)AIGグループが開発した個人負担ゼロで25,000ドルを上限とする支出保障プラン“zero-deductible $25,000 expense reimbursement insurance”(筆者注15)を提供する。信用回復にかかる裁判費用等の個人的負担軽減策と言えるもので、1週あたり1,000ドル(最大4週間)が支給される。
(2)Equifaxの例
米国の3大信用情報機関の1つである“Equifx”もAIGグループと類似の保障サービス(Equifax Credit WatchTM Gold )を提供している。個人負担ゼロで最大20,000ドル(制約あり)、その他の点もAIGの保障内容と類似している(利用金額は月額9.95ドル)。
(3)LexisNexisの例
2005年3月の30万人以上の個人情報の流失事件を起こしているリスク・情報分析の専門会社である同社であるが、一方でSISと似たレッド・フラッグ規則に対応するためのモニタリング・システムを提供している。同社のHPを見て気が付くようにとにかく米国の市民は“good man”であることが金融取引だけでなく就職、結婚等日常生活すべてにかかわってくるのである。そのような背景からも、“InstantIDⓇ”、“FraudDefenderⓇ”といったツールを用いながら、なりすまし詐欺から自分自身を守らなければならない米国社会の現状が浮かび上がってくる。
(筆者注15)わが国において、米国における消費者の生保・損保等各種保険料負担対策について詳しく解説しているものは少ない。“deductible”の1語だけでも的確な訳語がない。その背景には仕組みが複雑な点もあるが、連邦・州政府の保険政策とのからみもあり、これだけで論文が書けよう。機会を改める。
AIGの保険サービス約款(AIG Personal Internet Identity Coverage Policy)の保障内容には、収入保障、信用回復にかかる民事訴訟の弁護士費用、ローンの再登録にかかる費用等が含まれる。
〔参照URL〕
http://www.federalreserve.gov/boarddocs/srletters/2008/SR0807.htm#Footref2
http://www.fdic.gov/news/news/financial/2008/fil08105.html
http://www.bankinfosecurity.com/external/fil08105a.pdf
Copyrights (c)2006-2008 福田平冶. All rights reserved
2008年11月2日日曜日
米国の金融機関等の「なりすまし詐欺犯罪」対応規制強化の最新動向(その2)
(2)検査時における3項目についてのポイント
A.安全・健全性検査官(safety-and –soundness examiner)はレッド・フラッグ手続の遵守および消費者に対する法令遵守検査(compliance examiner)中で大幅な住所相違やクレジットカード等における住所変更について適切な確認が行なわれているかにつき、定期検査時において重点的に検査を行うこととなった。
B.「大幅な住所相違の取使ルール」は、金融機関を含む消費者信用情報のユーザーに対し、信用報告機関(consumer reporting agency)に対し(筆者注8)から大幅な住所相違の通知を受けたときに報告を求めた消費者に関する消費者報告確認を義務付けるものである。これに加えて、同ユーザーは自らが(a)消費者と継続的な関係を確立している場合、かつ(2)定期的に信用報告機関に対し大幅な住所変更に関する通知を提供している場合、ユーザーが合理的に確認できた消費者の住所を信用報告機関に提供するためのポリシーと手続の策定が義務付けられた。
C.「レッド・フラッグ」ルールは、金融機関に対し、対象となる口座について新規則によりカバーされるかたちで提供および維持されているかどうかについて定期的に決定することを求める。対象口座は一般的に金融機関がなりすまし詐欺のリスクを予測しうる消費者の口座またはその他の口座である。新規または既存の対象口座に関し、金融機関はなりすまし詐欺の調査、阻止および削減という観点から設計された文書によるなりすまし詐欺阻止プログラムの作成と適用を行わなければならない。このプログラムは各金融機関の業務の規模や複雑さに合致したものでなければならない。金融機関は「銀行機密報告法(Bank Secrecy Act:BSA)」(筆者注9)や「反マネー・ローンダリングのための遵守プログラム(Anti-money Laundering compliance programs )等の既存の遵守プログラムに加え、なりすまし詐欺プログラムの考案が求められることとなった。
D.クレジットカードやデビットカード発行業者は、カードの追加発行や交換の要求に際し、住所変更手続の有効性調査に関するポリシーや手続の策定を行わねばならない。そのような状況下で、カード発行者はそれらポリシーや手続に従った住所変更の有効性の調査が完了するまで、カードの追加発行や交換を行ってはならない。
2.米国の金融機関等の対応の遅れ
2008年6月20日にBank Systems &Technologyの報告におけるLexisNexisの詐欺・法遵守担当部長デブ・ガイスター(Deb Geister)氏のレポート等において多くの問題点が指摘されている
筆者も従来から感じている疑問であるが、米国の金融関係者も指摘しているとおりFRB等の規則は金融機関がどのように対応すべきかが非常に曖昧である。すなわち、金融機関が何をなすべきかについては述べているが、どのように実践すべきかについて述べていないのである。遵守期限のみ決めてあとは自分で考えろといういかにも権威主義的である。そこに目をつけてビジネスが入り込む余地を作るのがいかにも米国流であるが、批判が出るのは当然であろう。
2008年の春にLexisNexisが行った約1,100人の銀行員を対象としたアンケート調査では、84%はレッド・フラッグ・プロジェクトの取組みを開始していないかまたは、始めたばかりという状況であった。その原因の1つは、FFIECが策定した多要素認証(Multi- factor Authentication)の対応ガイダンスと比較して周知度が極めて低いという点である。
なお、11月1日の法遵守期限の意味について補足しておく。当該企業や組織に対し次のペナルティが科されるのである。(筆者注10)
①FTCによる連邦裁判所への法執行申立て:規則にもとづき個別違反行為に対し、最高2,500ドル(約243,000円)の罰金が科される。
②州の法執行機関:州監督機関は住民に代って訴えを起こすことができる。その場合、各違反行為ごとに最高1,000ドル(約97,000円)の損失補償請求が行われ、かつ原告勝訴の場合は弁護士費用も負担することとなる。
③消費者は、なりすまし詐欺の被害に対し法遵守違反に基づく損害実額の補償を求める民事裁判を起こせる。この場合、多くはクラス・アクションとなり巨額な損害賠償を求められるとともに、原告勝訴の場合は合理的な範囲の弁護士費用も負担することとなる。
3.米国の金融機関にみるシステム・サポートの取組みや信用情報機関の支援システムの導入状況
Fact Actのレッド・フラッグ・ルールは、マニュアルでもオートマティックでもかまわない。以下で具体例を紹介するが、ガイスター氏等は金融機関の既存のリスク・アセスメントに関する情報システム(例えばマネー・ローンダリング・チェックのための口座取引のモニタリング・システム)の再利用が考えられると述べており、これらの取組みを理解するうえで参考となろう。
(1)Secure Identity Systems社(SIS)の例
フォーブスは10月8日のニュースでケンタッキー州ワシントン郡に本部を置く地方銀行“Springfield State Bank”(FDIC加盟銀行)がSIS社の支援のもとで当初のリスク・アセスメント・プログラムに係るポリシーやレッド・フラッグ手続のマニュアルをカスタマイズし、併せて全取引口座について新規口座の認証システムや住所変更時の確認システムを提供したと報じている(10月30日のフォーブスは、さらにSISの利用銀行等が増加(Troy Bank&Trust(本部はアラバマ州)、First Tier Bank of Kimball(本部はネブラスカ州)した旨報じている。
なお、ロイター通信が4月21日に報じている4金融機関(Affinity Bank,Campo Federal Credit Union,First National Bank of East Park Jeffco Credit Union)に対するSISのシステム・教育支援もあり、今後他金融機関における対応でも話題となろう。(筆者注11)
(Fact Act 114条への対応)
SISは同銀行のBank Secrecy Act対応システムの内容を調査し、標準的な2様式以上の認証方法を採用できるようにした。つまり同行の顧客が新規に口座開設する際、新規口座所有者に関する最も適切かつ最新の情報を連邦社会保障庁(the Social Security Administration)、個人信用情報機関(credit bureau)および郡政府がそれぞれ独自に管理している資産税徴収システムのデータベース(local property database)等一連のデータベースに簡易にアクセスできるよう解決策を開発した。 同様に、顧客が既存口座の住所変更手続を求めたとき、SISの住所変更確認システムにより、7億件以上の記録データベースを数秒で検索し、関連するリスクの程度を特定するのである。同システムの利用により、銀行は詐欺師が違法に住所を変更したり、顧客口座の乗っ取りといった潜在的リスクの約25%を排除できることとした。
SISのHP では、「レッド・フラッグ」規則対応(Red Flag Ruling Solutions)について詳細な説明がなされているが、金融機関だけでなく家族、企業を詐欺被害から守るための解決策が紹介されている。企業の独自のノウハウの関連からあまり詳しい内容ではないが、参考までに項目と要旨のみ記しておく。
① 当初のリスク・アセスメント(BSAの要求内容、情報セキュリティ、なりすまし詐欺対応プログラムを含む当該金融機関の提供商品やサービスの一覧化、適所なリスク・コントロールが行われていない商品についてのギャップ分析(筆者注12)を用いる。
②対応組織が策定すべき「ポリシーと手続マニュアル」に関するガイダンス
OCCやFDICの前検査官の協力により作成したものである。主な内容は(a)レッド・フラッグ対応に関する確認・調査、(b)なりすまし詐欺の阻止・削減、(c)レッド・フラッグの警告・注意通知、(d)不自然・疑わしい行動とは、(e)住所変更後の重要な変更事項、(f)改ざん・偽造・疑わしい文書とは、(g)レッド・フラッグ・プログラムの更新
③新規口座の認証(New Account Authentication:All consumer accounts)
レッド・フラッグの新規則は金融機関等に対し、口座の新規開設時に必要とされる伝統的な2様式(筆者注13)のID確認事務の他に第三者機関のデータベースとの照合という更なる詳細な確認義務を追加した。SISは、リアルタイムで「全米三大信用情報機関(Equifax、Trans Union、 Experian)」「ビジネス向け消費者データベース」(筆者注14)「電話会社」「連邦社会保障庁」「消費者報告機関」「法執行機関」「郡資産管理局」「米国郵便公社」「財務省外国資産管理局(OFAC)」「州陸運局(DMV)」が管理する約7億の記録(毎月400記録が更新される)にアクセスできる。
SISの照合システムは2部に分れており、ユーザー機関は①「基本照会申込入力項目」として、SSN、フルネーム、現住所、生年月日が、また②「追加照会項目」として「電話番号」「運転免許証番号」「前住所」について照会が可能である。
④住所変更時の照合方法
SISの住所変更確認システムは、最高レベルの住所に合致する個人を特定してフラッグを立て、また使い勝手のよい認証の実践を通じてエラー率を20%以上減らした。また、従来に比べ確認手順の迅速化(レスポンスタイムは3秒以下)を図った。
(筆者注8)「消費者報告機関」と「個人信用情報機関」の意味の相違について補足しておく。
FACT Actの改正前法であるFCR Actは、わが国の信用情報機関に相当する「消費者報告機関(consumer reporting agency)」の取り扱う個人情報について規整している。同法は、消費者報告機関のほか、消費者報告機関に情報を提供する者、消費者報告機関から消費者報告の提供を受けてこれを利用する者を広く規整しており、対象は金融機関に限られない。FCR法の保護対象である、「消費者報告(consumer report)」は、個人・家族・家計向けの与信や保険、雇用目的、その他法令上認められる目的で消費者の適格性(eligibility)を判断するため、消費者報告機関が第三者に提供する、個人の信用度・信用残高・信用枠・人格・一般的評判・個人的な特徴・生活様式に関する消費者(consumer)の情報である(同法603条(d)(1))。消費者は個人を意味するため(同法603条(c))、法人の情報は含まれない。
消費者報告機関(消費者報告を定期的に第三者に提供する者)の代表例は、Equifax、ExperianTransUnion等の個人信用情報機関(credit bureau)であるが、これに該当するか否かは、消費者報告に該当し得る情報を定期的に第三者に提供しているか否かにより機能的に判断されるため、このような情報を定期的に第三者に提供する者は、消費者報告機関とみなされる可能性がある。消費者報告機関は、本人の書面による指示がある場合や、与信・雇用目的・保険の引受・支払能力の評価等の特定の目的で利用されると消費者報告機関が信じるに足る理由がある場合、公的機関の要請がある場合等、一定の場合を除き、第三者への情報提供が認められないうえ(FCR法604条(a)、607条(a))、消費者報告の正確性を確保する義務(同法607条(b))や本人からの請求に応じて消費者報告を開示する義務(同法609条(a))等を負うこととなる。また、センシティブ情報の一部である医療情報については特に厳格な規制がなされる。このため、金融機関は消費者報告機関に該当しないようにしていると指摘されている。なお、FACT法により、金融機関(GLB法(Gram-Leach Bliley Act of 1999)上の金融機関と同義)が、顧客の事故情報(negative information)を、全米規模で信用情報を取り扱う消費者報告機関に提供する場合には、本人に書面により通知することとされた(改正FCR法623条(a)(7)(A)
「金融機関のグループ化に関する法律問題研究会」報告書(日本銀行金融研究所/金融研究/2005.11)より抜粋(下線部は筆者の補足箇所)。
(筆者注9)“Bank Secrecy Act”は正確に言うと「銀行等に対する機密性が高くまたは不審な現金払いおよび海外との金融取引等に関する報告義務法」である。
http://fukuhei.blogspot.com/2006_09_01_archive.html
(筆者注10)この解説部分は、もともと7年前に大手会計監査会社がネットワークセキュリティのコンサルティング専門会社として立ち上げた組織を、最大手のセキュリティ対策専門会社McAfeeが2004年9月に買収した“Foundstone”サイトから引用した。Red Flags Ruleについて分かりやすく解説している。
http://www.foundstone.com/us/pdf/ProgDev/red_flag_rule_datasheet.pdfn b
(筆者注11)4金融機関の導入に関する記事内容は、Springfield State Bankの場合とは異なる点があり、併せて紹介しておく。
(筆者注12)リスク分析の手法の1つで、管理基準をチェックリストとし、基準からの差異(GAP)に基づき脆弱性を分析するもの。以下の算出式により、リスクを定量的に示す。リスク=資産価値×脅威×脆弱性
(筆者注13)米国銀行等において新規口座開設時に必要とされるID書類について触れておく。ここでは米国市民権をもっている場合についてのみ説明する。
(1)IDのための最優先的ID確認カード・文書
①写真つき有効期限内の運転免許証
②写真つき有効期限内の当該銀行が所在する州発行のIDカード
③有効期限内のパスポート
④有効な義務兵役IDカード
(2)IDのための第二次的ID確認カード・文書
①地方の短大の学生および教員IDカード
②公的被介護者IDカード
③有効期限内のクレジットやデビットカード
④銃等小火器所有者カード(FOID card)
⑤氏名および写真つき有効期限内IDカード
⑥出生証明書の証明つき写し(certified copy of birth certificate)
http://72.14.235.104/search?q=cache:vJ-qNkbhzFIJ:www.busey.com/pdfs/new_account.pdf+traditional+forns+identification+saving+account+active+ssn&hl=ja&ct=clnk&cd=19
(筆者注14)SISがいう“commercial consumer databases”について、具体的な企業名は不明である。筆者の推測であるが、例えば「データマン・グループ」等が該当するのではないか。マーケテイング手法が多種対応な米国ならではのビジネスであろう。
〔参照URL〕
http://www.federalreserve.gov/boarddocs/srletters/2008/SR0807.htm#Footref2
http://www.fdic.gov/news/news/financial/2008/fil08105.html
http://www.bankinfosecurity.com/external/fil08105a.pdf
Copyright (c)2006-2008 福田平冶 All Rights Reserved.
A.安全・健全性検査官(safety-and –soundness examiner)はレッド・フラッグ手続の遵守および消費者に対する法令遵守検査(compliance examiner)中で大幅な住所相違やクレジットカード等における住所変更について適切な確認が行なわれているかにつき、定期検査時において重点的に検査を行うこととなった。
B.「大幅な住所相違の取使ルール」は、金融機関を含む消費者信用情報のユーザーに対し、信用報告機関(consumer reporting agency)に対し(筆者注8)から大幅な住所相違の通知を受けたときに報告を求めた消費者に関する消費者報告確認を義務付けるものである。これに加えて、同ユーザーは自らが(a)消費者と継続的な関係を確立している場合、かつ(2)定期的に信用報告機関に対し大幅な住所変更に関する通知を提供している場合、ユーザーが合理的に確認できた消費者の住所を信用報告機関に提供するためのポリシーと手続の策定が義務付けられた。
C.「レッド・フラッグ」ルールは、金融機関に対し、対象となる口座について新規則によりカバーされるかたちで提供および維持されているかどうかについて定期的に決定することを求める。対象口座は一般的に金融機関がなりすまし詐欺のリスクを予測しうる消費者の口座またはその他の口座である。新規または既存の対象口座に関し、金融機関はなりすまし詐欺の調査、阻止および削減という観点から設計された文書によるなりすまし詐欺阻止プログラムの作成と適用を行わなければならない。このプログラムは各金融機関の業務の規模や複雑さに合致したものでなければならない。金融機関は「銀行機密報告法(Bank Secrecy Act:BSA)」(筆者注9)や「反マネー・ローンダリングのための遵守プログラム(Anti-money Laundering compliance programs )等の既存の遵守プログラムに加え、なりすまし詐欺プログラムの考案が求められることとなった。
D.クレジットカードやデビットカード発行業者は、カードの追加発行や交換の要求に際し、住所変更手続の有効性調査に関するポリシーや手続の策定を行わねばならない。そのような状況下で、カード発行者はそれらポリシーや手続に従った住所変更の有効性の調査が完了するまで、カードの追加発行や交換を行ってはならない。
2.米国の金融機関等の対応の遅れ
2008年6月20日にBank Systems &Technologyの報告におけるLexisNexisの詐欺・法遵守担当部長デブ・ガイスター(Deb Geister)氏のレポート等において多くの問題点が指摘されている
筆者も従来から感じている疑問であるが、米国の金融関係者も指摘しているとおりFRB等の規則は金融機関がどのように対応すべきかが非常に曖昧である。すなわち、金融機関が何をなすべきかについては述べているが、どのように実践すべきかについて述べていないのである。遵守期限のみ決めてあとは自分で考えろといういかにも権威主義的である。そこに目をつけてビジネスが入り込む余地を作るのがいかにも米国流であるが、批判が出るのは当然であろう。
2008年の春にLexisNexisが行った約1,100人の銀行員を対象としたアンケート調査では、84%はレッド・フラッグ・プロジェクトの取組みを開始していないかまたは、始めたばかりという状況であった。その原因の1つは、FFIECが策定した多要素認証(Multi- factor Authentication)の対応ガイダンスと比較して周知度が極めて低いという点である。
なお、11月1日の法遵守期限の意味について補足しておく。当該企業や組織に対し次のペナルティが科されるのである。(筆者注10)
①FTCによる連邦裁判所への法執行申立て:規則にもとづき個別違反行為に対し、最高2,500ドル(約243,000円)の罰金が科される。
②州の法執行機関:州監督機関は住民に代って訴えを起こすことができる。その場合、各違反行為ごとに最高1,000ドル(約97,000円)の損失補償請求が行われ、かつ原告勝訴の場合は弁護士費用も負担することとなる。
③消費者は、なりすまし詐欺の被害に対し法遵守違反に基づく損害実額の補償を求める民事裁判を起こせる。この場合、多くはクラス・アクションとなり巨額な損害賠償を求められるとともに、原告勝訴の場合は合理的な範囲の弁護士費用も負担することとなる。
3.米国の金融機関にみるシステム・サポートの取組みや信用情報機関の支援システムの導入状況
Fact Actのレッド・フラッグ・ルールは、マニュアルでもオートマティックでもかまわない。以下で具体例を紹介するが、ガイスター氏等は金融機関の既存のリスク・アセスメントに関する情報システム(例えばマネー・ローンダリング・チェックのための口座取引のモニタリング・システム)の再利用が考えられると述べており、これらの取組みを理解するうえで参考となろう。
(1)Secure Identity Systems社(SIS)の例
フォーブスは10月8日のニュースでケンタッキー州ワシントン郡に本部を置く地方銀行“Springfield State Bank”(FDIC加盟銀行)がSIS社の支援のもとで当初のリスク・アセスメント・プログラムに係るポリシーやレッド・フラッグ手続のマニュアルをカスタマイズし、併せて全取引口座について新規口座の認証システムや住所変更時の確認システムを提供したと報じている(10月30日のフォーブスは、さらにSISの利用銀行等が増加(Troy Bank&Trust(本部はアラバマ州)、First Tier Bank of Kimball(本部はネブラスカ州)した旨報じている。
なお、ロイター通信が4月21日に報じている4金融機関(Affinity Bank,Campo Federal Credit Union,First National Bank of East Park Jeffco Credit Union)に対するSISのシステム・教育支援もあり、今後他金融機関における対応でも話題となろう。(筆者注11)
(Fact Act 114条への対応)
SISは同銀行のBank Secrecy Act対応システムの内容を調査し、標準的な2様式以上の認証方法を採用できるようにした。つまり同行の顧客が新規に口座開設する際、新規口座所有者に関する最も適切かつ最新の情報を連邦社会保障庁(the Social Security Administration)、個人信用情報機関(credit bureau)および郡政府がそれぞれ独自に管理している資産税徴収システムのデータベース(local property database)等一連のデータベースに簡易にアクセスできるよう解決策を開発した。 同様に、顧客が既存口座の住所変更手続を求めたとき、SISの住所変更確認システムにより、7億件以上の記録データベースを数秒で検索し、関連するリスクの程度を特定するのである。同システムの利用により、銀行は詐欺師が違法に住所を変更したり、顧客口座の乗っ取りといった潜在的リスクの約25%を排除できることとした。
SISのHP では、「レッド・フラッグ」規則対応(Red Flag Ruling Solutions)について詳細な説明がなされているが、金融機関だけでなく家族、企業を詐欺被害から守るための解決策が紹介されている。企業の独自のノウハウの関連からあまり詳しい内容ではないが、参考までに項目と要旨のみ記しておく。
① 当初のリスク・アセスメント(BSAの要求内容、情報セキュリティ、なりすまし詐欺対応プログラムを含む当該金融機関の提供商品やサービスの一覧化、適所なリスク・コントロールが行われていない商品についてのギャップ分析(筆者注12)を用いる。
②対応組織が策定すべき「ポリシーと手続マニュアル」に関するガイダンス
OCCやFDICの前検査官の協力により作成したものである。主な内容は(a)レッド・フラッグ対応に関する確認・調査、(b)なりすまし詐欺の阻止・削減、(c)レッド・フラッグの警告・注意通知、(d)不自然・疑わしい行動とは、(e)住所変更後の重要な変更事項、(f)改ざん・偽造・疑わしい文書とは、(g)レッド・フラッグ・プログラムの更新
③新規口座の認証(New Account Authentication:All consumer accounts)
レッド・フラッグの新規則は金融機関等に対し、口座の新規開設時に必要とされる伝統的な2様式(筆者注13)のID確認事務の他に第三者機関のデータベースとの照合という更なる詳細な確認義務を追加した。SISは、リアルタイムで「全米三大信用情報機関(Equifax、Trans Union、 Experian)」「ビジネス向け消費者データベース」(筆者注14)「電話会社」「連邦社会保障庁」「消費者報告機関」「法執行機関」「郡資産管理局」「米国郵便公社」「財務省外国資産管理局(OFAC)」「州陸運局(DMV)」が管理する約7億の記録(毎月400記録が更新される)にアクセスできる。
SISの照合システムは2部に分れており、ユーザー機関は①「基本照会申込入力項目」として、SSN、フルネーム、現住所、生年月日が、また②「追加照会項目」として「電話番号」「運転免許証番号」「前住所」について照会が可能である。
④住所変更時の照合方法
SISの住所変更確認システムは、最高レベルの住所に合致する個人を特定してフラッグを立て、また使い勝手のよい認証の実践を通じてエラー率を20%以上減らした。また、従来に比べ確認手順の迅速化(レスポンスタイムは3秒以下)を図った。
(筆者注8)「消費者報告機関」と「個人信用情報機関」の意味の相違について補足しておく。
FACT Actの改正前法であるFCR Actは、わが国の信用情報機関に相当する「消費者報告機関(consumer reporting agency)」の取り扱う個人情報について規整している。同法は、消費者報告機関のほか、消費者報告機関に情報を提供する者、消費者報告機関から消費者報告の提供を受けてこれを利用する者を広く規整しており、対象は金融機関に限られない。FCR法の保護対象である、「消費者報告(consumer report)」は、個人・家族・家計向けの与信や保険、雇用目的、その他法令上認められる目的で消費者の適格性(eligibility)を判断するため、消費者報告機関が第三者に提供する、個人の信用度・信用残高・信用枠・人格・一般的評判・個人的な特徴・生活様式に関する消費者(consumer)の情報である(同法603条(d)(1))。消費者は個人を意味するため(同法603条(c))、法人の情報は含まれない。
消費者報告機関(消費者報告を定期的に第三者に提供する者)の代表例は、Equifax、ExperianTransUnion等の個人信用情報機関(credit bureau)であるが、これに該当するか否かは、消費者報告に該当し得る情報を定期的に第三者に提供しているか否かにより機能的に判断されるため、このような情報を定期的に第三者に提供する者は、消費者報告機関とみなされる可能性がある。消費者報告機関は、本人の書面による指示がある場合や、与信・雇用目的・保険の引受・支払能力の評価等の特定の目的で利用されると消費者報告機関が信じるに足る理由がある場合、公的機関の要請がある場合等、一定の場合を除き、第三者への情報提供が認められないうえ(FCR法604条(a)、607条(a))、消費者報告の正確性を確保する義務(同法607条(b))や本人からの請求に応じて消費者報告を開示する義務(同法609条(a))等を負うこととなる。また、センシティブ情報の一部である医療情報については特に厳格な規制がなされる。このため、金融機関は消費者報告機関に該当しないようにしていると指摘されている。なお、FACT法により、金融機関(GLB法(Gram-Leach Bliley Act of 1999)上の金融機関と同義)が、顧客の事故情報(negative information)を、全米規模で信用情報を取り扱う消費者報告機関に提供する場合には、本人に書面により通知することとされた(改正FCR法623条(a)(7)(A)
「金融機関のグループ化に関する法律問題研究会」報告書(日本銀行金融研究所/金融研究/2005.11)より抜粋(下線部は筆者の補足箇所)。
(筆者注9)“Bank Secrecy Act”は正確に言うと「銀行等に対する機密性が高くまたは不審な現金払いおよび海外との金融取引等に関する報告義務法」である。
http://fukuhei.blogspot.com/2006_09_01_archive.html
(筆者注10)この解説部分は、もともと7年前に大手会計監査会社がネットワークセキュリティのコンサルティング専門会社として立ち上げた組織を、最大手のセキュリティ対策専門会社McAfeeが2004年9月に買収した“Foundstone”サイトから引用した。Red Flags Ruleについて分かりやすく解説している。
http://www.foundstone.com/us/pdf/ProgDev/red_flag_rule_datasheet.pdfn b
(筆者注11)4金融機関の導入に関する記事内容は、Springfield State Bankの場合とは異なる点があり、併せて紹介しておく。
(筆者注12)リスク分析の手法の1つで、管理基準をチェックリストとし、基準からの差異(GAP)に基づき脆弱性を分析するもの。以下の算出式により、リスクを定量的に示す。リスク=資産価値×脅威×脆弱性
(筆者注13)米国銀行等において新規口座開設時に必要とされるID書類について触れておく。ここでは米国市民権をもっている場合についてのみ説明する。
(1)IDのための最優先的ID確認カード・文書
①写真つき有効期限内の運転免許証
②写真つき有効期限内の当該銀行が所在する州発行のIDカード
③有効期限内のパスポート
④有効な義務兵役IDカード
(2)IDのための第二次的ID確認カード・文書
①地方の短大の学生および教員IDカード
②公的被介護者IDカード
③有効期限内のクレジットやデビットカード
④銃等小火器所有者カード(FOID card)
⑤氏名および写真つき有効期限内IDカード
⑥出生証明書の証明つき写し(certified copy of birth certificate)
http://72.14.235.104/search?q=cache:vJ-qNkbhzFIJ:www.busey.com/pdfs/new_account.pdf+traditional+forns+identification+saving+account+active+ssn&hl=ja&ct=clnk&cd=19
(筆者注14)SISがいう“commercial consumer databases”について、具体的な企業名は不明である。筆者の推測であるが、例えば「データマン・グループ」等が該当するのではないか。マーケテイング手法が多種対応な米国ならではのビジネスであろう。
〔参照URL〕
http://www.federalreserve.gov/boarddocs/srletters/2008/SR0807.htm#Footref2
http://www.fdic.gov/news/news/financial/2008/fil08105.html
http://www.bankinfosecurity.com/external/fil08105a.pdf
Copyright (c)2006-2008 福田平冶 All Rights Reserved.
米国の金融機関等の「なりすまし詐欺犯罪」対応規制強化の最新動向(その1)
〔Summary in English〕
“The Fair and Accurate Credit Transactions Act of 2003(Fact Act)” of the United States taken up by this blog in July, 2006 .
The Federal Deposit Insurance Corporation (FDIC) and The Board of Governors of the Federal Reserve System (FRB) have issued“The Interagency Examination Procedures for the Identity Theft Red Flags and other Regulations under the Fair Credit Reporting Act(Fcr Act)“on October 10 ,2008, as a closing phase of the approach on "Red Flags" procedure and “address discrepancy rule”required of Section 114 and 316 of the Fact Act . The "Identity Theft" crime that is extending with evolution of the information technology society and international population movement in the United States and EU member states.
Not only the finance institutions but also the consumer reporting agencies has been extremely perplexed though it is that a financial regulator and FTC (Federal Trade Commission) has settled on extremely the important rule and guideline .
It should be noted that the package service that builds in concrete correspondence for information technology skill and financial former examiner's knowhow for the writing of the policy and the program that the business has been most perplexed, is established as a business as reported by the Reuters news April 21 and the Forbes on October 8, and financial institution users are increasing in the United States.
In this blog, I will illustrate the outline of the examination rule of a financial regulator on the current "Red flag" procedure and the content of the inspection made public in this time, and briefly introduce the content of the example of the match of the security development business and the law information service business that correspond of the above embarrassed issues.
In that sense, not only the credit card issuers but also the financial institutions and the consumer own improving consciousness of crisis to risk management becomes a lesson in "Swindle ..the shake.. ..putting.." of our country where damage doesn't decrease at all.
2006年7月の本ブログで詳しく取り上げた米国の「2003年信用取引の公正・適正化に関する法律(the Fair and Accurate Credit Transactions Act of 2003:Fact Act)」114条、315条に基づく「レッド・フラッグ」手順や大幅な住所相違通知等への取組みプログラムの最終段階として、2008年10月10日に連邦準備制度理事会(FRB)等は金融監督機関共通の検査手続(Interagency Examination Procedures)を公表した(連邦預金保険公社(FDIC)は2008年10月16日に公表している)。
「なりすまし詐欺」は米国やEU等ではIT社会の進化や国際的人口移動とともに広がる最大の取組課題となっていることは間違いない。米国連邦の金融監督機関やFTC(連邦取引委員会)が極めて重要な政策課題と位置づけて策定した行政規則やガイドラインであるが、強制遵守期限である2008年11月1日を間近にひかえ、金融界だけでなく信用報告機関の受け止め方は極めて困惑しているといえる。
しかし、米国らしさが発揮されるのは4月21日のロイター・ニュースや10月30日のフォーブス紙が報じているように、IT技術や前金融検査官のノウハウや企業が一番困惑しているポリシーやプログラムの策定という法令遵守義務のための具体的対応を組み込んだパッケージ・システム・サポート・サービスがITビジネスとして確立され、その利用金融機関が増加してきている点である。(筆者注1)
今回のブログでは、これまでの「レッド・フラッグ」手続きに関する金融監督機関の検討の経緯および今回公表された検査内容の概要について紹介し、併せてその対応に関し、前述したセキュリティ開発企業や法令情報サービス企業の取組例の内容について、簡単に解説する。
なお、わが国においても、マネー・ロンダリング対策として金融機関等における口座開設時の本人確認義務の厳格化や、2008年3月1日から「犯罪による収益の移転防止に関する法律」により、本人確認の義務の範囲や対象となる事業者の範囲が金融機関から拡大される部分などについて施行された。(筆者注2)
詐欺の手口は日々巧妙化する。わが国において「フィッシングに基づくなりすまし」「マネロンのチェックの回避のための口座売買」等が手口を変えながらますます増殖することは間違いなく、金融機関等のおける「疑わしい取引」報告義務の拡大や「振り込め詐欺」対策としての、不自然な口座の取引のモニタリング・システムといったシステム面の対応の要請が強まるのは時間の問題であろう。
なお、2009年中に施行される割賦販売法の一部改正に基づくクレジット業者規制の強化(消費者信用情報機関利用の義務付け)は、わが国でも欧米型のなりすまし詐欺のリスクが広がることを予測させる。
その意味で、金融機関やクレジット業者のみでなく消費者自らがリスク管理に対する危機意識を高めることが、被害が一向に減らないわが国の「振り込め詐欺」での教訓となろう。
今回も原稿量が多くなり3回に分けて掲載する。
1.米国金融監督機関等における「なりすまし詐欺」の早期予知・警戒情報整備に対する規則制定の経緯
(1)今までの経緯に即して最近時の主な対応内容を中心に述べると、次の通りとなる。(筆者注3)
A. 2006年7月18日に、FDIC等連邦金融監督機関と連邦取引委員会(FTC)は連名でFact Actに基づく①金融機関向け適用・解釈ガイドライン、②金融機関のガイドライン適用時の監督機関の規則、③金融機関の取締役会等を含む組織的対応プログラムのあり方等に関する草案を公表した(パブリック・コメント期間は2006年9月18日まで)。(筆者注4)
B.2007年4月11日に、FDICは「なりすまし詐欺」に対する監督ポリシーを公表した。
C.2007年11月9日に、FDIC等5監督機関とFTCは連名で「レッド・フラッグ」と大幅な住所相違(address discrepancies)等の取扱いに関する最終共通行政規則およびガイドラインを公表した。同規則は、金融機関やクレジット業者(creditors)ならびにクレジットやデビットカード発行業者に対し、①消費者信用情報の利用ユーザーに対する住所の大幅な相違についての通知の中で、合理的な範囲での本人確認義務(address discrepancy rule)(12 CFR 222.82)、②金融機関に対するなりすまし詐欺の調査、阻止および削減に関する協力義務(identity theft red flags rule)(12 CFR 222.90)、③クレジット・デビットカード発行業者の住所変更の有効性を調査する義務(card issuer rule)(12 CFR 222.91)の3つをコアとする要求を行っている。
ガイドライン(Appendix J)の追補A (Federal Register / Vol. 72, No. 217の63755頁以下)において、金融機関やクレジット業者が阻止プログラムに協同して取組むため、26項目の「レッド・フラッグ」のリスト(筆者注5)を参考掲示した。
D.2008年1月1日に諸行政規則とガイドラインが施行され、2008年11月1日に金融機関の遵守が義務化(mandatory compliance)された。なお、FTCは2007年11月の規則やガイドラインに基づく書面プログラムの作成義務について、監督下にあるノンバンクのクレジット業者や州免許の信用組合のなりすまし詐欺阻止のプログラム策定の遅れを認め、10月22日付けで「レッド・フラグ規則」の遵守期限を2009年5月1日に6か月延期するとの決定を行っている。(筆者注6)(筆者注7)
これにより、FDIC等やFTCは「なりすまし詐欺」に対するリスク管理という観点から金融機関に対する検査内容を強化することとなった。
(筆者注1)米国の代表的銀行協会“American Bankers Association(ABA)”も、レッド・フラッグ・ルールの対応・導入に関するガイダンス CD-ROMをオンライン販売している。CD-ROM中の説明者はABAの幹部のほかLexisNexisの詐欺問題担当部長Deb Geister氏、FDICの上級アナリスト、銀行の副頭取であり、価格は会員金融機関が255ドル、非会員は385ドルである。
(筆者注2) 2008年3月1日施行の「犯罪収益移転防止法(Act on Prevention Transfer of Criminal Process of 2007)の制定により、届出対象事業者が、従来の金融機関等からファイナンス・リース業者、クレジット・カード業者、宅地建物取引業者、貴金属等取引業者、郵便物受取・電話受付サービス業者等に拡大されたほか、金融庁(特定金融情報室)に設置されていたFIU機能が国家公安委員会・警察庁の「刑事局組織犯罪対策部犯罪収益移転防止管理官(JAFIC)」に移管した。JAFICは、全国各地の金融機関等から届け出られたマネー・ローンダリングの疑いがある取引情報を様々な角度から分析し、捜査機関に捜査の端緒となるべき情報を提供している。JAFICは、所管行政庁や捜査機関等との定期的な情報交換を行うなど連携を取り合いながら、効果的なマネー・ローンダリング対策を検討するとともに、特定事業者が疑わしい取引の届出を行う際の判断基準となる「疑わしい取引の参考事例」などについて、所管行政庁と連携をしながら順次公開し、疑わしい取引の届出制度の適切な運用ができるよう活動を行っている。
(筆者注3)FDICのID詐欺への取組みは、厳密に言うと2001年3月から始まっている。参考までにトッピックスを紹介しておく。
FIL-22-2006, Prohibition Against Discrimination in Credit Transactions, issued March 9, 2006
FIL-27-2005, Guidance on Response Programs for Unauthorized Access to Customer Information and Customer Notice, issued April 1, 2005
FIL-7-2005, Guidelines Requiring the Proper Disposal of Consumer Information, issued February 2, 2005
FIL-22-2001, Guidelines Establishing Standards for Safeguarding Customer Information, issued March 14, 2001
(筆者注4)2006年7月18日に公表されたFDIC等連邦金融監督機関と連邦取引委員会(FTC)が連名でFact Actに基づきIdentity theft阻止に関し金融機関等に義務化する具体的対応に関する規則やガイドラインについては、同年7月の本ブログで詳しく紹介した。今回の内容と併せて読んで欲しい。
(筆者注5)既存または変更の行われる対象口座に対する「なりすまし詐欺」の調査、阻止および軽減させるプログラムの作成を支援させるため、レッド・フラッグを掲げるための26の例示の内容を紹介している。「詐欺」行為の兆候を事前に予見することは極めて困難な問題であるが、わずかな不自然さを見逃さない日常的な訓練が必要であることは、わが国の金融機関や捜査機関の場合も同様といえよう。
(筆者注6)FTCの遵守期限の6か月延期の理由について、FTCの10月22日のリリース等の情報に基づき補足しておく。FTCの最近の調査では自動車デーラー、公益企業、不動産担保ブローカー、電話会社、非営利政府機関等事業遂行上で個人信用情報に依存している事業者は全米で約1,100万におよぶ。議会はFact Actに言う「クレジット業者」を極めて広く定義したため、FTCがなりすまし阻止プログラムへの取組みについて実態調査した結果、プログラムの策定開発義務について十分認識していない企業が多いことが判明した。また、また全米信用組合協会(CUNA)によると、FTCの監督下にある州免許信用組合のみFTCの規則により延期の影響を受ける一方で、信用組合の監督機関である全米信用組合管理庁(NCUA)(筆者注7)の監督下にある信用組合は原則とおり2008年11月1日が遵守期限である。
(筆者補足:今回のFTCの延期措置の意味するところは、FTCは6か月間は遵守違反にもとづく公訴を行わないということであって、本文2.詐欺被害者の原告弁護士(plaintiff attorney)によるクラス・アクションといった訴訟リスクがなくなるわけではない)。
また、「レッド・フラグ手順」と同時に対応が義務付けられる「大幅な住所相違報告ルール(address discrepancy rule)」についても延期は行わない。
(筆者注7)全米信用組合管理庁(NCUA)のわが国の訳語を見ると区々である。「信用組合連盟(NCUA)」や「全米信用連盟」(野村資本市場研究所の訳)、「連邦監督局のNCUA」(農林中金総合研究所の訳)、「信用組合管理局」(reuters.jpの訳)、「国法クレジットユニオン監督庁」(国立国会図書館の訳)等である。NCUAのHPで確認すると“The National Credit Union Administration (NCUA) is the independent federal agency that charters and supervises federal credit unions.”である。読者はどの訳語が正確と思われるか。
〔参照URL〕
http://www.federalreserve.gov/boarddocs/srletters/2008/SR0807.htm#Footref2
http://www.fdic.gov/news/news/financial/2008/fil08105.html
http://www.bankinfosecurity.com/external/fil08105a.pdf
Copyright (c)2006-2008 福田平冶 All Rights Reserved.
“The Fair and Accurate Credit Transactions Act of 2003(Fact Act)” of the United States taken up by this blog in July, 2006 .
The Federal Deposit Insurance Corporation (FDIC) and The Board of Governors of the Federal Reserve System (FRB) have issued“The Interagency Examination Procedures for the Identity Theft Red Flags and other Regulations under the Fair Credit Reporting Act(Fcr Act)“on October 10 ,2008, as a closing phase of the approach on "Red Flags" procedure and “address discrepancy rule”required of Section 114 and 316 of the Fact Act . The "Identity Theft" crime that is extending with evolution of the information technology society and international population movement in the United States and EU member states.
Not only the finance institutions but also the consumer reporting agencies has been extremely perplexed though it is that a financial regulator and FTC (Federal Trade Commission) has settled on extremely the important rule and guideline .
It should be noted that the package service that builds in concrete correspondence for information technology skill and financial former examiner's knowhow for the writing of the policy and the program that the business has been most perplexed, is established as a business as reported by the Reuters news April 21 and the Forbes on October 8, and financial institution users are increasing in the United States.
In this blog, I will illustrate the outline of the examination rule of a financial regulator on the current "Red flag" procedure and the content of the inspection made public in this time, and briefly introduce the content of the example of the match of the security development business and the law information service business that correspond of the above embarrassed issues.
In that sense, not only the credit card issuers but also the financial institutions and the consumer own improving consciousness of crisis to risk management becomes a lesson in "Swindle ..the shake.. ..putting.." of our country where damage doesn't decrease at all.
2006年7月の本ブログで詳しく取り上げた米国の「2003年信用取引の公正・適正化に関する法律(the Fair and Accurate Credit Transactions Act of 2003:Fact Act)」114条、315条に基づく「レッド・フラッグ」手順や大幅な住所相違通知等への取組みプログラムの最終段階として、2008年10月10日に連邦準備制度理事会(FRB)等は金融監督機関共通の検査手続(Interagency Examination Procedures)を公表した(連邦預金保険公社(FDIC)は2008年10月16日に公表している)。
「なりすまし詐欺」は米国やEU等ではIT社会の進化や国際的人口移動とともに広がる最大の取組課題となっていることは間違いない。米国連邦の金融監督機関やFTC(連邦取引委員会)が極めて重要な政策課題と位置づけて策定した行政規則やガイドラインであるが、強制遵守期限である2008年11月1日を間近にひかえ、金融界だけでなく信用報告機関の受け止め方は極めて困惑しているといえる。
しかし、米国らしさが発揮されるのは4月21日のロイター・ニュースや10月30日のフォーブス紙が報じているように、IT技術や前金融検査官のノウハウや企業が一番困惑しているポリシーやプログラムの策定という法令遵守義務のための具体的対応を組み込んだパッケージ・システム・サポート・サービスがITビジネスとして確立され、その利用金融機関が増加してきている点である。(筆者注1)
今回のブログでは、これまでの「レッド・フラッグ」手続きに関する金融監督機関の検討の経緯および今回公表された検査内容の概要について紹介し、併せてその対応に関し、前述したセキュリティ開発企業や法令情報サービス企業の取組例の内容について、簡単に解説する。
なお、わが国においても、マネー・ロンダリング対策として金融機関等における口座開設時の本人確認義務の厳格化や、2008年3月1日から「犯罪による収益の移転防止に関する法律」により、本人確認の義務の範囲や対象となる事業者の範囲が金融機関から拡大される部分などについて施行された。(筆者注2)
詐欺の手口は日々巧妙化する。わが国において「フィッシングに基づくなりすまし」「マネロンのチェックの回避のための口座売買」等が手口を変えながらますます増殖することは間違いなく、金融機関等のおける「疑わしい取引」報告義務の拡大や「振り込め詐欺」対策としての、不自然な口座の取引のモニタリング・システムといったシステム面の対応の要請が強まるのは時間の問題であろう。
なお、2009年中に施行される割賦販売法の一部改正に基づくクレジット業者規制の強化(消費者信用情報機関利用の義務付け)は、わが国でも欧米型のなりすまし詐欺のリスクが広がることを予測させる。
その意味で、金融機関やクレジット業者のみでなく消費者自らがリスク管理に対する危機意識を高めることが、被害が一向に減らないわが国の「振り込め詐欺」での教訓となろう。
今回も原稿量が多くなり3回に分けて掲載する。
1.米国金融監督機関等における「なりすまし詐欺」の早期予知・警戒情報整備に対する規則制定の経緯
(1)今までの経緯に即して最近時の主な対応内容を中心に述べると、次の通りとなる。(筆者注3)
A. 2006年7月18日に、FDIC等連邦金融監督機関と連邦取引委員会(FTC)は連名でFact Actに基づく①金融機関向け適用・解釈ガイドライン、②金融機関のガイドライン適用時の監督機関の規則、③金融機関の取締役会等を含む組織的対応プログラムのあり方等に関する草案を公表した(パブリック・コメント期間は2006年9月18日まで)。(筆者注4)
B.2007年4月11日に、FDICは「なりすまし詐欺」に対する監督ポリシーを公表した。
C.2007年11月9日に、FDIC等5監督機関とFTCは連名で「レッド・フラッグ」と大幅な住所相違(address discrepancies)等の取扱いに関する最終共通行政規則およびガイドラインを公表した。同規則は、金融機関やクレジット業者(creditors)ならびにクレジットやデビットカード発行業者に対し、①消費者信用情報の利用ユーザーに対する住所の大幅な相違についての通知の中で、合理的な範囲での本人確認義務(address discrepancy rule)(12 CFR 222.82)、②金融機関に対するなりすまし詐欺の調査、阻止および削減に関する協力義務(identity theft red flags rule)(12 CFR 222.90)、③クレジット・デビットカード発行業者の住所変更の有効性を調査する義務(card issuer rule)(12 CFR 222.91)の3つをコアとする要求を行っている。
ガイドライン(Appendix J)の追補A (Federal Register / Vol. 72, No. 217の63755頁以下)において、金融機関やクレジット業者が阻止プログラムに協同して取組むため、26項目の「レッド・フラッグ」のリスト(筆者注5)を参考掲示した。
D.2008年1月1日に諸行政規則とガイドラインが施行され、2008年11月1日に金融機関の遵守が義務化(mandatory compliance)された。なお、FTCは2007年11月の規則やガイドラインに基づく書面プログラムの作成義務について、監督下にあるノンバンクのクレジット業者や州免許の信用組合のなりすまし詐欺阻止のプログラム策定の遅れを認め、10月22日付けで「レッド・フラグ規則」の遵守期限を2009年5月1日に6か月延期するとの決定を行っている。(筆者注6)(筆者注7)
これにより、FDIC等やFTCは「なりすまし詐欺」に対するリスク管理という観点から金融機関に対する検査内容を強化することとなった。
(筆者注1)米国の代表的銀行協会“American Bankers Association(ABA)”も、レッド・フラッグ・ルールの対応・導入に関するガイダンス CD-ROMをオンライン販売している。CD-ROM中の説明者はABAの幹部のほかLexisNexisの詐欺問題担当部長Deb Geister氏、FDICの上級アナリスト、銀行の副頭取であり、価格は会員金融機関が255ドル、非会員は385ドルである。
(筆者注2) 2008年3月1日施行の「犯罪収益移転防止法(Act on Prevention Transfer of Criminal Process of 2007)の制定により、届出対象事業者が、従来の金融機関等からファイナンス・リース業者、クレジット・カード業者、宅地建物取引業者、貴金属等取引業者、郵便物受取・電話受付サービス業者等に拡大されたほか、金融庁(特定金融情報室)に設置されていたFIU機能が国家公安委員会・警察庁の「刑事局組織犯罪対策部犯罪収益移転防止管理官(JAFIC)」に移管した。JAFICは、全国各地の金融機関等から届け出られたマネー・ローンダリングの疑いがある取引情報を様々な角度から分析し、捜査機関に捜査の端緒となるべき情報を提供している。JAFICは、所管行政庁や捜査機関等との定期的な情報交換を行うなど連携を取り合いながら、効果的なマネー・ローンダリング対策を検討するとともに、特定事業者が疑わしい取引の届出を行う際の判断基準となる「疑わしい取引の参考事例」などについて、所管行政庁と連携をしながら順次公開し、疑わしい取引の届出制度の適切な運用ができるよう活動を行っている。
(筆者注3)FDICのID詐欺への取組みは、厳密に言うと2001年3月から始まっている。参考までにトッピックスを紹介しておく。
FIL-22-2006, Prohibition Against Discrimination in Credit Transactions, issued March 9, 2006
FIL-27-2005, Guidance on Response Programs for Unauthorized Access to Customer Information and Customer Notice, issued April 1, 2005
FIL-7-2005, Guidelines Requiring the Proper Disposal of Consumer Information, issued February 2, 2005
FIL-22-2001, Guidelines Establishing Standards for Safeguarding Customer Information, issued March 14, 2001
(筆者注4)2006年7月18日に公表されたFDIC等連邦金融監督機関と連邦取引委員会(FTC)が連名でFact Actに基づきIdentity theft阻止に関し金融機関等に義務化する具体的対応に関する規則やガイドラインについては、同年7月の本ブログで詳しく紹介した。今回の内容と併せて読んで欲しい。
(筆者注5)既存または変更の行われる対象口座に対する「なりすまし詐欺」の調査、阻止および軽減させるプログラムの作成を支援させるため、レッド・フラッグを掲げるための26の例示の内容を紹介している。「詐欺」行為の兆候を事前に予見することは極めて困難な問題であるが、わずかな不自然さを見逃さない日常的な訓練が必要であることは、わが国の金融機関や捜査機関の場合も同様といえよう。
(筆者注6)FTCの遵守期限の6か月延期の理由について、FTCの10月22日のリリース等の情報に基づき補足しておく。FTCの最近の調査では自動車デーラー、公益企業、不動産担保ブローカー、電話会社、非営利政府機関等事業遂行上で個人信用情報に依存している事業者は全米で約1,100万におよぶ。議会はFact Actに言う「クレジット業者」を極めて広く定義したため、FTCがなりすまし阻止プログラムへの取組みについて実態調査した結果、プログラムの策定開発義務について十分認識していない企業が多いことが判明した。また、また全米信用組合協会(CUNA)によると、FTCの監督下にある州免許信用組合のみFTCの規則により延期の影響を受ける一方で、信用組合の監督機関である全米信用組合管理庁(NCUA)(筆者注7)の監督下にある信用組合は原則とおり2008年11月1日が遵守期限である。
(筆者補足:今回のFTCの延期措置の意味するところは、FTCは6か月間は遵守違反にもとづく公訴を行わないということであって、本文2.詐欺被害者の原告弁護士(plaintiff attorney)によるクラス・アクションといった訴訟リスクがなくなるわけではない)。
また、「レッド・フラグ手順」と同時に対応が義務付けられる「大幅な住所相違報告ルール(address discrepancy rule)」についても延期は行わない。
(筆者注7)全米信用組合管理庁(NCUA)のわが国の訳語を見ると区々である。「信用組合連盟(NCUA)」や「全米信用連盟」(野村資本市場研究所の訳)、「連邦監督局のNCUA」(農林中金総合研究所の訳)、「信用組合管理局」(reuters.jpの訳)、「国法クレジットユニオン監督庁」(国立国会図書館の訳)等である。NCUAのHPで確認すると“The National Credit Union Administration (NCUA) is the independent federal agency that charters and supervises federal credit unions.”である。読者はどの訳語が正確と思われるか。
〔参照URL〕
http://www.federalreserve.gov/boarddocs/srletters/2008/SR0807.htm#Footref2
http://www.fdic.gov/news/news/financial/2008/fil08105.html
http://www.bankinfosecurity.com/external/fil08105a.pdf
Copyright (c)2006-2008 福田平冶 All Rights Reserved.
登録:
投稿 (Atom)