2008年11月2日日曜日

米国の金融機関等の「なりすまし詐欺犯罪」対応規制強化の最新動向(その1)

〔Summary in English〕
“The Fair and Accurate Credit Transactions Act of 2003(Fact Act)” of the United States taken up by this blog in July, 2006 .
The Federal Deposit Insurance Corporation (FDIC) and The Board of Governors of the Federal Reserve System (FRB) have issued“The Interagency Examination Procedures for the Identity Theft Red Flags and other Regulations under the Fair Credit Reporting Act(Fcr Act)“on October 10 ,2008, as a closing phase of the approach on "Red Flags" procedure and “address discrepancy rule”required of Section 114 and 316 of the Fact Act . The "Identity Theft" crime that is extending with evolution of the information technology society and international population movement in the United States and EU member states.
Not only the finance institutions but also the consumer reporting agencies has been extremely perplexed though it is that a financial regulator and FTC (Federal Trade Commission) has settled on extremely the important rule and guideline .
It should be noted that the package service that builds in concrete correspondence for information technology skill and financial former examiner's knowhow for the writing of the policy and the program that the business has been most perplexed, is established as a business as reported by the Reuters news April 21 and the Forbes on October 8, and financial institution users are increasing in the United States.
In this blog, I will illustrate the outline of the examination rule of a financial regulator on the current "Red flag" procedure and the content of the inspection made public in this time, and briefly introduce the content of the example of the match of the security development business and the law information service business that correspond of the above embarrassed issues.
In that sense, not only the credit card issuers but also the financial institutions and the consumer own improving consciousness of crisis to risk management becomes a lesson in "Swindle ..the shake.. ..putting.." of our country where damage doesn't decrease at all.

 2006年7月の本ブログで詳しく取り上げた米国の「2003年信用取引の公正・適正化に関する法律(the Fair and Accurate Credit Transactions Act of 2003:Fact Act)」114条、315条に基づく「レッド・フラッグ」手順や大幅な住所相違通知等への取組みプログラムの最終段階として、2008年10月10日に連邦準備制度理事会(FRB)等は金融監督機関共通の検査手続(Interagency Examination Procedures)を公表した(連邦預金保険公社(FDIC)は2008年10月16日に公表している)。
 「なりすまし詐欺」は米国やEU等ではIT社会の進化や国際的人口移動とともに広がる最大の取組課題となっていることは間違いない。米国連邦の金融監督機関やFTC(連邦取引委員会)が極めて重要な政策課題と位置づけて策定した行政規則やガイドラインであるが、強制遵守期限である2008年11月1日を間近にひかえ、金融界だけでなく信用報告機関の受け止め方は極めて困惑しているといえる。
 しかし、米国らしさが発揮されるのは4月21日のロイター・ニュースや10月30日のフォーブス紙が報じているように、IT技術や前金融検査官のノウハウや企業が一番困惑しているポリシーやプログラムの策定という法令遵守義務のための具体的対応を組み込んだパッケージ・システム・サポート・サービスがITビジネスとして確立され、その利用金融機関が増加してきている点である。(筆者注1)
 今回のブログでは、これまでの「レッド・フラッグ」手続きに関する金融監督機関の検討の経緯および今回公表された検査内容の概要について紹介し、併せてその対応に関し、前述したセキュリティ開発企業や法令情報サービス企業の取組例の内容について、簡単に解説する。
 なお、わが国においても、マネー・ロンダリング対策として金融機関等における口座開設時の本人確認義務の厳格化や、2008年3月1日から「犯罪による収益の移転防止に関する法律」により、本人確認の義務の範囲や対象となる事業者の範囲が金融機関から拡大される部分などについて施行された。(筆者注2)
 詐欺の手口は日々巧妙化する。わが国において「フィッシングに基づくなりすまし」「マネロンのチェックの回避のための口座売買」等が手口を変えながらますます増殖することは間違いなく、金融機関等のおける「疑わしい取引」報告義務の拡大や「振り込め詐欺」対策としての、不自然な口座の取引のモニタリング・システムといったシステム面の対応の要請が強まるのは時間の問題であろう。
 なお、2009年中に施行される割賦販売法の一部改正に基づくクレジット業者規制の強化(消費者信用情報機関利用の義務付け)は、わが国でも欧米型のなりすまし詐欺のリスクが広がることを予測させる。
 その意味で、金融機関やクレジット業者のみでなく消費者自らがリスク管理に対する危機意識を高めることが、被害が一向に減らないわが国の「振り込め詐欺」での教訓となろう。
 今回も原稿量が多くなり3回に分けて掲載する。

1.米国金融監督機関等における「なりすまし詐欺」の早期予知・警戒情報整備に対する規則制定の経緯
(1)今までの経緯に即して最近時の主な対応内容を中心に述べると、次の通りとなる。(筆者注3)
A. 2006年7月18日に、FDIC等連邦金融監督機関と連邦取引委員会(FTC)は連名でFact Actに基づく①金融機関向け適用・解釈ガイドライン、②金融機関のガイドライン適用時の監督機関の規則、③金融機関の取締役会等を含む組織的対応プログラムのあり方等に関する草案を公表した(パブリック・コメント期間は2006年9月18日まで)。(筆者注4)
B.2007年4月11日に、FDICは「なりすまし詐欺」に対する監督ポリシーを公表した。
C.2007年11月9日に、FDIC等5監督機関とFTCは連名で「レッド・フラッグ」と大幅な住所相違(address discrepancies)等の取扱いに関する最終共通行政規則およびガイドラインを公表した。同規則は、金融機関やクレジット業者(creditors)ならびにクレジットやデビットカード発行業者に対し、①消費者信用情報の利用ユーザーに対する住所の大幅な相違についての通知の中で、合理的な範囲での本人確認義務(address discrepancy rule)(12 CFR 222.82)、②金融機関に対するなりすまし詐欺の調査、阻止および削減に関する協力義務(identity theft red flags rule)(12 CFR 222.90)、③クレジット・デビットカード発行業者の住所変更の有効性を調査する義務(card issuer rule)(12 CFR 222.91)の3つをコアとする要求を行っている。
  ガイドライン(Appendix J)の追補A (Federal Register / Vol. 72, No. 217の63755頁以下)において、金融機関やクレジット業者が阻止プログラムに協同して取組むため、26項目の「レッド・フラッグ」のリスト(筆者注5)を参考掲示した。
D.2008年1月1日に諸行政規則とガイドラインが施行され、2008年11月1日に金融機関の遵守が義務化(mandatory compliance)された。なお、FTCは2007年11月の規則やガイドラインに基づく書面プログラムの作成義務について、監督下にあるノンバンクのクレジット業者や州免許の信用組合のなりすまし詐欺阻止のプログラム策定の遅れを認め、10月22日付けで「レッド・フラグ規則」の遵守期限を2009年5月1日に6か月延期するとの決定を行っている。(筆者注6)(筆者注7)
  これにより、FDIC等やFTCは「なりすまし詐欺」に対するリスク管理という観点から金融機関に対する検査内容を強化することとなった。


(筆者注1)米国の代表的銀行協会“American Bankers Association(ABA)”も、レッド・フラッグ・ルールの対応・導入に関するガイダンス CD-ROMをオンライン販売している。CD-ROM中の説明者はABAの幹部のほかLexisNexisの詐欺問題担当部長Deb Geister氏、FDICの上級アナリスト、銀行の副頭取であり、価格は会員金融機関が255ドル、非会員は385ドルである。

(筆者注2) 2008年3月1日施行の「犯罪収益移転防止法(Act on Prevention Transfer of Criminal Process of 2007)の制定により、届出対象事業者が、従来の金融機関等からファイナンス・リース業者、クレジット・カード業者、宅地建物取引業者、貴金属等取引業者、郵便物受取・電話受付サービス業者等に拡大されたほか、金融庁(特定金融情報室)に設置されていたFIU機能が国家公安委員会・警察庁の「刑事局組織犯罪対策部犯罪収益移転防止管理官(JAFIC)」に移管した。JAFICは、全国各地の金融機関等から届け出られたマネー・ローンダリングの疑いがある取引情報を様々な角度から分析し、捜査機関に捜査の端緒となるべき情報を提供している。JAFICは、所管行政庁や捜査機関等との定期的な情報交換を行うなど連携を取り合いながら、効果的なマネー・ローンダリング対策を検討するとともに、特定事業者が疑わしい取引の届出を行う際の判断基準となる「疑わしい取引の参考事例」などについて、所管行政庁と連携をしながら順次公開し、疑わしい取引の届出制度の適切な運用ができるよう活動を行っている。

(筆者注3)FDICのID詐欺への取組みは、厳密に言うと2001年3月から始まっている。参考までにトッピックスを紹介しておく。
FIL-22-2006, Prohibition Against Discrimination in Credit Transactions, issued March 9, 2006
FIL-27-2005, Guidance on Response Programs for Unauthorized Access to Customer Information and Customer Notice, issued April 1, 2005
FIL-7-2005, Guidelines Requiring the Proper Disposal of Consumer Information, issued February 2, 2005
FIL-22-2001, Guidelines Establishing Standards for Safeguarding Customer Information, issued March 14, 2001

(筆者注4)2006年7月18日に公表されたFDIC等連邦金融監督機関と連邦取引委員会(FTC)が連名でFact Actに基づきIdentity theft阻止に関し金融機関等に義務化する具体的対応に関する規則やガイドラインについては、同年7月の本ブログで詳しく紹介した。今回の内容と併せて読んで欲しい。

(筆者注5)既存または変更の行われる対象口座に対する「なりすまし詐欺」の調査、阻止および軽減させるプログラムの作成を支援させるため、レッド・フラッグを掲げるための26の例示の内容を紹介している。「詐欺」行為の兆候を事前に予見することは極めて困難な問題であるが、わずかな不自然さを見逃さない日常的な訓練が必要であることは、わが国の金融機関や捜査機関の場合も同様といえよう。

(筆者注6)FTCの遵守期限の6か月延期の理由について、FTCの10月22日のリリース等の情報に基づき補足しておく。FTCの最近の調査では自動車デーラー、公益企業、不動産担保ブローカー、電話会社、非営利政府機関等事業遂行上で個人信用情報に依存している事業者は全米で約1,100万におよぶ。議会はFact Actに言う「クレジット業者」を極めて広く定義したため、FTCがなりすまし阻止プログラムへの取組みについて実態調査した結果、プログラムの策定開発義務について十分認識していない企業が多いことが判明した。また、また全米信用組合協会(CUNA)によると、FTCの監督下にある州免許信用組合のみFTCの規則により延期の影響を受ける一方で、信用組合の監督機関である全米信用組合管理庁(NCUA)(筆者注7)の監督下にある信用組合は原則とおり2008年11月1日が遵守期限である。
(筆者補足:今回のFTCの延期措置の意味するところは、FTCは6か月間は遵守違反にもとづく公訴を行わないということであって、本文2.詐欺被害者の原告弁護士(plaintiff attorney)によるクラス・アクションといった訴訟リスクがなくなるわけではない)。
 また、「レッド・フラグ手順」と同時に対応が義務付けられる「大幅な住所相違報告ルール(address discrepancy rule)」についても延期は行わない。

(筆者注7)全米信用組合管理庁(NCUA)のわが国の訳語を見ると区々である。「信用組合連盟(NCUA)」や「全米信用連盟」(野村資本市場研究所の訳)、「連邦監督局のNCUA」(農林中金総合研究所の訳)、「信用組合管理局」(reuters.jpの訳)、「国法クレジットユニオン監督庁」(国立国会図書館の訳)等である。NCUAのHPで確認すると“The National Credit Union Administration (NCUA) is the independent federal agency that charters and supervises federal credit unions.”である。読者はどの訳語が正確と思われるか。

〔参照URL〕
http://www.federalreserve.gov/boarddocs/srletters/2008/SR0807.htm#Footref2
http://www.fdic.gov/news/news/financial/2008/fil08105.html
http://www.bankinfosecurity.com/external/fil08105a.pdf

Copyright (c)2006-2008 福田平冶 All Rights Reserved.

0 件のコメント: