30代会社員のなおつんです。
このブログでは30代会社員の悩みを同じ会社員へ向け共有し、今日よりも明日へ一歩前進できるような記事を書いています。
今回は金融庁オンライン取引サービス事業者に対して出した要請について分かりやすく解説していきます。
2020年9月現在では「ドコモ口座の不正利用」や「SBI証券の顧客資産の流出」などオンライン取引における事件が目立ち、悪質な第3者によって不正に利用された口座の被害額もかなり大きくなっています。
これを受けて金融庁は事業者に対してシステムリスクの管理体制や顧客被害の発生状況を自主的に点検するよう要請を出しました。
ついに金融庁が動いた!
オンライン取引サービスの被害の概要は主に以下のようなフローによって行われています。
2、第三者が被害者の名義でオンライン取引事業者などの口座を開設する。
3、第三者が被害者本人に成り代わって不正に解説した口座に入金(チャージ)する。
4、不正に開設した口座の資金を別の用途に利用したり、別の口座に出金させるなどして被害者の資金を不正に引き出す。
ここで金融庁が事業者に要請した内容のポイントを解説します。
高度なサイバー攻撃に対して必要な体制を整えているか
不正にサービスを利用するなどのサイバー攻撃そのものが高度化・巧妙化されているため、事業者はそのリスクを理解し対応できる体制を整える事を意味しています。
最初にも伝えた通り、ひとたび不正利用されると次々と被害額が大きくなり手に負えないという状況にもなります。
実際にドコモ口座の例では不正利用が発覚し事業者に認識されているにもかかわらず、各金融機関が対応できる事といえば利用者からの新規取引と既存顧客からの入金を停止する事だけでしたし、不正利用発覚後も同様の被害が出ている事が報告されていました。
セキュリティ上の脆弱性で強化すべき点はないか
私が知る限り多くの金融機関などのサービス事業者はシステムを企画・立案だけをして作成は外部へ委託しています。
私の勤める会社は製造業ですが、業務で使う管理システムなどはほとんど外注で行ってます。
事業者はシステムを外注をしているがゆえに、システムの脆弱性などに関しては無知である事が多いです。
この辺りは事業者にもよりますが、コストの都合などで外注先と交渉してどのくらいの品質のものかを決めたりします。
当然コストを多く掛ければセキュリティの強いシステムが出来ると思いますが、不正利用してくる側の技術も高いくなっているので完ぺきとはいえません。
品質とコストについては外注先としっかりコミュニケーションを取りながら進めていく事が必要です。
自主点検と被害発生状況の確認
金融庁は事業者に対して自主点検における細かい項目も設けています。
その中でいくつか紹介すると、
2、機密情報の保有・破棄・外部持ち出しなどの業務上の管理は出来ているか
3、サイバー攻撃を受けた場合の報告・共有体制と即座な対応できる体制が出来ているか
4、不正なログインや異常な取引を検知し利用者に即座に通知する仕組みはあるか
などがあります。
また、新たに被害が発覚した場合は直ちに金融庁へ報告し、被害にあった方への真摯な対応を心がけるように呼び掛けています。
まとめ
今回の要請を見ると金融庁もこの事態を重く受け止めている事が伺えます。
インターネットのニュースのコメントを見ると、「セキュリティを強化しろ!」や「全額弁償しろ!」などという声も非常に多く散見されます。
私たち消費者に出来る事といえば、便利なサービスの裏に潜むリスクを正しく理解して利用する事が求められています。
『無知な人』には厳しい世の中です。
このブログでは会社員や学生さんの役に立つ情報や考え方を発信しています。
ぜひ興味があれば別の記事を読んでいただきお役に立てればと思います。
