News

お知らせ

フィンテックサービス等での不正出金への対応について

by admin (Administrator)
on 2020.09.16

各位

一般社団法人Fintech協会

フィンテックサービス等での不正出金への対応について

 一般社団法人Fintech協会(代表理事:丸山 弘毅/木村 康宏/鬼頭 武嗣)は、フィンテックサービス等を悪用した口座振替による不正出金事案の発生を受けて、今般、会員企業へ既存のサービスのセキュリティ水準の確認や顧客保護態勢の強化等について要請を伝達したことと、協会としても今後、会員企業が提供するサービスの安心・安全のための取り組みの強化をしていくことをお知らせいたします。

1.事案の概要

報道等によれば、悪意のある第三者が不正に入手した銀行預金者の口座情報をもとに、当該預金者の名義でフィンテック事業者のアカウントを開設し、銀行口座と連携したうえで、銀行口座からフィンテック事業者のアカウントへ残高をチャージすることで不正な引出を行う事象が複数の金融機関で発生しております。原因については現時点で明確になっておりませんが、フィンテック事業者の本人確認、銀行の口座振替における認証、またはその組み合わせによるセキュリティ水準などが不十分であったことなどが指摘されております。

2.会員の皆様に確認・検討いただきたい事項

以下の事項は、主に資金移動業を営む企業を想定していますが、資金移動業を営んでいない企業においても参考にしていただき、顧客保護のために必要な対応を行う態勢を整備し、自社のサービスにおいて適切な手続きが実装され、必要なセキュリティ水準が実現されているか改めて確認のうえ、必要な対応を検討していただくようお願いします。

・ユーザーの皆様や自社が連携する銀行預金者等の金融機関の顧客からのご相談を受けた際には、被害の有無によらず、ユーザーの皆様の不安を解消するべく、必要な相談・苦情対応の態勢を整備し、金融機関とも必要な連携を行いつつ、真摯な姿勢で迅速かつ丁寧に対応していただきたい。この際には、本事案に関わらず、フィンテック事業者と金融機関との双方が上記ご相談者への対応を行わない事態を避けるよう最大限注意していただきたい。

・今般の事案では、悪意のある第三者が、ユーザーの皆様の銀行口座等の情報や認証情報等を不正に入手している可能性も想定されることから、ユーザーの皆様への注意喚起を行うことを検討していただきたい。また、フィンテック事業者においては、自社において不正又は不正の疑いがある事象を認知した場合には、必要かつ適切な範囲で、顧客、連携先金融機関、関係当局等への情報連携を適時に実施するよう努めていただきたい。

・会員企業においては、銀行等連携する金融機関の認証方法、セキュリティ水準等を確認したうえで、銀行口座等を連携して口座振替を行う際の接続等において、自社サービスの本人確認プロセスに脆弱性がないか、金融機関側に認証上の問題がないか、その組み合わせによって実現されるセキュリティ水準がサービスの内包するリスクに対して十分な水準を確保しているか、などを確認していただきたい。

・上記確認により、問題や脆弱性が見出だされた場合には、ユーザーの皆様の資産の保全を最優先に、新規アカウントの開設や金融機関との連携、残高のチャージ等を一時停止することなどの適切な対応を検討していただきたい。また、並行して、見出された問題や脆弱性を速やかに解消するよう、必要な対応を検討し、実施していただきたい。

・フィンテック事業者において、より堅牢なセキュリティ対策を実施するために、その他必要な対応を検討していただきたい。対応例としては、必要がある場合には自らが実施する本人確認手続を追加すること(追加で本人しか持ち得ない情報をアップロードさせることを含む)、モバイル端末の認証を行うこと、ログイン時や出金時に生体認証や別のパスコードを要求することなど、様々なセキュリティ対策が考えられる。

・サービスのアカウントに銀行口座等を連携させる際の手順および残高をチャージする際の手順は金融機関により異なることを踏まえ、自社サービスとの連携により生じるリスクについて、各金融機関との関係で、自社側の手続きとの組み合わせで十分なセキュリティ水準を確保しているか、改めて確認していただきたい。また、もし自社側と金融機関側の手続きの組み合わせが十分なセキュリティ水準を確保していないことが懸念される場合には、前述の自社側の対策の見直しのほか、金融機関との協議などにより金融機関側の手続きの見直しを提案するなどの必要な対応も検討していただきたい。

3.Fintech協会としての今後の取り組み

一般社団法人Fintech協会では、ユーザーの皆様に安心してご利用いただけるフィンテックサービスの提供と、それを支えるセキュリティ水準のさらなる向上に向けて、今後、以下の取り組みを推進していくことといたします。

・API・セキュリティ分科会を改組・分離して、セキュリティに関する事項を検討し、セキュリティに関する情報の共有及び分析、フィンテックサービスの安全性の向上を推進することを目的とする専門分科会(仮称:セキュリティ分科会)を設立

・セキュリティに関する情報連携のための会合の開催など、会員企業へのセキュリティ関連情報提供の強化

・他の業界団体(セキュリティ関連団体、各業界の自主規制団体等)との連携やセキュリティに関する情報共有の強化

<参考>
資金移動業者の決済サービスを通じた銀行口座からの不正出金に関する対応について
(金融庁 令和2年9月15日公表)
https://www.fsa.go.jp/news/r2/sonota/20200915/20200915.html

以 上