金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析
第1回 フィンテックとサイバーセキュリティ
株式会社FOLIO フィンテックコンプライアンスアドバイザー
木 嶋 謙 吾
金融機関とフィンテックの共存
フィンテックの定義は幅広い。米国ではフィンテックの定義に当てはまる企業数は8,000社ほどあると言われているがその数字的根拠は定かでない。フィンテックの定義は当初は新しいイノベーティブなソフトウェアを提供する企業であった。イノベーションの概念は今でも変わらないが、この数年で、フィンテック企業のサービス内容は大きく多様化している。例えばクラウドファンディング(Kickstarter、GoFundMe)、ピア・ツー・ピア・レンディング(SoFi)、決済(Square)が例として挙げられる。更には金融機関のためのデータ収集及び分析、クレジット・スコアリング、口座開設、サイバーセキュリティに係るサービスを提供する企業もフィンテックに含まれている。
フィンテックは我が国でも話題になっている。ビットコイン、マネーフォワード、LINEやWeChatなどのSNSも支払や送金のサービスを開始している。大手金融機関もロボアドバイザーを利用した投資信託の投資運用を開始した(みずほ銀行)。最近ではフィンテックを駆使した商品を前面に押し出した証券会社の新規参入も少数ではあるが始まっている(One Tap BUY 、エイト証券、Folio)。
フィンテックに関して、識者の中には、以下のような意見もある。“既存の「金融」機関がオンライン「テクノロジー」を使いはじめることを「FinTech」とは言わない。たとえば、みずほ銀行が投資信託のオンラインサービスを始めたりアプリをつくったところで、それは「FinTech」ではなく「金融機関のIT活用」である。現在バズワードとなっている「FinTech」は、逆に「IT企業が金融分野においてサービスを展開」することである[1]。
フィンテック企業が預金、融資、為替取引(資金移動)、決済といった従来銀行が独占的に扱ってきた業務を、安価、迅速且つ柔軟なイノベーティブなサービスを武器にして、金融ビジネスに進出しているのは事実であるが、私が知る限りでは、米国の金融機関の多くはフィンテック企業との関係を脅威/ライバルと考えるより、戦略的提携相手としてフィンテックのイノベーションを利用しようと考えていている方が圧倒的に多いと思う。
フィンテック・イノベーションの利用と安全性に対する課題
米国の金融機関はフィンテックとの共存を選択し、フィンテックスタートアップが開発したイノベーションの利用を推進しているが、その一方でサイバーセキュリティに危惧を持っている。例えば、米国の金融機関はモバイル金融サービスにフィンテックスタートアップが提供する様々なイノベーションを利用しているが、スマートフォンはサイバー攻撃に対して安全なツールと言えないという意見がある。Federal Reserve Board of Governors(連邦準備制度理事会)の報告では米国のスマートフォンの所持率は2011年の35%から2015年には68%に上昇し、スマートフォン所持者の53%がモバイルバンキングを利用している。スマートフォンユーザーがモバイルバンキングを利用しない主要な理由にサイバー犯罪を挙げている。ちなみに、我が国においては、総務省が公表した「平成27年通信利用動向調査」によると、2015年のスマートフォン利用率は53.1%と報告されている。KPMGが発表した「Mobile Banking Report 2015」によると、我が国のモバイルバンキング利用率は17%である。FBIによると、米国ではこの数年間、スマートフォンを利用して銀行口座にログインした時にログインIDやパスワードが盗搾されるAcecardとGM Botに代表されるマルウェアによるサイバー犯罪件数が増加している。傾向としては、大手銀行のモバイル・アプリケーションをターゲットにするケースが多い。手口としてはユーザーのスマートフォンに知らない送信先からショートメールが送られてきてメールの中のリンクをクリックする、またはウェブサイトの広告をクリックするとマルウェアが自動的にインストールされる。一般的にスマートフォンユーザーは自分のスマートフォンにマルウェア対策ソフトをインストールしない場合が多いのでマルウェアの攻撃に弱いとの指摘がある。また、フリーWi-Fiの普及によりマルウェアの危険は増幅しているとの指摘もある。
米国における金融機関に対する監督強化の動き
フィンテック企業からのイノベーティブなサービスの提供を受けることは新しい顧客層の開拓、新しいビジネスモデルの開発、顧客ニーズに合ったソリューションの提供は米国の金融機関にとって不可欠と言っても過言ではないが、巧妙化するスマートフォンへのサイバー攻撃に対して顧客が納得できるだけの安全性を金融機関が確保できるかが問われている。
2016年4月FFIEC(Federal Financial Institutions Examination Council/連邦金融機関検査協議会)はモバイル金融サービスを提供する金融機関のリスク・マネージメント態勢に関する検査ハンドブックを公表している。同検査ハンドブックに規定された新しいモバイル・セキュリティ基準を満たさない場合は違反と認定される。金融機関のサイバーセキュリティ対策に対する意識と顧客の関心を高めることが意図されている。2015年9月、SEC(Securities and Exchange Commission/証券取引委員会)はOCIE’s 2015 Cybersecurity Examination Initiativeでサイバーセキュリティを2015年の重要検査項目に定め、2016年でも重要検査項に定めた。The Comptroller of the Currency(“OCC”)も銀行と銀行が提携するベンダーに対するサイバーセキュリティ管理体制を重要検査項目に指定している。OCCは金融機関がモバイル金融サービス等の新商品開発、業務のデジタル化、人員削減、ベンダーへのアウトソーシングが金融機関のリスク・コントロールに多大な負荷をかけていることを認識した上で、金融機関がどのようにサイバーセキュリティを統制しているかを注視している。