一般社団法人 Fintech 協会は、フィンテックサー ビス等を悪用した口座振替による不正出金事案の発生を受けて、今般、会員企業へ既存のサービス のセキュリティ水準の確認や顧客保護態勢の強化等について要請を伝達したことと、協会としても今後、会員企業が提供するサービスの安心・安全のための取り組みの強化をしていくことを2020年9月16日に発表した。
Fintech協会は、以下の内容を、同協会の会員企業に、2020年9月16日 15:00 までに伝達した。
◆会員の皆様に確認・検討いただきたい事項
以下の事項は、主に資金移動業を営む企業を想定していますが、資金移動業を営んでいない企業 においても参考にしていただき、顧客保護のために必要な対応を行う態勢を整備し、自社のサービ スにおいて適切な手続きが実装され、必要なセキュリティ水準が実現されているか改めて確認のう え、必要な対応を検討していただくようお願いします。
- ユーザーの皆様や自社が連携する銀行預金者等の金融機関の顧客からのご相談を受けた際には、 被害の有無によらず、ユーザーの皆様の不安を解消するべく、必要な相談・苦情対応の態勢を整備 し、金融機関とも必要な連携を行いつつ、真摯な姿勢で迅速かつ丁寧に対応していただきたい。こ の際には、本事案に関わらず、フィンテック事業者と金融機関との双方が上記ご相談者への対応を 行わない事態を避けるよう最大限注意していただきたい。
- 今般の事案では、悪意のある第三者が、ユーザーの皆様の銀行口座等の情報や認証情報等を不正 に入手している可能性も想定されることから、ユーザーの皆様への注意喚起を行うことを検討して いただきたい。また、フィンテック事業者においては、自社において不正又は不正の疑いがある事 象を認知した場合には、必要かつ適切な範囲で、顧客、連携先金融機関、関係当局等への情報連携 を適時に実施するよう努めていただきたい。
- 会員企業においては、銀行等連携する金融機関の認証方法、セキュリティ水準等を確認したうえ で、銀行口座等を連携して口座振替を行う際の接続等において、自社サービスの本人確認プロセス に脆弱性がないか、金融機関側に認証上の問題がないか、その組み合わせによって実現されるセキ ュリティ水準がサービスの内包するリスクに対して十分な水準を確保しているか、などを確認して いただきたい。
- 上記確認により、問題や脆弱性が見出だされた場合には、ユーザーの皆様の資産の保全を最優先 に、新規アカウントの開設や金融機関との連携、残高のチャージ等を一時停止することなどの適切 な対応を検討していただきたい。また、並行して、見出された問題や脆弱性を速やかに解消するよ う、必要な対応を検討し、実施していただきたい。
- フィンテック事業者において、より堅牢なセキュリティ対策を実施するために、その他必要な対 応を検討していただきたい。対応例としては、必要がある場合には自らが実施する本人確認手続を 追加すること(追加で本人しか持ち得ない情報をアップロードさせることを含む)、モバイル端末 の認証を行うこと、ログイン時や出金時に生体認証や別のパスコードを要求することなど、様々な セキュリティ対策が考えられる。
- サービスのアカウントに銀行口座等を連携させる際の手順および残高をチャージする際の手順は 金融機関により異なることを踏まえ、自社サービスとの連携により生じるリスクについて、各金融 機関との関係で、自社側の手続きとの組み合わせで十分なセキュリティ水準を確保しているか、改 めて確認していただきたい。また、もし自社側と金融機関側の手続きの組み合わせが十分なセキュ リティ水準を確保していないことが懸念される場合には、前述の自社側の対策の見直しのほか、金 融機関との協議などにより金融機関側の手続きの見直しを提案するなどの必要な対応も検討していただきたい。
|
Fintech 協会としての今後の取り組み
一般社団法人 Fintech 協会では、ユーザーが安心して利用できるフィンテックサービスの提供と、それを支えるセキュリティ水準のさらなる向上に向けて、今後、以下の取り組みを 推進していく。
- API・セキュリティ分科会を改組・分離して、セキュリティに関する事項を検討し、セキュリテ ィに関する情報の共有及び分析、フィンテックサービスの安全性の向上を推進することを目的とす る専門分科会(仮称:セキュリティ分科会)を設立
- セキュリティに関する情報連携のための会合の開催など、会員企業へのセキュリティ関連情報提 供の強化
- 他の業界団体(セキュリティ関連団体、各業界の自主規制団体等)との連携やセキュリティに関 する情報共有の強化