合成的に新たなアイデンティティを術策する詐欺(Synthetic Identity Theft：SIT)対策をめぐる信用情報機関、行政監督機関等の具体的取組みと更なる課題(その1)

Last Updated: Marh 15 ,2019

2017年7月26日付けの米国連邦議会の連邦行政機関のWatchdogである「行政監査局(GAO)」が参加した「Combating Synthetic Identity Fraud：Forum」の概要報告が手元に届いた。 

　過去にさかのぼるが、GAOは2017年3月30日付けで「Identity Theft Services：Services Offer Some Benefits but Are Limited in Preventing Fraud」 (注1)と題する報告を連邦議会あてに行っている。

　この犯罪類型は、犯罪者が実在（通常は盗んだ）ID情報と偽のID情報を組み合わせて新しいアイデンティティを作成する詐欺の一種である。不正に銀行口座を開設し、詐欺的な商品やサービス等を購入、不正に受給をするために使用される。この合成身元情報の詐称は、犯罪者が偽のIDに基づいてクレジットカード会社や貸し手から金銭を違法に盗むことを可能にするだけでなく、国の給付金の不正受給、テロ資金のマネローンダリング等、その適用範囲は極めて広い。したがって、GAOや連邦取引委員会(FTC)などの危機感が極めて高まっていることがその背景にある。 

　当時、筆者は、(1) そこで指摘された問題の大きさを十分理解できなかったこと、(2) 日本の場合、マイナンバーを利用する際には厳格な本人確認が義務付けられており、マイナンバーに加えて、運転免許やパスポート、健康保険証などで身元を確認することで、マイナンバーが漏えいした場合もなりすましを防止しうるという点等から、当面わが国での同様のリスクがあり得ないと感じたこともあり、あえて本ブログでは取り上げなかった。 

　しかし、マイナンバーの利用範囲が立法時に想定した範囲から次第に広がるリスクもありうる。すなわち金銭的なりすまし詐欺にあうリスク(勝手にクレジットカードが作られて引き落としされる、引き落としを止めようにも止められない、他人の借金を背負わされる)は比較的少ないものの、例えば、次のような詐欺犯罪に巻き込まれるリスクが広がる可能性は依然高い。

①知らぬ間に「会ったこともないし名前すら知らない外国人と入籍していた」、離婚しようにも相手がどこにいるのか分からないし、とにかく何が起こっているのか不気味である。

②勝手に自分名義の車が契約されていて、その車を使った犯罪が発生。勤務中に警察から呼び出しがかかり、会社を早退。弁明や後処理にも多大な時間がかかった上に、会社からの信用も失う。

③知らぬ間に住民票が移転されていて、気付いた時には、自分名義でアパートが契約されていて見知らぬ外国人が多数、そのアパートに住んでいる。家賃の未納が溜まっていて、支払う羽目に。外国人を追い出すのにも、弁護士等に依頼し、多大な金額や労力を使う。 

　米国(筆者注2)の場合と同様ではないが、SNS等で不用意に自分自身のマイナンバーを含む個人情報を渡したり、不審な先からの照会、通知があったときは必ず関係機関への直接確認は必須といえる。また、行政の立場から見た場合、米国で多く見られるなりすましによる社会保険、失業保険等の不正給付の問題が根強くあり、また、マネー・ローンダリングを通じて暴力団やテロ組織に資金が流れたときの被害者の責任を考えると、この問題は単に外国でのリスクという話では済まないといえる。その意味で、従来厳しく取り締まりを行ってきた「なりすまし詐欺」 (筆者注3)と一部重複するものの更なる対策強化が必要であろう。 

　本ブログは、まず(1)2014.10.28付け　IBM securityintelligence.サイトの解説「合成による新アイデンティティ詐欺(Synthetic Identity Theft：SIT)の手法：3つの方法 」および(2)Revere Bankの「Synthetic Identity Fraudの検出と予防」を仮訳し、”Synthetic Identity Theft”(Synthetic Identity Fraudと同義)詐欺手口、被害の範囲等を正確に解説するとともに被害の重大性、この詐欺の検出のむずかしさなどを認識し、次に(3)3月30日のGAOレポートの要旨(信用モニタリング、アイデンティティのモニタリング、アイデンティティの復元および個人情報盗難保険等の効果とその限界等を紹介し、最後に(4)7月のFGAO 参加Forumの内容を概観する。 (筆者注4) 

　なお、GAOが使用している”Identity Theft Services”という用語はいまいち言葉足らずの感がある。その意味内容からすると、連邦取引委員会(FTC)が使用している”Identity Theft Protection Services”のほうが的確と思えるため、本ブログではFTCの用語を併記する。 

　今回は、2回に分けて掲載する。 

１．合成的に新たな身元(アイデンティティ)を術策する詐欺(Synthetic Identity Theft：SIT)の手法：3つの手口 

　2014.10.28付けIBM securityintelligence.サイトの解説「Synthetic Identity Theft: Three Ways Synthetic Identities Are Created」を以下、仮訳する。 

　合成的なID詐欺は、架空のID情報の使用を伴う詐欺である。このID詐欺師は、実際の情報と加工された情報を組み合わせ、あるいは時にはまったく架空の情報を使って新しい身元(identity)を作り出す。この詐欺師は、この架空の身元を使って個人信用(クレジット)を取得し、預金口座を開設し、また運転免許証やパスポートを取得する。 

　通常、詐欺師はSIT(Synthic Identity Theft)において実際の社会保障番号（SSN）を使用し、その番号に関連付けられていない名前と組み合わせる。詐欺師は、子供や死者のような積極的に使用されていないSSNを探す。場合によっては、身元詐欺師は、偽のSSN、名前、住所で完全に偽の身元(Identity)を作成することがある。これは、盗難に関与していないため、身元識別詐欺に分類されるが、本レポートでは目的上、「合成的な個人情報の盗難」または「合成的な個人情報詐欺」を同じものとして扱う。 

(1) なぜ合成的なりすましは重要な問題なのか？  

　この種の盗難は、米国において過去5〜7年間に大きな詐欺行為として浮上してきた。合成的な個人情報窃盗被害の規模は、北米で年間10億ドル(約1,090億円)と推定されている。カナダのメデイアCBC によると、毎月の症例数は5年前と比べて数千にものぼり、月に約100件が見られた。  

　SITの指数関数的伸び、特に子供の身元への影響は、将来若者にとって悲惨な結果をもたらすであろう。 Carnegie Mellon大学のCyLab Security and Privacy Instituteが実施した調査によれば、子供のSSNは、研究対象の人口の成人よりも合成詐欺の被害にあうことが51倍も高い可能性がある。 CyLabはその発見が一般の人口に外挿することはできないと明言しているが、子供に対する脅威は明らかである。  

　総合的なアイデンティティの盗人は、活動しておらず、一般的に2018年までチェックされていないため、子供のSSNを対象としている。 子供たちは一般に、彼らのSSNに関連する公開情報を一切持っていないので、SSNを主要なターゲットにしている。被害を受けた未成年者の両親が請求書収集者に釈放されない限り、郵便でクレジットカードの提供を受け始めるか、または子供が運転免許証や大学ローンを拒否された場合、詐欺は発見されない可能性がある。 

　過去10年間で増加している児童の個人情報盗難の真の影響は、犠牲になった若者が大学時代に近づいたり、大学学費等の援助を申請したり、高校時代の負の情報が会社の背景スクリーニング時に明らかになる。  

(2) クレジット・ファイルの作成方法 

　サイバー犯罪者が自分にとって有利なようにシステムをコントロールする前に、そもそもクレジットファイルの作成方法を理解することが重要である。  

　信用履歴は、「信用調査機関（credit reporting agencies (CRAs)）」またはいわゆる「個人信用情報機関(credit bureaus)」によって収集され、維持される。米国には、Equifax、TransUnion、Experianの3つの主要なCRAがある。これらの機関は、クレジットカード会社、銀行、住宅ローン会社およびその他の債権者からの消費者の信用履歴を収集し、詳細な信用報告書を作成する。  

　消費者があるタイプのクレジットカードまたはローンの申請を完了すると、すべての申請情報がCRAに送信される。CRAは、申請者の個人識別可能な情報を収集し、信用報告書が存在するかどうかを判断する。 また、倒産や差し押えからの裁判所記録などの財務情報について、公的記録を精査する。一致するものが見つからない場合、CRAはクレジットファイルを確立することによって照会の記録を保持しなければならない。 一致するものが見つかった場合、貸出しファイル情報が貸し手に返され、与信決定が行われる。 

　理解すべき重要な概念は、CRAに提出されたクレジット要求は、要求前には存在しないクレジットファイルが作成されることである。 

　毎月、貸出機関およびその他の債権者は、最新の消費者信用情報をCRAに送信する。 この情報には、個々の消費者がどれだけ借りているか、時間通りに支払いを行っているかどうかが含まれる。  

　この問合せには、厳格なものとソフトなものの2種類がある。厳格な照会は、クレジットカード会社、住宅ローンの貸し手、小売企業、賃貸住宅の貸主などの機関債権者からの要請である。ソフトな問い合わせは、雇用者の採用時のスクリーニングの一環として、消費者または雇用者によって行われる。 倒産、差し押え、償却などの否定的な出来事は、7〜10年間は信用調査報告書に載っていますが、オンタイムの住宅ローン支払いなどの積極的な出来事はさらに長く続くことがある。  

◎　アイデンティティ詐欺師が信用プロセスを利用して合成アイデンティティーを確立し、不正行為を実行する主な方法

　以下のとおり、3つある。すなわち、貸し手に直接クレジットを申請する、承認されたユーザーのほとんどのクレジットカードアカウントまたはデータ提供者スキームを使用するものである。  

(1) 詐欺師による直接的な与信申請  

　詐欺師は、合成IDを作成し、クレジットカード発行会社などの貸し手に直接クレジットを申請してクレジットプロファイルを作成する。 最初の申請は拒否されるが、新しいクレジットファイルが作成される。 

　新しく設定されたクレジットファイルで、詐欺師はクレジットカード発行会社にクレジットを申請する。 カード会社がクレジット照会を実行すると、CRAは、プロファイルが存在するという情報をカード会社に返す。プロファイルには、それに関連するクレジット履歴はないが、一般的に、詐欺師は、履歴がない申請者に300〜500ドルのクレジットラインを提供するカード発行者を対象とする。  

　新しいクレジットアカウントで武装した詐欺師は、クレジットアカウントを正当に使用して支払いを行い、良い履歴を確立する。 詐欺師は、より多くのクレジットカード、小売店のクレジットアカウント、および自動車ローンを得るために、問題ない肯定的な信用履歴を活用する。  

　このプロセスは簡単で簡単に実行できまるが、確かな信頼性の高いプロファイルを作成するのに時間がかかるため、あまり好ましくない。  

(2) 承認されたユーザープロセスを利用  

　承認されたユーザープロセスは、ほとんどの合成IDがどのように作成されるかである。 承認されたユーザーをアカウントに追加することは合法であり、クレジットカード発行者が許可する。これは通常、配偶者や子供の追加などの正当な目的で使用される。 

　詐欺師は、承認されたユーザープロセスを利用し、カード所有者を積極的に募集して、未知の人物/身元をカードに追加する。正当なカード所有者は、この技術を使用して、「ピギーバック(piggybacking)」 (筆者注5)と呼ばれることがある。正当なカード所有者は、承認されたユーザーIDを自分のアカウントに追加するための手数料を受け取る。 承認されたユーザーにクレジットカードは発行されない。ある期間クレジットアカウントに座り、カード所有者のクレジット履歴を「継承」する。 

　credit line (クレジットライン：信用与信額)がCRAに報告されると、承認されたユーザーとしてアカウントから合成アイデンティティを削除できるが、クレジット履歴は保持される。 詐欺師は複数のカード発行者にクレジットを申請する。 複数のクレジットラインを獲得することで、詐欺師はギフトカードやスマートフォンなどの貴重な商品や簡単に売れるエレクトロニクスなどの商品を購入することで、すべてのクレジットラインを最大限に活用する。 

　この例では、詐欺師はまた、クレジットラインが最大化され、価値のないまたは偽造品の小切手で払い戻され、その小切手の支払いがなされる前に再び融資額を最大化される「バスト・アウト・スキーム(bust-out scheme)」(筆者注5-2)を実行することができる。これにより、クレジット会社には元の与信限度の2倍のエクスポージャー(無返済リスク)が発生する。よく組織化された犯罪者は、このプロセスを複数回繰り返すのである。 

　承認されたユーザーを追加するために募集されたカードの所有者は、一度に50人までアカウントに登録される。 カード所有者は、他の人が信用を確立したり修復するのを助けるために、良き信用履歴を寄付していると信じているかもしれない。ドナーとクレジット・アシスタンスを必要とする多くのクレジット・リペア/ピギーバック・ブローカーがいる。不正行為に結びついたアイデンティティを継続的に生成するアカウントは、受粉者アカウント(pollinator accounts)と呼ばれる。 

　たとえば、合成IDには2014年6月にクレジットファイルが作成され、小売ショッピングセンターに関連付けられた住所が使用されていた。8月には、信用限度額$ 55,000の熟練した取引ラインが合成IDに追加された。承認されたユーザーを追加してから2ヶ月以内に、合成IDは140,000ドルをうまくやり、無担保のクレジットで200,000ドルを蓄えた。 

• 銀行A：10,000ドル 

• 銀行B：10,000ドル 

• 銀行C：50,000ドル 

• 銀行D：$ 5,700 

• 銀行E：$ 20,000 

• リテール1：16,000ドル 

• リテール2：20,000ドル  

　この調査では、ほとんどの購入品に小売ギフトカードとハイエンド(最高級)商品が含まれていることが明らかになった。1人のCRAの調査官は、Verizon Wirelessや他の同様の業者がスマートフォン、特にiPhoneをターゲットにしていることを示した。 

******************************************************************************

(筆者注1) Identith Theft Procection Servicesについては連邦取委員会(FTC)が4頁ではあるが簡潔に整理している。 

(筆者注2) カナダでも大きな社会問題となっている。 2014..3.3 カナダCBC news「How 'synthetic' identity fraud costs Canada $1B a year：'Server Froze' among list of implausible fake ID names」

 (筆者注3) 米国の金融機関を対象とする「なりすまし詐欺」については2008年11月に筆者のブログ「米国の金融機関等の『なりすまし詐欺犯罪』対応規制強化の最新動向」(その1)、 (その2)、 (その3完) で詳しく論じている。 

(筆者注4) 全米州議会議員連盟(NCSL)は、2014時点の30州およびプエルトリコ自治連邦区のODなりすまし犯罪に関する刑事立法動向を「Identity Theft 2014 Legislation」として集約している。 

(筆者注5) ピギーバッキング:正当に通行許可を得ている人が、通行許可を得ていない人を連れて、セキュリティーシステムによって通行制限がかけられているドアやゲートを一緒に通り抜けること。

(筆者注5-2)”bust-out scheme”につき、2011.4.6 FBI Okrahoma City Divisinのリリースをもとに具体例で説明する。

　被告コルサイード・ガイル( Khawer Saeed Ghill：別称 Ghill)とアッサン・ウーラ(Ahsan Ullah ：別称“Ibrahim Khan”および“Shawn Ullah”)は、2003年3月から2007年4月の間に、ローンの返済する意図を持たずに不正にローンを取得することを狙って、金融機関や商業ビジネスに対する詐欺を企てた。さらに、両被告は、銀行、信用組合、クレジットカード会社、小売店を含む様々なクレジットカード発行会社から、銀行やクレジットカード会社、および小売店へ返済を意図しないままでクレジットカードの「意図的債務破たん(bust-out)」活動を通じてクレジットカードのキャッシング目的で金銭や財産を得たとされている。このbust-outの犯行手口の過程で、50を超える別々のクレジットカードが発行され、クレジットカード発行者と銀行は合計で約50万ドル(約5550万円)の損失を被ったと言われている。

　この手口では、GhillとAhsan Ullahは、「銀行詐欺(bank fraud)」(筆者注5-3)およびマネーロンダリングを行うための陰謀を図ったとされた。 有罪判決を受けた場合、これら2人の男性はそれぞれ最高30年の拘禁刑および100万ドル(1億1,100万円)の罰金に直面することになる。

　なお、bust -out fraudからいかに金融機関が被害を受けないかにつき、Experian Decision Analyticsの白書「バストアウト詐欺：何を狙うべきかを知っていれば、金融機関は収益を守ることができるか(Bust-out Fraud：Knowing what to kool for can safegurd the bottom line)」が詳しく、かつ専門的に解説している。

(筆者注5-3)わが国で”bank fraud”につき定まった訳語さえない。「銀行詐欺」では銀行が犯罪者になってしまう。そこで簡潔な解説サイトを引用、仮訳する。

　銀行等金融機関向け詐欺(いわゆるbank Fraud)は米国の連邦ホワイトカラー犯罪であり、虚偽または詐欺的なふりをして金銭、資産、クレジットまたは証券を金融機関から詐欺または詐欺しようとするものである。また 詐欺的なローン文書の作成、クレジットカードの発行申請および資金不足小切手(writing bad check)の作成も、他の刑法とともの長期にわたる銀行詐欺犯罪者として訴求される可能性がある。

　同詐欺により保護される金融機関は、米国内で認可され、かつFDIC、National Credit Union Association、および連邦政府により支援されている住宅ローン会社による保証を受けているものである。

　Bank Fraudの処罰に関連する法律は、合衆国法典第18 USC 1344 条に概説されている。これは、金銭、証券または財産の金融機関に対する詐欺行為を特に禁止しており、複数の預金口座を巧みに利用して、実際以上に資金が多くあるように見せ掛ける「チェック・キッティング(check kiting)」の場合にも適用されることを意図している。

 ****************************************************************** 

Copyright © 2006-2017 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only.You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

合成的に新たなアイデンティティを術策する詐欺(Synthetic Identity Theft：SIT)対策をめぐる信用情報機関、行政監督機関等の具体的取組みと更なる課題(その2完)

(2) 承認されたユーザープロセスを利用 

 　承認されたユーザープロセスは、ほとんどの合成IDがどのように作成されるかである。 承認されたユーザーをアカウントに追加することは合法であり、クレジットカード発行者が許可する。これは通常、配偶者や子供の追加などの正当な目的で使用される。  

　詐欺師は、承認されたユーザープロセスを利用し、カード所有者を積極的に募集して、未知の人物/身元をカードに追加する。正当なカード所有者は、この技術を使用して、「ピギーバック(piggybacking)」 (筆者注5)と呼ばれることがある。正当なカード所有者は、承認されたユーザーIDを自分のアカウントに追加するための手数料を受け取る。 承認されたユーザーにクレジットカードは発行されない。ある期間クレジットアカウントに座り、カード所有者のクレジット履歴を「継承」する。 

　credit line (トレード・ライン)がCRAに報告されると、承認されたユーザーとしてアカウントから合成アイデンティティを削除できるが、クレジット履歴は保持される。 詐欺師は複数のカード発行者にクレジットを申請する。 複数のクレジットラインを獲得することで、詐欺師はギフトカードやスマートフォンなどの貴重な商品や簡単に売れるエレクトロニクスなどの商品を購入することで、すべてのクレジットラインを最大限に活用する。 

　この例では、詐欺師はまた、クレジットラインが最大化され、価値のないまたは偽造品の小切手で払い戻され、小切手の支払いが返される前に再び最大化されるバスト・アウト・スキーム (筆者注5-2)を実行することができる。これにより、元の与信限度の2倍のエクスポージャーが発生する。よく組織された犯罪者は、このプロセスを複数回繰り返すことができる。 

　承認されたユーザーを追加するために募集されたカードの所有者は、一度に50人までアカウントに登録される。 カード所有者は、他の人が信用を確立したり修復するのを助けるために、良き信用履歴を寄付していると信じているかもしれない。ドナーとクレジット・アシスタンスを必要とする多くのクレジット・リペア/ピギーバック・ブローカーがある。 不正行為に結びついたアイデンティティを継続的に生成するアカウントは、受粉者アカウント(pollinator accounts)と呼ばれる。 

　たとえば、合成IDには2014年6月にクレジットファイルが作成され、小売ショッピングセンターに関連付けられた住所が使用されていた。8月には、信用限度額$ 55,000の熟練した取引ラインが合成IDに追加された。承認されたユーザーを追加してから2ヶ月以内に、合成IDは140,000ドルをうまくやり、無担保のクレジットで200,000ドルを蓄えた。 

• 銀行A：10,000ドル 

• 銀行B：10,000ドル 

• 銀行C：50,000ドル 

• 銀行D：$ 5,700 

• 銀行E：$ 20,000 

• リテール1：16,000ドル 

• リテール2：20,000ドル  

　この調査では、ほとんどの購入品に小売ギフトカードとハイエンド(最高級)商品が含まれていることが明らかになった。1人のCRAの調査官は、Verizon Wirelessや他の同様の業者がスマートフォン、特にiPhoneをターゲットにしていることを示した。  

(3) データ提供スキームの利用 

　データ提供は非常に効果的な戦術であるが、より洗練された組織化が必要であり、中小企業では謀略的な内部関係者を必要とする場合がある。この方法では、CRAによって審査され、顧客に提供されたクレジットアカウントで支払い履歴を提供または提供することが承認された「ダミー会社(front company)」を不正行為者として使用する必要がある。 

　これらのダミー会社は、 不正行為の目的で作成された新会社でも、組織内の所有者または個人（例えば、信用または財務管理者）が組織化された不正行為によって損なわれている既存の企業でもよいといえる。  

　データ提供スキームでは、合成IDを作成することができ、既存の合成IDのクレジットファイルを充実させることができる。 典型的な方式は次のように動作する。 

•  ①「申請者」は、中古車などのビジネス製品の架空の購入に対してクレジットを申請し、認可される。 

• ②毎月、事業者は、ファントムクレジットを提供した合成IDに関連するクレジットアカウントの支払いを報告する。 

• ③数ヶ月にわたり、合成IDの信用スコアが向上し、詐欺師が犠牲者たるカード発行者からより多くの無担保信用を得ることができる。その結果、被害が広がる。 

　 CRAがデータ提供者の製品価値をはるかに上回る金額のクレジット・アカウントなどの異常を特定するため、合成ID活動に従事するデータ提供者を特定することができる。 さらに、CRAは、複数の合成IDを特定のデータ供給者にリンクすることができる。  

２．合成によるアイデンティティ詐欺：米国Revere Bank「SIFの検出と予防

  米国Revere Bank「SIFの検出と予防Synthetic Identity Fraud: Detection and Prevention (2015年9月7日)から関係部を抜粋のうえ、仮訳する。

 (1) Synthetic Identify Fraudとは如何なるものか？ 

　合成による新たなアイデンティティ作成詐欺（SIF）には、盗難された社会保障番号（SSN）を実際の情報と加工された情報の組み合わせで頻繁に使用して架空の身元を作成することが含まれる。検出を遅らせるために、多くの組織化された犯罪者リングは、子供、高齢者および他の脆弱な集団のように、活発に使用されていないSSNを選び、ID偽造の対象とする。 

　合成アイデンティティ詐欺は伝統的な「なりすまし詐欺」とは異なるが、同様な損害を与える。 伝統的ななりすまし詐欺の際、加害者はあなたの情報を使ってあなたを偽装する。一方、SIFでは、詐欺師はあなたの情報を取り込んで新しいアイデンティティを作る。偽装自体はない。それにもかかわらず、詐欺師がいったんこれらの「架空の身元」を作成すると、クレジットの申請、預金口座の開設、保険契約の購入、医療給付の登録、運転免許証やパスポートの取得など広い範囲の不正が行える。

 (2) なぜSIFは検出が難しいのか？ 

　個人情報の盗難を検出するコンピュータシステムは、個人情報（名前、住所、SSNなど）を確立するために複数の個人情報に一致するように設計されている。 システムがこれらの要素のすべてに一致するものがなければ、その検知システムは動かない。一方、 SIFは実際のデータと架空のデータを組み合わせているため、従来の検出システムでは問題が検出されない場合がある。 

SSNが盗まれた場合、SSNのみで検索を行う収集機関によって簡単に検出されるが、名前と住所が作成されていれば、犯罪者を追跡することは困難である。 

(3) SIFの危険性は何なる点か？ 

　SIFは検出するのが難しいため、詐欺師は詐欺的な購入や不正な信用供与ラインを開くまでに時間がかかる。 検出に時間がかかるほど、疑わしい犠牲者にはより多くの被害を与えることができる。すなわち、詐欺手口の例としては、① 即時クレジットマックスの利用：詐欺師はクレジット口座を開設、すぐに機関、小売業者、およびその他の貸し手から可能な最大額の与信を引き出す。② 睡眠口座(sleeper account)： これらの口座はすぐに活性化され、信用限度額を増やすために良好な状態を維持することができるが、時間が経つとデフォルトにすることができます。 アカウントが存在する時間が長くなればなるほど、架空のカード保有者は現実のように見え、信用枠の追加対象となる。 

(4)自分を守る方法とは？ 

① 個人の口座番号またはSSNを含む文書は常にシュレッダーする。

② SSNカード、パスポートなどの安全なロックボックスに正式な身分証明書を保管する。

③ 施錠可能なメールボックスを取得する。

④ SSA があなたに毎年通知している公的年金ステートメント（Social Security statement）に記載した給与支払額等に誤りがないか確認する。 

　ほとんどの場合、このような人為的な個人情報の盗難(SIF)は何年間も検出されない。そして犠牲者は、詐欺師が不正支払いを履行しなくなった後でしか検出できず、 かつ犠牲者はSSNに基づいて債務者から嫌がらせを受けるようになる。 これらの脅威から身を守るためには、常に金融機関等からの警告サインを探し、あなたの個人情報の内容に常に注意を払ってください。  

３．アイデンティティ・セフトからの本人保護サービス

　GAOは、 2017年3月30日に連邦議会あて報告「Identity theft (Protection )services：いくつかの利点を提供しするが、他方でこの新型詐欺防止には限界がある」を行った。

　以下、ハイライト資料を以下、仮訳するが、詳しい個々の内容は報告全文(70頁)を参照されたい。 

(1) GAOが明らかにした点 

　アイデンティティ盗難サービス (筆者注1)にはいくつかの利点があるが、一方で制限がある。個別に論じる。 

① 信用モニタリング(credit montoring)：ユーザーに警告することにより、新規口座詐欺（新しい未承認口座の開設）を検出するのに役立つが、他方で詐欺を防止したり、盗難されたクレジットカード番号の不正使用など既存口座に対する詐欺に対処できない。 消費者は、消費者の信用報告へのアクセスを制限することにより、新規口座詐欺を防止することができる低コストの信用凍結を要求しており、信用モニタリングにかわる信用監視の代替手段を持つべきである。 

② 「アイデンティティのモニタリング(identity Monitoring)」は、公的な記録や不正なウェブサイトなどのソースを監視することによって、特定の個人情報を悪用されることを消費者に警告することができるが、なりすまし詐欺を緩和する効果という点では、なお不明である。

 ③ 「アイデンティティの復元(Identity restoration )」：なりすまし詐欺の影響を改善しようとするが、サービスのレベルは異なる。一部のプロバイダは、消費者の側に立って債権者とやりとりするなどの実践的な支援を提供する一方で、大部分のプロバイダーは、より限られた給付のため自立救済情報を提供するのみである。

 ④ 「個人情報盗難保険(identity Theft insurance)」：個人情報の盗難の是正のプロセスに関連する特定の費用をカバーするが、一般的に直接的な金銭的損失は排除されるため、クレームの数と金額は実際より低くなっている。

　これらのサービスは、通常、医療上のアイデンティティや税金払い戻しの詐欺など、いくつかの種類の詐欺被害の脅威に対応していない。  

　様々な要因が、なりすまし詐欺保護対策サービス(Identity theft (protection) services)の提供に関する政府および民間部門の意思決定に影響を及ぼし、これらのサービスに関連する連邦政府の指導が改善される可能性がある。 連邦部門では、特定の機関になりすまし詐欺被害支援対策サービスを提供するよう法律が要求している。

 　たとえば、人事管理局（OPM）は、2015年のデータ違反(筆者注6)の影響を受けた個人に10年間サービスを提供するとともに、500万ドル(約5億4,500万円)の個人情報盗難保険を提供することを法律で要求している。  

　しかし、支払保険金が数千ドルを超えることはめったにないため、この保険金のレベルは不必要である可能性が高い。このような要件は、不必要に連邦政府の費用を増加させ、消費者にそのような保険範囲の恩恵について誤解を与え、市場での不当な補償範囲の拡大を引き起こす可能性がある。 

　OMBは、情報漏えいに対する政府機関の対応についてのガイダンスを持っているが、このガイダンスは、OMBのリスク管理と内部統制ガイダンスに沿った、より低コストの代替案に対するこれらのサービスの有効性については言及していない。 

　さらに、OPMは、2015年の違反の両方によって影響を受ける約360万人の人々に対して重複した個人情報盗難サービスを提供し、OMBは連邦政府機関が潜在的に無駄な重複を避けるためのオプションを探究していない。 

 　また、OPMは個人情報侵害対応ポリシー.には、GAOによって以前に特定された主要な業務慣行とは対照的に、ID盗難サービスの提供時期を決定するための基準や手順は含まれておらず、OPMは、将来の情報に基づく意思決定を妨げる可能性のある過去の違反行為の対応策についてつねに文書が出せない。 民間部門では、企業は、責任を回避したり、州法を守るなど、個人情報の盗難のリスクを軽減する以外の理由で、データ侵害の無料の個人情報盗難サービスの影響を受ける消費者を提供する。  

４．GAO のSynthetic identity fraud（SIF)Forum に関するreport 　

　レポート内容のハイライト文を以下、仮訳する。 

　Synthetic identity fraud（SIF）は、加害者が社会保障番号（SSN）や名前などの実在情報や架空の情報を組み合わせて、金融機関、政府機関、個人を不正にする可能性のある身元を作成する犯罪である。 2017年7月現在、SIFの規模は不明であったが、パネリストはこの種の不正行為が広範な影響を及ぼしていることに同意した。 例えば、あるパネリストは、銀行がSIF関連の未払い債務により年間約5,000万ドル〜2億5,000万ドルを失った可能性があると指摘した。 政府機関もこれら損失に直面する可能性がある。 例えば、あるパネリストは、ある州がSIF関連の失業保険金詐欺罪で推定2億ドルを支払ったと述べた。また、あるパネリストは、SIF犯罪者がマネー・ローンダリングを通じてテロ組織に資金を提供した例についても説明した。 

(1) SIFが原因となる広範な脅威

 

 

　パネリストは、公的機関と民間機関がSIFと闘う際に直面する多くの課題を特定し、いくつかの課題に取り組むための選択肢を以下のとおり特定した。 

(1)SIFの被害の予防(Prevention)：金融機関のプライバシー法の解釈は、詐欺的不正行為についての情報共有や法執行機関との情報共有を制限する。追加的な明確な法規制ガイダンスの策定等により、金融機関同士の情報共有を改善できる可能性がある。 

(2)•SIFの検出：民間および公的機関は、SIFを識別するために従来の不正検出手法（犠牲者の自己申告など）を使用する傾向がある。SIFでは、犯罪を報告する犠牲者はいないかもしれない。見かけ上は関連付けられていない複数の銀行口座（例えば、同一の顧客電話番号を有する異なる口座を識別するデータ・マイニング）を検出する高度なデータ分析は、従来の方法よりもSIFを検出する方が効果的である。

(3) SIF行為の訴追：社会保障庁（SSA）は、法執行機関の努力を遅らせることができるSSN検証の外部要求に対して、SSA給付に関連する詐欺事件に関するその資源に優先順位を付けた。 

　しかし、支払保険金が数千ドルを超えることはめったにないため、この保険金のレベルは不必要である可能性が高い。 このような要件は、不必要に連邦政府の費用を増加させ、消費者にそのような保険範囲の恩恵について誤解を与え、市場での不当な補償範囲の拡大を引き起こす可能性がある。

 (2) GAOがこの研究を行った理由 

　データ漏えいを経験した民間企業や政府機関は、影響を受ける消費者に、通常、信用調査(credit monitoring)、身元調査(identity monitoring,)、身元の復旧(identity restoration)、個人情報盗難保険などの個人情報盗難サービスを提供します。  2015年のデータ侵害に対応して、OPMはID盗難サービスに約2億4000万ドルの義務を負う2件の契約を授与した。  

　 GAOは、ID盗難サービスとその有用性に関連する問題を検討するよう議会から要請を受けた。 このレポートは、他の目的の中でも、（1）ID盗難サービスの潜在的利益と限界、および（2）政府および民間部門の意思決定に影響を及ぼす要因を調査します。  GAOは製品、研究、法律、規制、連邦指導および契約を見直し、大規模な市場参加者であったため、連邦政府機関、消費者団体、業界関係者、選出された8名のプロバイダーにインタビューした。  

(3) GAOが推奨した事項 

　連邦議会は、データ漏洩後に提供される個人情報盗難保険の適切な保険適用範囲レベルを、連邦機関が決定することを認めなければならない。 OMBは、アイデンティティ盗難サービスの代替案に対する有効性を分析し、連邦政府機関のこれらのサービス提供における重複に取り組むための選択肢を検討すべきである。OPMは、これらのサービスを提供する際の違反対応方針を取り上げ、その意思決定プロセスを文書化する必要がある。 OPMは、同連邦機関に対するGAOの勧告に同意した。 

******************************************************************************

(筆者注5-2)「バスト・アウト」の定義をあげておく。

クレジットカード詐欺の一種で、個人がクレジットカードを申請し、当初は通常の使用パターンと堅実な返済履歴を確立するが、次に請求書の金額を支払うつもりはないのに、数多くかつ限度額までを利用する。 バスト・アウトは、個人がカード発行者の信頼を発展させる初期段階と、多数の口座を開設し、クレジットラインの増加を受けて詐欺の第2段階でより多くの資金が利用できるようにする強い信用プロファイルを備えようとするもので、当該個人は、返済する予定のないクレジットカード取引を行うものである。

(筆者注6) 2015.7.11 日経ITpro記事「米政府人事管理局、2000万人以上の個人情報が流出」 参照。

**************************************************************************

Copyright © 2006-2017 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only.You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

米国の金融機関等の「なりすまし詐欺犯罪」対応規制強化の最新動向

The latest regulations for “Identity Theft Prevention Program” to the financial institutions and creditors in the United States(1/3)　

 〔Summary in English〕 “The Fair and Accurate Credit Transactions Act of 2003（Fact Act)” of the United States taken up by this blog in July, 2006 . The Federal Deposit Insurance Corporation (FDIC) and The Board of Governors of the Federal Reserve System (FRB) have issued“The Interagency Examination Procedures for the Identity Theft Red Flags and other Regulations under the Fair Credit Reporting Act （Fcr Act）“ on October 10, 2008, as a closing phase of the approach on "Red Flags" procedure and “address discrepancy rule”required of Section 114 and 316 of the Fact Act . The "Identity Theft" crime that is extending with evolution of the information technology society and international population movement in the United States and EU member states. Not only the finance institutions but also the consumer reporting agencies has been extremely perplexed though it is that a financial regulator and FTC (Federal Trade Commission) has settled on extremely the important rule and guideline ． It should be noted that the package service that builds in concrete correspondence for information technology skill and financial former　examiner's knowhow for the writing of the policy and the program that the business has been most perplexed, is established as a business as reported by the Reuters news April 21 and the Forbes on October 8, and financial institution users are increasing in the United States. In this blog, I will illustrate the outline of the examination rule of a financial regulator on the current "Red flag" procedure and the content of the inspection made public in this time, and briefly introduce the content of the example of the match of the security development business and the law information service business that correspond of the above embarrassed　issues. In that sense, not only the credit card issuers but also the financial institutions and the consumer own improving consciousness of crisis to risk management becomes a lesson in "Swindle ..the shake.. ..putting.." of our country where damage doesn't decrease at all. 　

  2006年7月の本ブログで詳しく取り上げた米国の「2003年信用取引の公正・適正化に関する法律(the Fair and Accurate Credit Transactions Act of 2003：Fact Act)」」114条、315条に基づく「レッド・フラッグ」手順や大幅な住所相違通知等への取組みプログラムの最終段階として、2008年10月10日に連邦準備制度理事会（FRB）等は金融監督機関共通の検査手続（Interagency Examination Procedures）を公表した（連邦預金保険公社（FDIC）は2008年10月16日に公表している）。

　「なりすまし詐欺」は米国やEU等ではIT社会の進化や国際的人口移動とともに広がる最大の取組課題となっていることは間違いない。米国連邦の金融監督機関やFTC（連邦取引委員会）が極めて重要な政策課題と位置づけて策定した行政規則やガイドラインであるが、強制遵守期限である2008年11月1日を間近にひかえ、金融界だけでなく信用報告機関の受け止め方は極めて困惑しているといえる。 　

   しかし、米国らしさが発揮されるのは4月21日のロイター・ニュースや10月30日のフォーブス紙が報じているように、IT技術や前金融検査官のノウハウや企業が一番困惑しているポリシーやプログラムの策定という法令遵守義務のための具体的対応を組み込んだパッケージ・システム・サポート・サービスがITビジネスとして確立され、その利用金融機関が増加してきている点である。(筆者注1) 　

  今回のブログでは、これまでの「レッド・フラッグ」手続きに関する金融監督機関の検討の経緯および今回公表された検査内容の概要について紹介し、併せてその対応に関し、前述したセキュリティ開発企業や法令情報サービス企業の取組例の内容について、簡単に解説する。 　

  なお、わが国においても、マネー・ロンダリング対策として金融機関等における口座開設時の本人確認義務の厳格化や、2008年3月１日から「犯罪による収益の移転防止に関する法律」により、本人確認の義務の範囲や対象となる事業者の範囲が金融機関から拡大される部分などについて施行された。(筆者注2) 　 詐欺の手口は日々巧妙化する。わが国において「フィッシングに基づくなりすまし」「マネロンのチェックの回避のための口座売買」等が手口を変えながらますます増殖することは間違いなく、金融機関等のおける「疑わしい取引」報告義務の拡大や「振り込め詐欺」対策としての、不自然な口座の取引のモニタリング・システムといったシステム面の対応の要請が強まるのは時間の問題であろう。

　 なお、2009年中に施行される割賦販売法の一部改正に基づくクレジット業者規制の強化（消費者信用情報機関利用の義務付け）は、わが国でも欧米型のなりすまし詐欺のリスクが広がることを予測させる。 　

  その意味で、金融機関やクレジット業者のみでなく消費者自らがリスク管理に対する危機意識を高めることが、被害が一向に減らないわが国の「振り込め詐欺」での教訓となろう。 　

  １．米国金融監督機関等における「なりすまし詐欺」の早期予知・警戒情報整備に 対する規則制定の経緯

 (1)今までの経緯に即して最近時の主な対応内容を中心に述べると、次のとおりとなる。（筆者注3）

 A. 2006年7月18日に、FDIC等連邦金融監督機関と連邦取引委員会（FTC）は連名でFact Actに基づく①金融機関向け適用・解釈ガイドライン、②金融機関のガイドライン適用時の監督機関の規則、③金融機関の取締役会等を含む組織的対応プログラムのあり方等に関する草案を公表した（パブリック・コメント期間は2006年9月18日まで）。（筆者注4）

B.2007年4月11日に、FDICは「なりすまし詐欺」に対する監督ポリシーを公表した。

C.2007年11月9日に、FDIC等5監督機関とFTCは連名で「レッド・フラッグ」と大幅な住所相違（address discrepancies）等の取扱いに関する最終共通行政規則およびガイドラインを公表した。同規則は、金融機関やクレジット業者（creditors）ならびにクレジットやデビットカード発行業者に対し、①消費者信用情報の利用ユーザーに対する住所の大幅な相違についての通知の中で、合理的な範囲での本人確認義務（address discrepancy rule）（12 CFR 222.82）、②金融機関に対するなりすまし詐欺の調査、阻止および削減に関する協力義務（identity theft red flags rule）(12 CFR 222.90)、③クレジット・デビットカード発行業者の住所変更の有効性を調査する義務（card issuer rule）(12 CFR 222.91)の3つをコアとする要求を行っている。 　ガイドライン（Appendix J）の追補A （Federal Register / Vol. 72, No. 217の63755頁以下）において、金融機関やクレジット業者が阻止プログラムに協同して取組むため、26項目の「レッド・フラッグ」のリスト（筆者注5）を参考掲示した。

 D.2008年1月1日に諸行政規則とガイドラインが施行され、2008年11月1日に金融機関の遵守が義務化(mandatory compliance)された。なお、FTCは2007年11月の規則やガイドラインに基づく書面プログラムの作成義務について、監督下にあるノンバンクのクレジット業者や州免許の信用組合のなりすまし詐欺阻止のプログラム策定の遅れを認め、10月22日付けで「レッド・フラグ規則」の遵守期限を2009年5月1日に6か月延期するとの決定を行っている。（筆者注6）（筆者注7）　　

  これにより、FDIC等やFTCは「なりすまし詐欺」に対するリスク管理という観点から金融機関に対する検査内容を強化することとなった。

（２）検査時における3項目についてのポイント
A.安全・健全性検査官（safety-and –soundness examiner）はレッド・フラッグ手続の遵守および消費者に対する法令遵守検査(compliance examiner)中で大幅な住所相違やクレジットカード等における住所変更について適切な確認が行なわれているかにつき、定期検査時において重点的に検査を行うこととなった。
B.「大幅な住所相違の取使ルール」は、金融機関を含む消費者信用情報のユーザーに対し、信用報告機関（consumer reporting agency）に対し（筆者注8）から大幅な住所相違の通知を受けたときに報告を求めた消費者に関する消費者報告確認を義務付けるものである。これに加えて、同ユーザーは自らが(a)消費者と継続的な関係を確立している場合、かつ(2)定期的に信用報告機関に対し大幅な住所変更に関する通知を提供している場合、ユーザーが合理的に確認できた消費者の住所を信用報告機関に提供するためのポリシーと手続の策定が義務付けられた。
C.「レッド・フラッグ」ルールは、金融機関に対し、対象となる口座について新規則によりカバーされるかたちで提供および維持されているかどうかについて定期的に決定することを求める。対象口座は一般的に金融機関がなりすまし詐欺のリスクを予測しうる消費者の口座またはその他の口座である。新規または既存の対象口座に関し、金融機関はなりすまし詐欺の調査、阻止および削減という観点から設計された文書によるなりすまし詐欺阻止プログラムの作成と適用を行わなければならない。このプログラムは各金融機関の業務の規模や複雑さに合致したものでなければならない。金融機関は「銀行の機密等取引報告義務法（Bank Secrecy Act：BSA）」(筆者注9)や「反マネー・ローンダリングのための遵守プログラム(Anti-money Laundering　compliance　 programs )等の既存の遵守プログラムに加え、なりすまし詐欺プログラムの考案が求められることとなった。
D.クレジットカードやデビットカード発行業者は、カードの追加発行や交換の要求に際し、住所変更手続の有効性調査に関するポリシーや手続の策定を行わねばならない。そのような状況下で、カード発行者はそれらポリシーや手続に従った住所変更の有効性の調査が完了するまで、カードの追加発行や交換を行ってはならない。

２．米国の金融機関等の対応の遅れ
　　2008年6月20日にBank Systems &Technologyの報告におけるLexisNexisの詐欺・法遵守担当部長デブ・ガイスター（Deb Geister）氏のレポート等において多くの問題点が指摘されている
　　筆者も従来から感じている疑問であるが、米国の金融関係者も指摘しているとおりFRB等の規則は金融機関がどのように対応すべきかが非常に曖昧である。すなわち、金融機関が何をなすべきかについては述べているが、どのように実践すべきかについて述べていないのである。遵守期限のみ決めてあとは自分で考えろといういかにも権威主義的である。そこに目をつけてビジネスが入り込む余地を作るのがいかにも米国流であるが、批判が出るのは当然であろう。
　　2008年の春にLexisNexisが行った約1,100人の銀行員を対象としたアンケート調査では、84%はレッド・フラッグ・プロジェクトの取組みを開始していないかまたは、始めたばかりという状況であった。その原因の1つは、FFIECが策定した多要素認証（Multi- factor Authentication）の対応ガイダンスと比較して周知度が極めて低いという点である。
　　なお、11月1日の法遵守期限の意味について補足しておく。当該企業や組織に対し次のペナルティが科されるのである。（筆者注10）
①FTCによる連邦裁判所への法執行申立て：規則にもとづき個別違反行為に対し、最高2,500ドル（約243,000円）の罰金が科される。
②州の法執行機関：州監督機関は住民に代って訴えを起こすことができる。その場合、各違反行為ごとに最高1,000ドル(約97,000円)の損失補償請求が行われ、かつ原告勝訴の場合は弁護士費用も負担することとなる。
③消費者は、なりすまし詐欺の被害に対し法遵守違反に基づく損害実額の補償を求める民事裁判を起こせる。この場合、多くはクラス・アクションとなり巨額な損害賠償を求められるとともに、原告勝訴の場合は合理的な範囲の弁護士費用も負担することとなる。

３．米国の金融機関にみるシステム・サポートの取組みや信用情報機関の支援システムの導入状況
Fact Actのレッド・フラッグ・ルールは、マニュアルでもオートマティックでもかまわない。以下で具体例を紹介するが、ガイスター氏等は金融機関の既存のリスク・アセスメントに関する情報システム（例えばマネー・ローンダリング・チェックのための口座取引のモニタリング・システム）の再利用が考えられると述べており、これらの取組みを理解するうえで参考となろう。

(1)Secure Identity Systems社（SIS）の例
　　フォーブスは10月8日のニュースでケンタッキー州ワシントン郡に本部を置く地方銀行“Springfield State Bank”（FDIC加盟銀行）がSIS社の支援のもとで当初のリスク・アセスメント・プログラムに係るポリシーやレッド・フラッグ手続のマニュアルをカスタマイズし、併せて全取引口座について新規口座の認証システムや住所変更時の確認システムを提供したと報じている（10月30日のフォーブスは、さらにSISの利用銀行等が増加（Troy Bank＆Trust(本部はアラバマ州)、First Tier Bank　of Kimball（本部はネブラスカ州）した旨報じている。
　なお、ロイター通信が4月21日に報じている4金融機関（Affinity Bank,Campo Federal Credit Union,First National Bank of East Park Jeffco Credit Union）に対するSISのシステム・教育支援もあり、今後他金融機関における対応でも話題となろう。(筆者注11)
（Fact Act 114条への対応）
SISは同銀行のBank Secrecy Act対応システムの内容を調査し、標準的な2様式以上の認証方法を採用できるようにした。つまり同行の顧客が新規に口座開設する際、新規口座所有者に関する最も適切かつ最新の情報を連邦社会保障庁（the Social Security Administration）、個人信用情報機関（credit bureau）および郡政府がそれぞれ独自に管理している資産税徴収システムのデータベース(local property database)等一連のデータベースに簡易にアクセスできるよう解決策を開発した。
　 同様に、顧客が既存口座の住所変更手続を求めたとき、SISの住所変更確認システムにより、7億件以上の記録データベースを数秒で検索し、関連するリスクの程度を特定するのである。同システムの利用により、銀行は詐欺師が違法に住所を変更したり、顧客口座の乗っ取りといった潜在的リスクの約25%を排除できることとした。
　SISのHP では、「レッド・フラッグ」規則対応（Red Flag Ruling Solutions）について詳細な説明がなされているが、金融機関だけでなく家族、企業を詐欺被害から守るための解決策が紹介されている。企業の独自のノウハウの関連からあまり詳しい内容ではないが、参考までに項目と要旨のみ記しておく。
①当初のリスク・アセスメント（BSAの要求内容、情報セキュリティ、なりすまし詐欺対応プログラムを含む当該金融機関の提供商品やサービスの一覧化、適所なリスク・コントロールが行われていない商品についてのギャップ分析 (筆者注12)を用いる。
②対応組織が策定すべき「ポリシーと手続マニュアル」に関するガイダンス
　OCCやFDICの前検査官の協力により作成したものである。主な内容は(a)レッド・フラッグ対応に関する確認・調査、(b)なりすまし詐欺の阻止・削減、(c)レッド・フラッグの警告・注意通知、(d)不自然・疑わしい行動とは、(e)住所変更後の重要な変更事項、(f)改ざん・偽造・疑わしい文書とは、(g)レッド・フラッグ・プログラムの更新
③新規口座の認証（New Account Authentication:All consumer accounts）
　レッド・フラッグの新規則は金融機関等に対し、口座の新規開設時に必要とされる伝統的な2様式 (筆者注13)のID確認事務の他に第三者機関のデータベースとの照合という更なる詳細な確認義務を追加した。SISは、リアルタイムで「全米三大信用情報機関（Equifax、Trans Union、 Experian）」「ビジネス向け消費者データベース」(筆者注14)「電話会社」「連邦社会保障庁」「消費者報告機関」「法執行機関」「郡資産管理局」「米国郵便公社」「財務省外国資産管理局(OFAC)」「州陸運局(DMV)」が管理する約7億の記録(毎月400記録が更新される)にアクセスできる。
SISの照合システムは2部に分れており、ユーザー機関は①「基本照会申込入力項目」として、SSN、フルネーム、現住所、生年月日が、また②「追加照会項目」として「電話番号」「運転免許証番号」「前住所」について照会が可能である。
④住所変更時の照合方法
　 SISの住所変更確認システムは、最高レベルの住所に合致する個人を特定してフラッグを立て、また使い勝手のよい認証の実践を通じてエラー率を20%以上減らした。また、従来に比べ確認手順の迅速化（レスポンスタイムは3秒以下）を図った。

⑤なりすまし詐欺の阻止
SISレポート内容は、当該ユーザー企業自身が保有する顧客情報の増加をもたらすのみでなく、金銭面以外の顧客のなりすまし詐欺被害を阻止・保護するといった面で企業の信用度全体を向上させる機能を持つ。すなわち、SISは次の4要素を用意している。
(a)信用情報以外の個人のID全体のモニタリング
　 最新のFTCの報告でも、なりすまし詐欺の70%は非信用情報（non-credit related）に関するものであるとしている。このことは信用情報機関の保有する信用情報のみに頼らない、効果的な「なりすまし詐欺対策プログラム」が必要であることを示している。SISとしてはモニタリング対象とすべき取引項目・データは次であると指摘する。(%の数字はモニタリング対象を100%とした割合)
・信用情報関連：20%
・社会保障番号（SSN）：15%
・政府の文書：10%
・銀行口座：16%
・電子的資金移動：8%
・ワイヤレス口座（モバイル口座等）：8%
・電話：4%
・詐欺的住所変更：6%
・公益事業(utility account)：6%
・犯罪関係：3%
・投資：4%
(b)当初の調査
　 SISは新規利用企業等に対し、1,000のデータベースの矛盾点等を調査し、IDに関する危険な事態がすでに生じているか否かについて決定する。
(c)レッド・フラッグを立てる
次に矛盾するデータについてフラッグを立てることにより将来の潜在的詐欺行為を阻止することである。矛盾事項の選別は金銭面の損失の阻止のための更なる確認を必要とさせる。換言すると、顧客のクレジットカードの申込において既存の届出住所と異なる住所の記載がある場合は顧客へ警告が必要となる。
(d)継続的モニタリング
(e)SISは専門的教育を受けた紛争解決専門の企業内弁護士（professionally trained Resolution Advocates）を擁している。彼らは、詐欺被害の程度および問題解決のために行うべき事項の決定のため詐欺被害者に直接面談する。彼らは個別解決案を予め用意し、徹夜で被害者にメールを送信するとともに一般の弁護士では限られる被害者の立場に立った直接的な支援（信用回復の過程を通じた被害者が持つであろう懸念材料に対する答等を用意）を行う。
(f)ユーザーたる金融機関等の顧客や役職員への教育的研修会を実施し、なりすまし詐欺の阻止に向けて相互のコミニュケーションの円滑化を支援する。
(g)AIGグループが開発した個人負担ゼロで25,000ドルを上限とする支出保障プラン“zero-deductible $25,000 expense reimbursement insurance”（筆者注15）を提供する。信用回復にかかる裁判費用等の個人的負担軽減策と言えるもので、1週あたり1,000ドル(最大4週間）が支給される。

(2)Equifaxの例
　 米国の3大信用情報機関の1つである“Equifx”もAIGグループと類似の保障サービス（Equifax Credit WatchTM Gold ）を提供している。個人負担ゼロで最大20,000ドル（制約あり）、その他の点もAIGの保障内容と類似している(利用金額は月額9.95ドル)。

(3)LexisNexisの例
2005年3月の30万人以上の個人情報の流失事件を起こしているリスク・情報分析の専門会社である同社であるが、一方でSISと似たレッド・フラッグ規則に対応するためのモニタリング・システムを提供している。同社のHPを見て気が付くようにとにかく米国の市民は“good man”であることが金融取引だけでなく就職、結婚等日常生活すべてにかかわってくるのである。そのような背景からも、“InstantIDⓇ”、“FraudDefenderⓇ”といったツールを用いながら、なりすまし詐欺から自分自身を守らなければならない米国社会の現状が浮かび上がってくる。

 ************************************************************************************

(筆者注1) 米国の代表的銀行協会である“American Bankers Association(ABA)”も、レッド・フラッグ・ルールの対応・導入に関するガイダンス CD-ROMをオンライン販売している。CD-ROM中の説明者はABAの幹部のほかLexisNexisの詐欺問題担当部長Deb Geister氏、FDICの上級アナリスト、銀行の副頭取であり、価格は会員金融機関が255ドル、非会員は385ドルである。

(筆者注2) 2008年3月1日施行の「犯罪収益移転防止法（Act on Prevention Transfer of Criminal Process of 2007）の制定により、届出対象事業者が、従来の金融機関等からファイナンス・リース業者、クレジット・カード業者、宅地建物取引業者、貴金属等取引業者、郵便物受取・電話受付サービス業者等に拡大されたほか、金融庁（特定金融情報室）に設置されていたFIU機能が国家公安委員会・警察庁の「刑事局組織犯罪対策部犯罪収益移転防止管理官（JAFIC）」に移管した。JAFICは、全国各地の金融機関等から届け出られたマネー・ローンダリングの疑いがある取引情報を様々な角度から分析し、捜査機関に捜査の端緒となるべき情報を提供している。JAFICは、所管行政庁や捜査機関等との定期的な情報交換を行うなど連携を取り合いながら、効果的なマネー・ローンダリング対策を検討するとともに、特定事業者が疑わしい取引の届出を行う際の判断基準となる「疑わしい取引の参考事例」などについて、所管行政庁と連携をしながら順次公開し、疑わしい取引の届出制度の適切な運用ができるよう活動を行っている。

 （筆者注3）FDICのID詐欺への取組みは、厳密に言うと2001年3月から始まっている。参考までにトッピックスを紹介しておく。 •FIL-22-2006, Prohibition Against Discrimination in Credit Transactions, issued March 9, 2006 •FIL-27-2005, Guidance on Response Programs for Unauthorized Access to Customer Information and Customer Notice, issued April 1, 2005 •FIL-7-2005, Guidelines Requiring the Proper Disposal of Consumer Information, issued February 2, 2005 •FIL-22-2001, Guidelines Establishing Standards for Safeguarding Customer Information, issued March 14, 2001

 （筆者注4）2006年7月18日に公表されたFDIC等連邦金融監督機関と連邦取引委員会（FTC）が連名でFact Actに基づきIdentity theft阻止に関し金融機関等に義務化する具体的対応に関する規則やガイドラインについては、同年7月の本ブログで詳しく紹介した。今回の内容と併せて読んで欲しい。

 （筆者注5）既存または変更の行われる対象口座に対する「なりすまし詐欺」の調査、阻止および軽減させるプログラムの作成を支援させるため、レッド・フラッグを掲げるための26の例示の内容を紹介している。「詐欺」行為の兆候を事前に予見することは極めて困難な問題であるが、わずかな不自然さを見逃さない日常的な訓練が必要であることは、わが国の金融機関や捜査機関の場合も同様といえよう。

（筆者注6）FTCの遵守期限の6か月延期の理由について、FTCの10月22日のリリース等の情報に基づき補足しておく。FTCの最近の調査では自動車デーラー、公益企業、不動産担保ブローカー、電話会社、非営利政府機関等事業遂行上で個人信用情報に依存している事業者は全米で約1,100万におよぶ。議会はFact Actに言う「クレジット業者」を極めて広く定義したため、FTCがなりすまし阻止プログラムへの取組みについて実態調査した結果、プログラムの策定開発義務について十分認識していない企業が多いことが判明した。また、また全米信用組合協会(CUNA)によると、FTCの監督下にある州免許信用組合のみFTCの規則により延期の影響を受ける一方で、信用組合の監督機関である全米信用組合管理庁（NCUA）（筆者注7）の監督下にある信用組合は原則とおり2008年11月1日が遵守期限である。 （筆者補足：今回のFTCの延期措置の意味するところは、FTCは6か月間は遵守違反にもとづく公訴を行わないということであって、本文２．詐欺被害者の原告弁護士（plaintiff attorney）によるクラス・アクションといった訴訟リスクがなくなるわけではない）。　また、「レッド・フラグ手順」と同時に対応が義務付けられる「大幅な住所相違報告ルール（address discrepancy rule）」についても延期は行わない。

（筆者注7）全米信用組合管理庁（NCUA）のわが国の訳語を見ると区々である。「信用組合連盟（NCUA）」や「全米信用連盟」（野村資本市場研究所の訳）、「連邦監督局のNCUA」（農林中金総合研究所の訳）、「信用組合管理局」（reuters.jpの訳）、「国法クレジットユニオン監督庁」（国立国会図書館の訳）等である。NCUAのHPで確認すると“The National Credit Union Administration (NCUA) is the independent federal agency that charters and supervises federal credit unions.”である。読者はどの訳語が正確と思われるか。

（筆者注8）「消費者報告機関」と「個人信用情報機関」の意味の相違について補足しておく。
FACT Actの改正前法であるFCR Actは、わが国の信用情報機関に相当する「消費者報告機関（consumer reporting agency）」の取り扱う個人情報について規整している。同法は、消費者報告機関のほか、消費者報告機関に情報を提供する者、消費者報告機関から消費者報告の提供を受けてこれを利用する者を広く規整しており、対象は金融機関に限られない。FCR法の保護対象である、「消費者報告（consumer report）」は、個人・家族・家計向けの与信や保険、雇用目的、その他法令上認められる目的で消費者の適格性（eligibility）を判断するため、消費者報告機関が第三者に提供する、個人の信用度・信用残高・信用枠・人格・一般的評判・個人的な特徴・生活様式に関する消費者（consumer）の情報である（同法603条（d）（1））。消費者は個人を意味するため（同法603条（c））、法人の情報は含まれない。
消費者報告機関（消費者報告を定期的に第三者に提供する者）の代表例は、Equifax、Experian、TransUnion等の個人信用情報機関（credit bureau）であるが、これに該当するか否かは、消費者報告に該当し得る情報を定期的に第三者に提供しているか否かにより機能的に判断されるため、このような情報を定期的に第三者に提供する者は、消費者報告機関とみなされる可能性がある。消費者報告機関は、本人の書面による指示がある場合や、与信・雇用目的・保険の引受・支払能力の評価等の特定の目的で利用されると消費者報告機関が信じるに足る理由がある場合、公的機関の要請がある場合等、一定の場合を除き、第三者への情報提供が認められないうえ（FCR法604条（a）、607条（a））、消費者報告の正確性を確保する義務（同法607条（b））や本人からの請求に応じて消費者報告を開示する義務（同法609条（a））等を負うこととなる。また、センシティブ情報の一部である医療情報については特に厳格な規制がなされる。このため、金融機関は消費者報告機関に該当しないようにしていると指摘されている。なお、FACT法により、金融機関（GLB法（Gram-Leach Bliley Act of 1999）上の金融機関と同義）が、顧客の事故情報（negative information）を、全米規模で信用情報を取り扱う消費者報告機関に提供する場合には、本人に書面により通知することとされた（改正FCR法623条（a）（7）（A）
「金融機関のグループ化に関する法律問題研究会」報告書（日本銀行金融研究所/金融研究/2005.11）より抜粋。

(筆者注9) “Bank Secrecy Act”は正確に言うと「銀行等に対する機密性が高くまたは不審な現金払いおよび海外との金融取引等に関する報告義務法」である。
http://fukuhei.blogspot.com/2006_09_01_archive.html

（筆者注10）この解説部分は、もともと7年前に大手会計監査会社がネットワークセキュリティのコンサルティング専門会社として立ち上げた組織を、最大手のセキュリティ対策専門会社McAfeeが2004年9月に買収した“Foundstone”サイトから引用した。Red Flags Ruleについて分かりやすく解説している。
http://www.foundstone.com/us/pdf/ProgDev/red_flag_rule_datasheet.pdfn b

(筆者注11)４金融機関の導入に関する記事内容は、Springfield State Bankの場合とは異なる点があり、併せて紹介しておく。

（筆者注12）リスク分析の手法の1つで、管理基準をチェックリストとし、基準からの差異（GAP）に基づき脆弱性を分析するもの。以下の算出式により、リスクを定量的に示す。
リスク＝資産価値×脅威×脆弱性

(筆者注13) 米国銀行等において新規口座開設時に必要とされるID書類について触れておく。ここでは米国市民権をもっている場合についてのみ説明する。
(1)IDのための最優先的ID確認カード・文書
①写真つき有効期限内の運転免許証
②写真つき有効期限内の当該銀行が所在する州発行のIDカード
③有効期限内のパスポート
④有効な義務兵役IDカード
(2)IDのための第二次的ID確認カード・文書
①地方の短大の学生および教員IDカード
②公的被介護者IDカード
③有効期限内のクレジットやデビットカード
④銃等小火器所有者カード（FOID card）
⑤氏名および写真つき有効期限内IDカード
⑥出生証明書の証明つき写し（certified copy of birth certificate）
http://72.14.235.104/search?q=cache:vJ-qNkbhzFIJ:www.busey.com/pdfs/new_account.pdf+traditional+forns+identification+saving+account+active+ssn&hl=ja&ct=clnk&cd=19

(筆者注14) SISがいう“commercial consumer databases”について、具体的な企業名は不明である。筆者の推測であるが、例えば「データマン・グループ」等が該当するのではないか。マーケテイング手法が多種対応な米国ならではのビジネスであろう。

（筆者注15）わが国において、米国における消費者の生保・損保等各種保険料負担対策について詳しく解説しているものは少ない。“deductible”の1語だけでも的確な訳語がない。その背景には仕組みが複雑な点もあるが、連邦・州政府の保険政策とのからみもあり、これだけで論文が書けよう。機会を改める。
AIGの保険サービス約款（AIG Personal Internet Identity Coverage Policy）の保障内容には、収入保障、信用回復にかかる民事訴訟の弁護士費用、ローンの再登録にかかる費用等が含まれる。

〔参照URL〕
http://www.federalreserve.gov/boarddocs/srletters/2008/SR0807.htm#Footref2
http://www.fdic.gov/news/news/financial/2008/fil08105.html
http://www.bankinfosecurity.com/external/fil08105a.pdf

********************************************************************************************

Copyright © 2006-2010 芦田勝(Masaru Ashida)．All Rights Reserved．No reduction or republication without permission．

 

 

米国のOCC等が連名で「なりすまし詐欺」阻止に関する「FACT法」の解釈ガイドライン等草案を公表

　

Last Updated: Febuary 21,2022

　2006年7月18日付で連邦財務省通貨監督庁(OCC)、連邦預金保険公社(FDIC)、連邦準備制度理事会(FRB)等は連名で「なりすまし詐欺(Identity Theft)」の阻止に関する「2003年信用取引の公正・適正化に関する法律(the Fair and Accurate Credit Transactions Act of 2003：Fact Act)」114条および315条の①金融機関向け適用・解釈ガイドライン、②金融機関のガイドライン適用時の監督機関の規則、③金融機関の取締役会等を含む組織的対応プログラムのあり方等に関する草案を公表した（パブリック・コメント期間は2006年9月18日まで）。
　草案全文で96頁にわたるため詳細は省略し、本草案策定の背景や目的、さらに全体の構成および留意すべき点のみ紹介する。（筆者注1）

　同草案において特に興味深い点は、「なりすまし詐欺」につながる「予兆」をいかに口座開設や住所変更等と関連付けるかといった点や金融機関等の「なりすまし」のリスク判断にかかる時間や費用面の試算を行う等実証的な観点に重点を置いていることである。

　なお、なりすまし詐欺問題は、日本の金融庁が2006年7月13日に公表した「情報セキュリティに関する検討会」の共通認識のうち、インターネット・バンキングで問題となりうる点であり、一方別の機会に紹介するが、英米日の金融機関ですでに導入している「トークン型ワンタイム・パスワード」システムの脆弱性を狙った「Phishing」がシティ・バンク・グループの米国内の情報サービス部門を担う「シティ・ビジネス(Citibusiness)」の顧客に対して発生している。今後も、金融界は限りないもぐらたたきを続けなければならないであろう。

１．FACT Act　の114条のガイドライン策定の背景(5以下)
　FACT Act（Pub.L.108-159(2003)）は「1970年公正信用報告法(Fair Credit Reporting Act)」になりすまし詐欺の捜査、阻止および緩和に関する新たな規定を加えた。同法114条は金融監督機関に対し次のような具体的対応を求めている。
(1)金融機関に口座を開設したり、与信業者から信用供与を受けている顧客に関するなりすまし詐欺についての監督機関連名の「ガイドライン」の策定。
(2)前記ガイドラインの策定にあたり、監督機関はなりすましのパターン、実行行動、や特定の行動形態を特定しなければならない。
(3)ガイドラインは必要に応じ見直し、また「2001年テロリズム法を傍受し妨害するために必要な適切なツールを提供することによってアメリカを統一し強化する法律(PATRIOT Act)」(注1-2) 326条に定める方針や手続きに合致しない内容は禁止される。
(4)ガイドラインの内容は、過去2年間における不活性口座（睡眠口座）において取引が発生した場合に、金融機関に対し顧客への適正な通知に関するポリシーや手続を遵守させ、また実際になりすましの発生を減じさせる効果のある考えで臨むよう配慮したものでなければならない。
(5)監督機関は、上記の金融機関の対応を徹底させるため連名の諸規則（regulations）を策定しなければならない。
(6)前記連名規則は、クレジットカードやデビットカードの発行者が住所変更手続（Change of Address）の要求を受けた場合に、その有効性の調査を行うことについての規定を含まねばならない。特に、カード発行者が既存口座につき短期間（少なくとも30日以内 ）に住所の追加や変更手続の要請を受けた場合、なりすまし詐欺を阻止するための合理的なポリシーや手続を準備しなければならない。すなわち、発行者は以下の場合以外はカードの発行が禁じられる。①カード保有者から旧住所における手続き要求がありかつ誤った住所における緊急信用報告の提供について通知すること、②変更要求するカード保有者に対し、かつて発行者と保有者間で合意した通信手段によって通知すること、③発行者が共同規則の内容に従い、作成した合理的なポリシーや手続に従って住所変更の有効性を査定することである。
　これを受け、具体的に金融監督機関は、①金融機関の対応要件を定める「 Red Flag Regulations」の策定、②各金融機関におけるなりすまし詐欺阻止プログラム策定、③なりすましのパターンや実行行動からみたリスクの程度についてのデータの提供（「Red Flag Regulations 」または「附則(Appendix)J」）に即した責任が求められる。

２．Red Flag Regulationsの草案(6以下)
(1)114条に基づき金融監督機関は、過去に銀行監督機関により策定された「監督機関共通情報セキュリティ規格に関するガイドライン(Interagency Guidelines Establishing Information Security Standards)」等の取組みに準じた弾力的なリスク判断に基づく草案を策定しなければならない。同規則に基づき、個別金融機関が作成する遵守プログラムには次の内容が含まれなければならない。
　①顧客のなりすまし被害の阻止や金融機関（与信業者を含む）の安全性、健全性を確保するための「Red Flag」手続の確認。
　②新規口座開設時の本人確認手続の厳格性の確認。
　③「Red Flag」がなりすまし詐欺リスクの捜査時の証拠となりうるか否かの調査。
　④予想されるリスクに比例した「なりすましリスク」の緩和策。
　⑤対応プログラムに関する役職員の研修。
　⑥海外のサービス提供部門との調整。

(2)Red Flag Regulationsの逐条解説（詳細内容は略す）(7以下)
　①90条：なりすまし詐欺の捜査、阻止および軽減に関する義務（口座(account)　　(8)、金融機関の取締役会(8以下)、顧客(9)、なりすまし(9)、Red Flag(9以下)、サービス提供業者(10)、なりすまし阻止プログラム(10以下)および同プロ　　グラムの開発・適用(11以下) 等の用語の定義にかかる条文）
　②附則J：114条を受けてRed Flagの対象となるリスク度の高い指標を列挙している。

(3)カード発行業者の住所変更手続き時の確認義務（規則草案91条）(17以下)
　カード保有者などの定義、一般的要求内容、保有者への通知様式を定める。

３．FACT Act 315条の内容(18以下)
(1)同条は、全米レベルの個人信用情報機関（FCR Act 603条(p)に列挙）に対し、「1977年地域社会再投資法（Community Reinvestment Act of 1977）（筆者注2）の消費者ファイルの住所と大幅な不一致（Address Discrepancies）がある場合、その旨を通知しなくてはならないと定める。また、同条は監督機関がユーザから住所不一致の通知を受け取った際、消費者信用情報のユーザーが採用すべき合理的な方針や手続に関する共通規則を定めることを求めている。
(2)規則案82条で具体的な範囲、定義、「なりすまし」がありうると信じるに足る要件の明確化を規定する(19以下)。同条では、いわゆる「愛国者法」326条が定める新規顧客確認プログラム(Customer Identification Program：CIP ) (筆者注3)に準拠する識別・確認の方針ならびに手続の要件を満たすものでなくてはならない旨定める。実際に、信用情報の利用者はすでに住所の不一致時にCIPルールを適用している。（筆者注4）
(3)消費者の住所の確認要求(20以下)

４．連邦取引委員会(FTC)が行った草案を金融機関に適用した場合の対応時間・費用面の試算(28以下)
　本規則草案は、金融機関において遵守プログラムの策定と年1回以上取締役会その他委員会等への遵守状況の報告を要求している。またFCRA 法は与信業者の定義を「均等信用供与法（the Equal Credit Opportunity Act：ECOA)）および同法に関する「レギュレーションB」(筆者注5)と同様に定めている。
　このため、ETCは監督下にある与信業者1,100万社以上および金融機関3,500社以上に対して114条適用時の遵守にかかる時間および費用の試算を行った(28以下)。本稿では試算内容の紹介は略すが、このような分析手法はわが国でも参考となろう。
************************************************************************************************:
（筆者注1）米国政府機関の資料は従来から大部であることとインデックスがないのが致命的である。
　金融機関の法務専門家用に作成されたとしても、いかにも読みにくいし、重要なポイントが見えない。筆者は米国政府機関の専門パートナーとして過去数回コメントしてきたが、この傾向は依然変わらない。そこで、本稿ではなるべく共通的に重要と思われる点を中心に取り上げ、また該当箇所の（　）内にFRB通達の頁数を記しておいたので活用されたい。

(注1-2) 2001年の通称愛国者法は、2001年10月26日にジョージ・W・ブッシュ大統領によって法律に署名された議会法です。10文字の略語(USA PATRIOT)が拡大したことにより、完全なタイトルは「2001年のテロリズム法を傍受し妨害するために必要な適切なツールを提供することによってアメリカを統一し強化する法律(UNITING AND STRENGTHENING AMERICA BY PROVIDING APPROPRIATE TOOLS REQUIRED TO INTERCEPT AND OBSTRUCT TERRORISM (USA PATRIOT ACT) ACT OF 200)」である。

　2011年5月26日、バラク・オバマ大統領は、2011年のPATRIOTサンセット延長法に署名し、米国PATRIOT法の3つの主要条項(ロービング盗聴、ビジネス記録の検索、テロ集団と関連のないテロ関連活動の疑いがある「孤独なオオカミ」の監視の実施)の4年間の延長に署名しました。

議会の承認の欠如に続いて、愛国者法の一部は2015年6月1日に失効しました。2015年6月2日に米国自由法が成立し、期

限が切れた。(愛国者法 - ウィキペディア (wikipedia.org)　から一部抜粋、引用。

　わが国で「愛国者法」という意味のない訳語が総じて使われているのはなぜか。

（筆者注2）「1977年地域社会再投資法」とは、銀行による低所得者やマイノリティに対する融資差別(レッドライニング)を禁止する法律（金融機関の安全かつ健全な銀行経営が前提）。各金融機関の遵守状況をほぼ2年おきに貸出、投資、サービス面から金融機関に規模別に評価・査定し（優(Outstanding)、良(Satisfactory)、改善の余地あり(Need to improve)、かなりの程度の不遵守(Substantial noncompliance）の4区分)、監督機関はその結果をインターネット等で公開している。OCCの直近の査定結果は一般人でも閲覧できるが、問題指摘のあった例はない。

(筆者注3) USA PATRIOT法第326条「CIPルール」とは、米国市民・それ以外にかかわらずマネーローンダリングおよびテロ資金の流れを阻止するため金融機関は新規口座開設時に遵守を義務付けられたものである。具体的には、納税者識別番号(Taxpayer identification number)または外国政府が発行する国籍や住民であることを証明する身分証明カード（例えば、メキシコの例ではMatricula Consular identity card）（筆者注4）に基づき口座開設後一定期間内に顧客の識別する場所において手続きがとられねばならない。同ルールの解釈用ガイダンスとしてFAQsが策定されており、連邦FINCEN(金融犯罪法執行ネットワーク)やFDICサイトで閲覧できる。

（筆者注4）メキシコ政府が市民に対して発行するラミネート耐水加工済み写真つきIDカード。　その内容は発行日付、有効期限(通常は5年)、氏名、出生年月日、住所、顔写真、署名等である。

(筆者注5) レギュレーションBの内容はhttp://www.bankersonline.com/regs/202/202.html参照。

〔参照URL〕
http://www.federalreserve.gov/boarddocs/press/bcreg/2006/20060718/attachment.pdf
***********************************************************************

Copyright (c)2006 芦田勝(Masaru Ashida ).　All rights reserved.You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.