米国のOCC等が連名で「なりすまし詐欺」阻止に関する「FACT法」の解釈ガイドライン等草案を公表

　

Last Updated: Febuary 21,2022

　2006年7月18日付で連邦財務省通貨監督庁(OCC)、連邦預金保険公社(FDIC)、連邦準備制度理事会(FRB)等は連名で「なりすまし詐欺(Identity Theft)」の阻止に関する「2003年信用取引の公正・適正化に関する法律(the Fair and Accurate Credit Transactions Act of 2003：Fact Act)」114条および315条の①金融機関向け適用・解釈ガイドライン、②金融機関のガイドライン適用時の監督機関の規則、③金融機関の取締役会等を含む組織的対応プログラムのあり方等に関する草案を公表した（パブリック・コメント期間は2006年9月18日まで）。
　草案全文で96頁にわたるため詳細は省略し、本草案策定の背景や目的、さらに全体の構成および留意すべき点のみ紹介する。（筆者注1）

　同草案において特に興味深い点は、「なりすまし詐欺」につながる「予兆」をいかに口座開設や住所変更等と関連付けるかといった点や金融機関等の「なりすまし」のリスク判断にかかる時間や費用面の試算を行う等実証的な観点に重点を置いていることである。

　なお、なりすまし詐欺問題は、日本の金融庁が2006年7月13日に公表した「情報セキュリティに関する検討会」の共通認識のうち、インターネット・バンキングで問題となりうる点であり、一方別の機会に紹介するが、英米日の金融機関ですでに導入している「トークン型ワンタイム・パスワード」システムの脆弱性を狙った「Phishing」がシティ・バンク・グループの米国内の情報サービス部門を担う「シティ・ビジネス(Citibusiness)」の顧客に対して発生している。今後も、金融界は限りないもぐらたたきを続けなければならないであろう。

１．FACT Act　の114条のガイドライン策定の背景(5以下)
　FACT Act（Pub.L.108-159(2003)）は「1970年公正信用報告法(Fair Credit Reporting Act)」になりすまし詐欺の捜査、阻止および緩和に関する新たな規定を加えた。同法114条は金融監督機関に対し次のような具体的対応を求めている。
(1)金融機関に口座を開設したり、与信業者から信用供与を受けている顧客に関するなりすまし詐欺についての監督機関連名の「ガイドライン」の策定。
(2)前記ガイドラインの策定にあたり、監督機関はなりすましのパターン、実行行動、や特定の行動形態を特定しなければならない。
(3)ガイドラインは必要に応じ見直し、また「2001年テロリズム法を傍受し妨害するために必要な適切なツールを提供することによってアメリカを統一し強化する法律(PATRIOT Act)」(注1-2) 326条に定める方針や手続きに合致しない内容は禁止される。
(4)ガイドラインの内容は、過去2年間における不活性口座（睡眠口座）において取引が発生した場合に、金融機関に対し顧客への適正な通知に関するポリシーや手続を遵守させ、また実際になりすましの発生を減じさせる効果のある考えで臨むよう配慮したものでなければならない。
(5)監督機関は、上記の金融機関の対応を徹底させるため連名の諸規則（regulations）を策定しなければならない。
(6)前記連名規則は、クレジットカードやデビットカードの発行者が住所変更手続（Change of Address）の要求を受けた場合に、その有効性の調査を行うことについての規定を含まねばならない。特に、カード発行者が既存口座につき短期間（少なくとも30日以内 ）に住所の追加や変更手続の要請を受けた場合、なりすまし詐欺を阻止するための合理的なポリシーや手続を準備しなければならない。すなわち、発行者は以下の場合以外はカードの発行が禁じられる。①カード保有者から旧住所における手続き要求がありかつ誤った住所における緊急信用報告の提供について通知すること、②変更要求するカード保有者に対し、かつて発行者と保有者間で合意した通信手段によって通知すること、③発行者が共同規則の内容に従い、作成した合理的なポリシーや手続に従って住所変更の有効性を査定することである。
　これを受け、具体的に金融監督機関は、①金融機関の対応要件を定める「 Red Flag Regulations」の策定、②各金融機関におけるなりすまし詐欺阻止プログラム策定、③なりすましのパターンや実行行動からみたリスクの程度についてのデータの提供（「Red Flag Regulations 」または「附則(Appendix)J」）に即した責任が求められる。

２．Red Flag Regulationsの草案(6以下)
(1)114条に基づき金融監督機関は、過去に銀行監督機関により策定された「監督機関共通情報セキュリティ規格に関するガイドライン(Interagency Guidelines Establishing Information Security Standards)」等の取組みに準じた弾力的なリスク判断に基づく草案を策定しなければならない。同規則に基づき、個別金融機関が作成する遵守プログラムには次の内容が含まれなければならない。
　①顧客のなりすまし被害の阻止や金融機関（与信業者を含む）の安全性、健全性を確保するための「Red Flag」手続の確認。
　②新規口座開設時の本人確認手続の厳格性の確認。
　③「Red Flag」がなりすまし詐欺リスクの捜査時の証拠となりうるか否かの調査。
　④予想されるリスクに比例した「なりすましリスク」の緩和策。
　⑤対応プログラムに関する役職員の研修。
　⑥海外のサービス提供部門との調整。

(2)Red Flag Regulationsの逐条解説（詳細内容は略す）(7以下)
　①90条：なりすまし詐欺の捜査、阻止および軽減に関する義務（口座(account)　　(8)、金融機関の取締役会(8以下)、顧客(9)、なりすまし(9)、Red Flag(9以下)、サービス提供業者(10)、なりすまし阻止プログラム(10以下)および同プロ　　グラムの開発・適用(11以下) 等の用語の定義にかかる条文）
　②附則J：114条を受けてRed Flagの対象となるリスク度の高い指標を列挙している。

(3)カード発行業者の住所変更手続き時の確認義務（規則草案91条）(17以下)
　カード保有者などの定義、一般的要求内容、保有者への通知様式を定める。

３．FACT Act 315条の内容(18以下)
(1)同条は、全米レベルの個人信用情報機関（FCR Act 603条(p)に列挙）に対し、「1977年地域社会再投資法（Community Reinvestment Act of 1977）（筆者注2）の消費者ファイルの住所と大幅な不一致（Address Discrepancies）がある場合、その旨を通知しなくてはならないと定める。また、同条は監督機関がユーザから住所不一致の通知を受け取った際、消費者信用情報のユーザーが採用すべき合理的な方針や手続に関する共通規則を定めることを求めている。
(2)規則案82条で具体的な範囲、定義、「なりすまし」がありうると信じるに足る要件の明確化を規定する(19以下)。同条では、いわゆる「愛国者法」326条が定める新規顧客確認プログラム(Customer Identification Program：CIP ) (筆者注3)に準拠する識別・確認の方針ならびに手続の要件を満たすものでなくてはならない旨定める。実際に、信用情報の利用者はすでに住所の不一致時にCIPルールを適用している。（筆者注4）
(3)消費者の住所の確認要求(20以下)

４．連邦取引委員会(FTC)が行った草案を金融機関に適用した場合の対応時間・費用面の試算(28以下)
　本規則草案は、金融機関において遵守プログラムの策定と年1回以上取締役会その他委員会等への遵守状況の報告を要求している。またFCRA 法は与信業者の定義を「均等信用供与法（the Equal Credit Opportunity Act：ECOA)）および同法に関する「レギュレーションB」(筆者注5)と同様に定めている。
　このため、ETCは監督下にある与信業者1,100万社以上および金融機関3,500社以上に対して114条適用時の遵守にかかる時間および費用の試算を行った(28以下)。本稿では試算内容の紹介は略すが、このような分析手法はわが国でも参考となろう。
************************************************************************************************:
（筆者注1）米国政府機関の資料は従来から大部であることとインデックスがないのが致命的である。
　金融機関の法務専門家用に作成されたとしても、いかにも読みにくいし、重要なポイントが見えない。筆者は米国政府機関の専門パートナーとして過去数回コメントしてきたが、この傾向は依然変わらない。そこで、本稿ではなるべく共通的に重要と思われる点を中心に取り上げ、また該当箇所の（　）内にFRB通達の頁数を記しておいたので活用されたい。

(注1-2) 2001年の通称愛国者法は、2001年10月26日にジョージ・W・ブッシュ大統領によって法律に署名された議会法です。10文字の略語(USA PATRIOT)が拡大したことにより、完全なタイトルは「2001年のテロリズム法を傍受し妨害するために必要な適切なツールを提供することによってアメリカを統一し強化する法律(UNITING AND STRENGTHENING AMERICA BY PROVIDING APPROPRIATE TOOLS REQUIRED TO INTERCEPT AND OBSTRUCT TERRORISM (USA PATRIOT ACT) ACT OF 200)」である。

　2011年5月26日、バラク・オバマ大統領は、2011年のPATRIOTサンセット延長法に署名し、米国PATRIOT法の3つの主要条項(ロービング盗聴、ビジネス記録の検索、テロ集団と関連のないテロ関連活動の疑いがある「孤独なオオカミ」の監視の実施)の4年間の延長に署名しました。

議会の承認の欠如に続いて、愛国者法の一部は2015年6月1日に失効しました。2015年6月2日に米国自由法が成立し、期

限が切れた。(愛国者法 - ウィキペディア (wikipedia.org)　から一部抜粋、引用。

　わが国で「愛国者法」という意味のない訳語が総じて使われているのはなぜか。

（筆者注2）「1977年地域社会再投資法」とは、銀行による低所得者やマイノリティに対する融資差別(レッドライニング)を禁止する法律（金融機関の安全かつ健全な銀行経営が前提）。各金融機関の遵守状況をほぼ2年おきに貸出、投資、サービス面から金融機関に規模別に評価・査定し（優(Outstanding)、良(Satisfactory)、改善の余地あり(Need to improve)、かなりの程度の不遵守(Substantial noncompliance）の4区分)、監督機関はその結果をインターネット等で公開している。OCCの直近の査定結果は一般人でも閲覧できるが、問題指摘のあった例はない。

(筆者注3) USA PATRIOT法第326条「CIPルール」とは、米国市民・それ以外にかかわらずマネーローンダリングおよびテロ資金の流れを阻止するため金融機関は新規口座開設時に遵守を義務付けられたものである。具体的には、納税者識別番号(Taxpayer identification number)または外国政府が発行する国籍や住民であることを証明する身分証明カード（例えば、メキシコの例ではMatricula Consular identity card）（筆者注4）に基づき口座開設後一定期間内に顧客の識別する場所において手続きがとられねばならない。同ルールの解釈用ガイダンスとしてFAQsが策定されており、連邦FINCEN(金融犯罪法執行ネットワーク)やFDICサイトで閲覧できる。

（筆者注4）メキシコ政府が市民に対して発行するラミネート耐水加工済み写真つきIDカード。　その内容は発行日付、有効期限(通常は5年)、氏名、出生年月日、住所、顔写真、署名等である。

(筆者注5) レギュレーションBの内容はhttp://www.bankersonline.com/regs/202/202.html参照。

〔参照URL〕
http://www.federalreserve.gov/boarddocs/press/bcreg/2006/20060718/attachment.pdf
***********************************************************************

Copyright (c)2006 芦田勝(Masaru Ashida ).　All rights reserved.You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.