Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

連邦議会独立補佐機関GAO(連邦議会行政監査局)による行政Watchdogの役割と機能

2008-11-29 07:41:26 | 電子政府(eGovernment)

 

Last Updated: Febuary 25,2022

 本ブログでも過去に取り上げている米国連邦議会の独立補佐機関であるGAOについて、わが国ではWikipediaや一般medeia を含め正確に解説しているブログ等がない。(筆者注1)

 わが国の立法府のトップの交代劇の良し悪しは別として、議会(=国民)による行政プログラム・チェック機能は一体どうなっているのであろうか。果たして昨今の中央官庁や外郭団体の無責任ぶりも見るにつけ、米国と同様の「議会の委員会や独立機関による行政watchdog」の導入等による抜本的な改革なくして、わが国の憲法の理念に基づく本格的な議会と行政のチェック・アンド・バランスによる改革は実現されないであろう。単なる総選挙で主権者たる国民の真意を問うといった方式の改革論議の有効性自体も限界が見えている。

 この点に関し、米国では議員の個人的政策スタッフの身分制度改革等についてわが国とかなり異なる点が多いが、特に議員の活動を支える委員会スタッフやGAOやCBO(Congressional Budget Office:連邦議会予算局)やCRS(Congressional Research Service:連邦議会調査局)という議会の独立補佐機関の機能強化が重要であることはいうまでもなかろう。

 ところで“GAO”の訳語は一体何とすればよいのであろうか(筆者注2)。訳語の適否だけでなく、GAO本来の機能、権限や活動の実態についてより正確に紹介するのが今回のブログの目的である。
 なお、連邦政府に対する議会の委員会や委員会スタッフのかかえる課題については、筆者が個人的に親しい民主党のパトリック・リーヒー(Patrick Leahy)上院議員(上院司法委員会委員長)等に直接意見を聞く機会を持ちたいと考えている。

1.連邦会計検査院から連邦議会行政監査局への名称変更の背景と意義
 GAOはもともと1921年予算会計法(Budget and Accounting act of 1921)に基づき、連邦議会の要請を受けて行政部門から独立し連邦各省庁の施策や予算の執行状況を監査・調査する連邦議会の下部機関として設置された。各省庁の内部監査については1978年監察総監法「Inspector General Act of 1978」に基づき個々に設置されている監査総監(Inspector General)がおり、GAOの定める監査基準(Yellow book)に基づき年2回各省庁の長に報告することになっている。
 2004年7月に連邦議会は、GAOの人材活用の柔軟性を確保するため「2004年GAO人的資本改革法(GAO Human Capital Reform Act of 2004)」を制定し、その一環として名称変更を行っている。

2.GAOの人事・任命と基本的任務
 1921年法に基づき連邦議会行政監査局長(Controller General)や副局長は大統領が上院の助言と承認に基づき任命し、任期は15年である。2008年現在の局長は1998年11月に就任した7代目であるDavid Waker氏(2022年の現局長は2018年3月13日就任したGene L.Doraro氏である)。

Gene L.Doraro氏

 Waker局長は、議会との関係強化すなわち、①連邦政府の行政プログラムおよびその運用についての国民への説明責任(accountability)、②完全性(integrity)、③高信頼性(reliability)の3本の中核価値に基づき各種の改革を進めてきている。
 具体的内容としては、会計・財務監査(financial audits)、行政プログラムの査定(program review)・報告・証言(testimonies)、勧告(recommendations)、調査(investigations)、法的な決定・裁定(legal decisions)、行政政策の分析(Policy analyses)である。
 連邦議会の非党派的、非政治的補佐機関はGAOのほかに議会調査局(CRS)、議会予算局(CBO)がある。GAOの予算規模が約4.8億ドル、要員数が約3,300人であるのに対し、CRSは約8,100万ドル・694人、CBOは約3,600万ドル・約230人であり、規模の差は大きい。その共通性はスタッフにおいて高度に専門性が高く(筆者注3)、かつ議会スタッフとの間も自立性が高いといわれている。

3.GAOの2000年予算度組織改組
 Waker局長は、就任後2000年予算年度に従来の5部編成から3部門(総監査部門(General Counsel)、主要運用部門(Chief Operating)、主要管理部門(Chief Administrative)に改組した。特に主要運用部門は次の13チーム編成に改組した。
①教育・職場・所得保障、
②金融市場および地域向け投資
③健康管理
④国土安全および司法
⑤自然資源および環境
⑥物的インフラ
⑦買収および資金調達管理(Acquisition & sourcing Management)
⑧防衛能力および管理
⑨国際問題および国際取引
⑩応用調査およびその方法(Applied Research & Methods)
⑪財務管理および確実性、電子的監査証拠(Forebsic Audits)/特別調査
⑫情報技術(Information Technology)
⑬戦略的問題(Strategic Issues)

 以上見ても分かるとおり、その守備範囲は極めて広い。さらに最近時にGAOが行った連邦議会向け報告や証言の主要テーマをみてもさらにその範囲が広がる。
①基地の再編および閉鎖
②大規模災害への準備、対応および復興
③国土安全保障
④移民
⑤インフルエンザ
⑥イラク:戦争と復興
⑦軍人および退役軍人の健康管理と傷病手当
⑧テロリズム
⑨輸送問題と安全性
⑩連邦レベルの選挙

4.議会補佐機関としての課題
 筆者は米国政治の専門家ではないが、ここで述べたテーマは筆者が日頃GAOレポート等において読む個別テーマと重なる。確かにGAOレポートは個別行政機関からの直接聴聞や調査に基づくものが主たる内容を構成しており、民間シンクタンクのものと取組みのスタンスが異なる点も多い。
 最近時に読んだもので、重要な指摘と思えたものを最後にあげておく。
2007年8月GAO-07-1053 連邦議会向け報告「証券取引委員会(SEC)―よりリスクベースかつ透明性を高めたOCIE(Office of Compliance Inspections and Examinations)部検査ホットラインのありかたについて組織改編に向けた課題」
 OCIEはSECの法令遵守検査部門である。OCIEはワシントンD.C.ならびに全米11か所の地方事務所を有しており、自主規制機関、ブローカー兼ディーラー、証券代行、投資会社および投資顧問業等の証券登録者(registrant)の検査を行っている。GAOはOCIEの検査結果および証券登録者の意見等を集約した結果、受検査者向け苦情ホットラインについて、その独立性を確保するため現行のOCIEの一部署からオンブズマン機能局(筆者注4)またはOCIE外の外部機関に移転する等の勧告を行っている。これを受けてSECは総論賛成で本勧告の目的に沿った検討を行う旨回答している。
********************************************************************************
(筆者注1)自動翻訳ソフトであろうが次のような笑ってしまう訳例もある。「GAO米国連邦会計検査員(General Accounting Office)は、連邦政府のプログラムに関する会計的請求の処理、議会の立方・監督機能の補助、叉、生産性向上に関する勧告等の機能を有する機関です」。
 またNTTデータが使用している「政府説明責任局」の訳語も「アルク」の訳語(その源は米国日本大使館サイトの訳語であろう)を無批判に引用しており、その機能や権限についての正確な訳語とはいえまい。NTTデータが「電子政府政策におけるGAOの役割」で説明している内容を理解したうえであれば正確で分かりやすいといえようが、2004年6月以前の会計検査院としての機能(financial audits)をも引き継いでおり、より正確な訳語としては「連邦政府施策の結果・説明責任を主たる任務とする議会行政監査局」といえよう。
また、「マルチメデイア・インターネット辞典」ではGAOが発表する主要な議会への報告について、2002年7月から2007年8月の間の情報を細かに紹介しているが、GAOについては「米国政府監査室(General Accounting Office)」という訳語で「政府関連調査レポートなどをフォローして、報告する政府機関の名称。毎日、膨大な調査報告書をPDFで公開している」と解説するのみである。同じGAOでも本文で述べたとおり原語は2004年7月に“General Accountability Office”に変わっている点も説明していない。

(筆者注2)GAOの訳語自体も「連邦会計検査院」とするものが圧倒的に多い。GAOについて、国立国会図書館レファレンス平成17年6月号で渡瀬義男氏が「GAO(会計検査院)の80年」と題して変革の歩みを詳細に解説されている。 また、日本銀行の「金融研究」2006年8月号「米国の連邦政府における内部統制について」の中でも森毅氏がGAOを「会計検査院」と訳されている。わが国の「会計検査院法(昭和22年法律第73号)」に基づく「会計検査院」の委員の身分や独立性および国会との関係との比較からみても、「会計検査院」という訳語は疑問に思う。また、GAOの2004年7月名称変更以後における活動内容および他の補佐機関との整合性から見ても、わが国で用いる訳語としては、筆者が推す「連邦議会行政監査局」という訳語の方が「政府説明責任局」よりは分かりやすいと思うがいかがであろうか。“Accountablity”は確かに説明責任、財政責任であるがGAOの任務は国民(=連邦議会)に対する説明責任(財政民主主義)が中心的任務なのである。
 なお、2008年11月14日付の朝日新聞ワシントン支局の記事「危険病原体、警備に不備」と題する囲み記事で出ている。この調査報告書は2008年9月に公表されたものであるが、原文は
“BIOSAFETY LABORATORIES :Perimeter Security Assessment of the Nation’s Five BSL-4 Laboratories ”である。筆者が注目したのは記者がGAOを「米議会の行政監査院」と訳している点である。米国ではごく常識的な情報に基づいて書いたのであろう。既存の不正確な訳語に頼るわが国のメディアの悪弊はやめて欲しい。

(筆者注3)GAOだけでなくCRSやCBOの採用サイトは給与、福利厚生や教育面など処遇について極めて詳細である。CRSの例でみても採用専用HP がある。

(筆者注4)米国連邦機関内のオンブズマン機能の例としては、筆者が知る限り連邦預金保険公社(FDIC)のオンブズマンがある。機関内のオンブズマンの独立性について関心があり、調べようとしていたところである。

〔参照URL〕
http://www.gao.gov/

***********************************************************************************
Copyright © 2006-2010 芦田勝(Masaru Ashida).All Rights Reserved.No reduction or republication without permission.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

米国の金融機関等の「なりすまし詐欺犯罪」対応規制強化の最新動向

2008-11-01 20:54:20 | Identity Theft問題

The latest regulations for “Identity Theft Prevention Program” to the financial institutions and creditors in the United States(1/3) 

 〔Summary in English〕 “The Fair and Accurate Credit Transactions Act of 2003(Fact Act)” of the United States taken up by this blog in July, 2006 . The Federal Deposit Insurance Corporation (FDIC) and The Board of Governors of the Federal Reserve System (FRB) have issued“The Interagency Examination Procedures for the Identity Theft Red Flags and other Regulations under the Fair Credit Reporting Act (Fcr Act)“ on October 10, 2008, as a closing phase of the approach on "Red Flags" procedure and “address discrepancy rule”required of Section 114 and 316 of the Fact Act . The "Identity Theft" crime that is extending with evolution of the information technology society and international population movement in the United States and EU member states. Not only the finance institutions but also the consumer reporting agencies has been extremely perplexed though it is that a financial regulator and FTC (Federal Trade Commission) has settled on extremely the important rule and guideline . It should be noted that the package service that builds in concrete correspondence for information technology skill and financial former examiner's knowhow for the writing of the policy and the program that the business has been most perplexed, is established as a business as reported by the Reuters news April 21 and the Forbes on October 8, and financial institution users are increasing in the United States. In this blog, I will illustrate the outline of the examination rule of a financial regulator on the current "Red flag" procedure and the content of the inspection made public in this time, and briefly introduce the content of the example of the match of the security development business and the law information service business that correspond of the above embarrassed issues. In that sense, not only the credit card issuers but also the financial institutions and the consumer own improving consciousness of crisis to risk management becomes a lesson in "Swindle ..the shake.. ..putting.." of our country where damage doesn't decrease at all.  

  2006年7月の本ブログで詳しく取り上げた米国の「2003年信用取引の公正・適正化に関する法律(the Fair and Accurate Credit Transactions Act of 2003:Fact Act)」」114条、315条に基づく「レッド・フラッグ」手順や大幅な住所相違通知等への取組みプログラムの最終段階として、2008年10月10日に連邦準備制度理事会(FRB)等は金融監督機関共通の検査手続(Interagency Examination Procedures)を公表した(連邦預金保険公社(FDIC)は2008年10月16日に公表している)。

 「なりすまし詐欺」は米国やEU等ではIT社会の進化や国際的人口移動とともに広がる最大の取組課題となっていることは間違いない。米国連邦の金融監督機関やFTC(連邦取引委員会)が極めて重要な政策課題と位置づけて策定した行政規則やガイドラインであるが、強制遵守期限である2008年11月1日を間近にひかえ、金融界だけでなく信用報告機関の受け止め方は極めて困惑しているといえる。  

   しかし、米国らしさが発揮されるのは4月21日のロイター・ニュースや10月30日のフォーブス紙が報じているように、IT技術や前金融検査官のノウハウや企業が一番困惑しているポリシーやプログラムの策定という法令遵守義務のための具体的対応を組み込んだパッケージ・システム・サポート・サービスがITビジネスとして確立され、その利用金融機関が増加してきている点である。(筆者注1)  

  今回のブログでは、これまでの「レッド・フラッグ」手続きに関する金融監督機関の検討の経緯および今回公表された検査内容の概要について紹介し、併せてその対応に関し、前述したセキュリティ開発企業や法令情報サービス企業の取組例の内容について、簡単に解説する。  

  なお、わが国においても、マネー・ロンダリング対策として金融機関等における口座開設時の本人確認義務の厳格化や、2008年3月1日から「犯罪による収益の移転防止に関する法律」により、本人確認の義務の範囲や対象となる事業者の範囲が金融機関から拡大される部分などについて施行された。(筆者注2)   詐欺の手口は日々巧妙化する。わが国において「フィッシングに基づくなりすまし」「マネロンのチェックの回避のための口座売買」等が手口を変えながらますます増殖することは間違いなく、金融機関等のおける「疑わしい取引」報告義務の拡大や「振り込め詐欺」対策としての、不自然な口座の取引のモニタリング・システムといったシステム面の対応の要請が強まるのは時間の問題であろう。

  なお、2009年中に施行される割賦販売法の一部改正に基づくクレジット業者規制の強化(消費者信用情報機関利用の義務付け)は、わが国でも欧米型のなりすまし詐欺のリスクが広がることを予測させる。  

  その意味で、金融機関やクレジット業者のみでなく消費者自らがリスク管理に対する危機意識を高めることが、被害が一向に減らないわが国の「振り込め詐欺」での教訓となろう。  

  1.米国金融監督機関等における「なりすまし詐欺」の早期予知・警戒情報整備に 対する規則制定の経緯

 (1)今までの経緯に即して最近時の主な対応内容を中心に述べると、次のとおりとなる。(筆者注3)

 A. 2006年7月18日に、FDIC等連邦金融監督機関と連邦取引委員会(FTC)は連名でFact Actに基づく①金融機関向け適用・解釈ガイドライン、②金融機関のガイドライン適用時の監督機関の規則、③金融機関の取締役会等を含む組織的対応プログラムのあり方等に関する草案を公表した(パブリック・コメント期間は2006年9月18日まで)。(筆者注4)

B.2007年4月11日に、FDICは「なりすまし詐欺」に対する監督ポリシーを公表した。

C.2007年11月9日に、FDIC等5監督機関とFTCは連名で「レッド・フラッグ」と大幅な住所相違(address discrepancies)等の取扱いに関する最終共通行政規則およびガイドラインを公表した。同規則は、金融機関やクレジット業者(creditors)ならびにクレジットやデビットカード発行業者に対し、①消費者信用情報の利用ユーザーに対する住所の大幅な相違についての通知の中で、合理的な範囲での本人確認義務(address discrepancy rule)(12 CFR 222.82)、②金融機関に対するなりすまし詐欺の調査、阻止および削減に関する協力義務(identity theft red flags rule)(12 CFR 222.90)、③クレジット・デビットカード発行業者の住所変更の有効性を調査する義務(card issuer rule)(12 CFR 222.91)の3つをコアとする要求を行っている。  ガイドライン(Appendix J)の追補A (Federal Register / Vol. 72, No. 217の63755頁以下)において、金融機関やクレジット業者が阻止プログラムに協同して取組むため、26項目の「レッド・フラッグ」のリスト(筆者注5)を参考掲示した。

 D.2008年1月1日に諸行政規則とガイドラインが施行され、2008年11月1日に金融機関の遵守が義務化(mandatory compliance)された。なお、FTCは2007年11月の規則やガイドラインに基づく書面プログラムの作成義務について、監督下にあるノンバンクのクレジット業者や州免許の信用組合のなりすまし詐欺阻止のプログラム策定の遅れを認め、10月22日付けで「レッド・フラグ規則」の遵守期限を2009年5月1日に6か月延期するとの決定を行っている。(筆者注6)(筆者注7)  

  これにより、FDIC等やFTCは「なりすまし詐欺」に対するリスク管理という観点から金融機関に対する検査内容を強化することとなった。

(2)検査時における3項目についてのポイント
A.安全・健全性検査官(safety-and –soundness examiner)はレッド・フラッグ手続の遵守および消費者に対する法令遵守検査(compliance examiner)中で大幅な住所相違やクレジットカード等における住所変更について適切な確認が行なわれているかにつき、定期検査時において重点的に検査を行うこととなった。
B.「大幅な住所相違の取使ルール」は、金融機関を含む消費者信用情報のユーザーに対し、信用報告機関(consumer reporting agency)に対し(筆者注8)から大幅な住所相違の通知を受けたときに報告を求めた消費者に関する消費者報告確認を義務付けるものである。これに加えて、同ユーザーは自らが(a)消費者と継続的な関係を確立している場合、かつ(2)定期的に信用報告機関に対し大幅な住所変更に関する通知を提供している場合、ユーザーが合理的に確認できた消費者の住所を信用報告機関に提供するためのポリシーと手続の策定が義務付けられた。
C.「レッド・フラッグ」ルールは、金融機関に対し、対象となる口座について新規則によりカバーされるかたちで提供および維持されているかどうかについて定期的に決定することを求める。対象口座は一般的に金融機関がなりすまし詐欺のリスクを予測しうる消費者の口座またはその他の口座である。新規または既存の対象口座に関し、金融機関はなりすまし詐欺の調査、阻止および削減という観点から設計された文書によるなりすまし詐欺阻止プログラムの作成と適用を行わなければならない。このプログラムは各金融機関の業務の規模や複雑さに合致したものでなければならない。金融機関は「銀行の機密等取引報告義務法(Bank Secrecy Act:BSA)」(筆者注9)や「反マネー・ローンダリングのための遵守プログラム(Anti-money Laundering compliance  programs )等の既存の遵守プログラムに加え、なりすまし詐欺プログラムの考案が求められることとなった。
D.クレジットカードやデビットカード発行業者は、カードの追加発行や交換の要求に際し、住所変更手続の有効性調査に関するポリシーや手続の策定を行わねばならない。そのような状況下で、カード発行者はそれらポリシーや手続に従った住所変更の有効性の調査が完了するまで、カードの追加発行や交換を行ってはならない。

2.米国の金融機関等の対応の遅れ
  2008年6月20日にBank Systems &Technologyの報告におけるLexisNexisの詐欺・法遵守担当部長デブ・ガイスター(Deb Geister)氏のレポート等において多くの問題点が指摘されている
  筆者も従来から感じている疑問であるが、米国の金融関係者も指摘しているとおりFRB等の規則は金融機関がどのように対応すべきかが非常に曖昧である。すなわち、金融機関が何をなすべきかについては述べているが、どのように実践すべきかについて述べていないのである。遵守期限のみ決めてあとは自分で考えろといういかにも権威主義的である。そこに目をつけてビジネスが入り込む余地を作るのがいかにも米国流であるが、批判が出るのは当然であろう。
  2008年の春にLexisNexisが行った約1,100人の銀行員を対象としたアンケート調査では、84%はレッド・フラッグ・プロジェクトの取組みを開始していないかまたは、始めたばかりという状況であった。その原因の1つは、FFIECが策定した多要素認証(Multi- factor Authentication)の対応ガイダンスと比較して周知度が極めて低いという点である。
  なお、11月1日の法遵守期限の意味について補足しておく。当該企業や組織に対し次のペナルティが科されるのである。(筆者注10)
①FTCによる連邦裁判所への法執行申立て:規則にもとづき個別違反行為に対し、最高2,500ドル(約243,000円)の罰金が科される。
②州の法執行機関:州監督機関は住民に代って訴えを起こすことができる。その場合、各違反行為ごとに最高1,000ドル(約97,000円)の損失補償請求が行われ、かつ原告勝訴の場合は弁護士費用も負担することとなる。
③消費者は、なりすまし詐欺の被害に対し法遵守違反に基づく損害実額の補償を求める民事裁判を起こせる。この場合、多くはクラス・アクションとなり巨額な損害賠償を求められるとともに、原告勝訴の場合は合理的な範囲の弁護士費用も負担することとなる。

3.米国の金融機関にみるシステム・サポートの取組みや信用情報機関の支援システムの導入状況
Fact Actのレッド・フラッグ・ルールは、マニュアルでもオートマティックでもかまわない。以下で具体例を紹介するが、ガイスター氏等は金融機関の既存のリスク・アセスメントに関する情報システム(例えばマネー・ローンダリング・チェックのための口座取引のモニタリング・システム)の再利用が考えられると述べており、これらの取組みを理解するうえで参考となろう。

(1)Secure Identity Systems社(SIS)の例
  フォーブスは10月8日のニュースでケンタッキー州ワシントン郡に本部を置く地方銀行“Springfield State Bank”(FDIC加盟銀行)がSIS社の支援のもとで当初のリスク・アセスメント・プログラムに係るポリシーやレッド・フラッグ手続のマニュアルをカスタマイズし、併せて全取引口座について新規口座の認証システムや住所変更時の確認システムを提供したと報じている(10月30日のフォーブスは、さらにSISの利用銀行等が増加(Troy Bank&Trust(本部はアラバマ州)、First Tier Bank of Kimball(本部はネブラスカ州)した旨報じている。
 なお、ロイター通信が4月21日に報じている4金融機関(Affinity Bank,Campo Federal Credit Union,First National Bank of East Park Jeffco Credit Union)に対するSISのシステム・教育支援もあり、今後他金融機関における対応でも話題となろう。(筆者注11)
(Fact Act 114条への対応)
SISは同銀行のBank Secrecy Act対応システムの内容を調査し、標準的な2様式以上の認証方法を採用できるようにした。つまり同行の顧客が新規に口座開設する際、新規口座所有者に関する最も適切かつ最新の情報を連邦社会保障庁(the Social Security Administration)、個人信用情報機関(credit bureau)および郡政府がそれぞれ独自に管理している資産税徴収システムのデータベース(local property database)等一連のデータベースに簡易にアクセスできるよう解決策を開発した。
  同様に、顧客が既存口座の住所変更手続を求めたとき、SISの住所変更確認システムにより、7億件以上の記録データベースを数秒で検索し、関連するリスクの程度を特定するのである。同システムの利用により、銀行は詐欺師が違法に住所を変更したり、顧客口座の乗っ取りといった潜在的リスクの約25%を排除できることとした。
 SISのHP では、「レッド・フラッグ」規則対応(Red Flag Ruling Solutions)について詳細な説明がなされているが、金融機関だけでなく家族、企業を詐欺被害から守るための解決策が紹介されている。企業の独自のノウハウの関連からあまり詳しい内容ではないが、参考までに項目と要旨のみ記しておく。
①当初のリスク・アセスメント(BSAの要求内容、情報セキュリティ、なりすまし詐欺対応プログラムを含む当該金融機関の提供商品やサービスの一覧化、適所なリスク・コントロールが行われていない商品についてのギャップ分析 (筆者注12)を用いる。
②対応組織が策定すべき「ポリシーと手続マニュアル」に関するガイダンス
 OCCやFDICの前検査官の協力により作成したものである。主な内容は(a)レッド・フラッグ対応に関する確認・調査、(b)なりすまし詐欺の阻止・削減、(c)レッド・フラッグの警告・注意通知、(d)不自然・疑わしい行動とは、(e)住所変更後の重要な変更事項、(f)改ざん・偽造・疑わしい文書とは、(g)レッド・フラッグ・プログラムの更新
③新規口座の認証(New Account Authentication:All consumer accounts)
 レッド・フラッグの新規則は金融機関等に対し、口座の新規開設時に必要とされる伝統的な2様式 (筆者注13)のID確認事務の他に第三者機関のデータベースとの照合という更なる詳細な確認義務を追加した。SISは、リアルタイムで「全米三大信用情報機関(Equifax、Trans Union、 Experian)」「ビジネス向け消費者データベース」(筆者注14)「電話会社」「連邦社会保障庁」「消費者報告機関」「法執行機関」「郡資産管理局」「米国郵便公社」「財務省外国資産管理局(OFAC)」「州陸運局(DMV)」が管理する約7億の記録(毎月400記録が更新される)にアクセスできる。
SISの照合システムは2部に分れており、ユーザー機関は①「基本照会申込入力項目」として、SSN、フルネーム、現住所、生年月日が、また②「追加照会項目」として「電話番号」「運転免許証番号」「前住所」について照会が可能である。
④住所変更時の照合方法
  SISの住所変更確認システムは、最高レベルの住所に合致する個人を特定してフラッグを立て、また使い勝手のよい認証の実践を通じてエラー率を20%以上減らした。また、従来に比べ確認手順の迅速化(レスポンスタイムは3秒以下)を図った。

⑤なりすまし詐欺の阻止
SISレポート内容は、当該ユーザー企業自身が保有する顧客情報の増加をもたらすのみでなく、金銭面以外の顧客のなりすまし詐欺被害を阻止・保護するといった面で企業の信用度全体を向上させる機能を持つ。すなわち、SISは次の4要素を用意している。
(a)信用情報以外の個人のID全体のモニタリング
  最新のFTCの報告でも、なりすまし詐欺の70%は非信用情報(non-credit related)に関するものであるとしている。このことは信用情報機関の保有する信用情報のみに頼らない、効果的な「なりすまし詐欺対策プログラム」が必要であることを示している。SISとしてはモニタリング対象とすべき取引項目・データは次であると指摘する。(%の数字はモニタリング対象を100%とした割合)
・信用情報関連:20%
・社会保障番号(SSN):15%
・政府の文書:10%
・銀行口座:16%
・電子的資金移動:8%
・ワイヤレス口座(モバイル口座等):8%
・電話:4%
・詐欺的住所変更:6%
・公益事業(utility account):6%
・犯罪関係:3%
・投資:4%
(b)当初の調査
  SISは新規利用企業等に対し、1,000のデータベースの矛盾点等を調査し、IDに関する危険な事態がすでに生じているか否かについて決定する。
(c)レッド・フラッグを立てる
次に矛盾するデータについてフラッグを立てることにより将来の潜在的詐欺行為を阻止することである。矛盾事項の選別は金銭面の損失の阻止のための更なる確認を必要とさせる。換言すると、顧客のクレジットカードの申込において既存の届出住所と異なる住所の記載がある場合は顧客へ警告が必要となる。
(d)継続的モニタリング
(e)SISは専門的教育を受けた紛争解決専門の企業内弁護士(professionally trained Resolution Advocates)を擁している。彼らは、詐欺被害の程度および問題解決のために行うべき事項の決定のため詐欺被害者に直接面談する。彼らは個別解決案を予め用意し、徹夜で被害者にメールを送信するとともに一般の弁護士では限られる被害者の立場に立った直接的な支援(信用回復の過程を通じた被害者が持つであろう懸念材料に対する答等を用意)を行う。
(f)ユーザーたる金融機関等の顧客や役職員への教育的研修会を実施し、なりすまし詐欺の阻止に向けて相互のコミニュケーションの円滑化を支援する。
(g)AIGグループが開発した個人負担ゼロで25,000ドルを上限とする支出保障プラン“zero-deductible $25,000 expense reimbursement insurance”(筆者注15)を提供する。信用回復にかかる裁判費用等の個人的負担軽減策と言えるもので、1週あたり1,000ドル(最大4週間)が支給される。

(2)Equifaxの例
  米国の3大信用情報機関の1つである“Equifx”もAIGグループと類似の保障サービス(Equifax Credit WatchTM Gold )を提供している。個人負担ゼロで最大20,000ドル(制約あり)、その他の点もAIGの保障内容と類似している(利用金額は月額9.95ドル)。

(3)LexisNexisの例
2005年3月の30万人以上の個人情報の流失事件を起こしているリスク・情報分析の専門会社である同社であるが、一方でSISと似たレッド・フラッグ規則に対応するためのモニタリング・システムを提供している。同社のHPを見て気が付くようにとにかく米国の市民は“good man”であることが金融取引だけでなく就職、結婚等日常生活すべてにかかわってくるのである。そのような背景からも、“InstantIDⓇ”、“FraudDefenderⓇ”といったツールを用いながら、なりすまし詐欺から自分自身を守らなければならない米国社会の現状が浮かび上がってくる。

 ************************************************************************************

(筆者注1) 米国の代表的銀行協会である“American Bankers Association(ABA)”も、レッド・フラッグ・ルールの対応・導入に関するガイダンス CD-ROMをオンライン販売している。CD-ROM中の説明者はABAの幹部のほかLexisNexisの詐欺問題担当部長Deb Geister氏、FDICの上級アナリスト、銀行の副頭取であり、価格は会員金融機関が255ドル、非会員は385ドルである。

(筆者注2) 2008年3月1日施行の「犯罪収益移転防止法(Act on Prevention Transfer of Criminal Process of 2007)の制定により、届出対象事業者が、従来の金融機関等からファイナンス・リース業者、クレジット・カード業者、宅地建物取引業者、貴金属等取引業者、郵便物受取・電話受付サービス業者等に拡大されたほか、金融庁(特定金融情報室)に設置されていたFIU機能が国家公安委員会・警察庁の「刑事局組織犯罪対策部犯罪収益移転防止管理官(JAFIC)」に移管した。JAFICは、全国各地の金融機関等から届け出られたマネー・ローンダリングの疑いがある取引情報を様々な角度から分析し、捜査機関に捜査の端緒となるべき情報を提供している。JAFICは、所管行政庁や捜査機関等との定期的な情報交換を行うなど連携を取り合いながら、効果的なマネー・ローンダリング対策を検討するとともに、特定事業者が疑わしい取引の届出を行う際の判断基準となる「疑わしい取引の参考事例」などについて、所管行政庁と連携をしながら順次公開し、疑わしい取引の届出制度の適切な運用ができるよう活動を行っている。

 (筆者注3)FDICのID詐欺への取組みは、厳密に言うと2001年3月から始まっている。参考までにトッピックスを紹介しておく。 •FIL-22-2006, Prohibition Against Discrimination in Credit Transactions, issued March 9, 2006 •FIL-27-2005, Guidance on Response Programs for Unauthorized Access to Customer Information and Customer Notice, issued April 1, 2005 •FIL-7-2005, Guidelines Requiring the Proper Disposal of Consumer Information, issued February 2, 2005 •FIL-22-2001, Guidelines Establishing Standards for Safeguarding Customer Information, issued March 14, 2001

 (筆者注4)2006年7月18日に公表されたFDIC等連邦金融監督機関と連邦取引委員会(FTC)が連名でFact Actに基づきIdentity theft阻止に関し金融機関等に義務化する具体的対応に関する規則やガイドラインについては、同年7月の本ブログで詳しく紹介した。今回の内容と併せて読んで欲しい。

 (筆者注5)既存または変更の行われる対象口座に対する「なりすまし詐欺」の調査、阻止および軽減させるプログラムの作成を支援させるため、レッド・フラッグを掲げるための26の例示の内容を紹介している。「詐欺」行為の兆候を事前に予見することは極めて困難な問題であるが、わずかな不自然さを見逃さない日常的な訓練が必要であることは、わが国の金融機関や捜査機関の場合も同様といえよう。

(筆者注6)FTCの遵守期限の6か月延期の理由について、FTCの10月22日のリリース等の情報に基づき補足しておく。FTCの最近の調査では自動車デーラー、公益企業、不動産担保ブローカー、電話会社、非営利政府機関等事業遂行上で個人信用情報に依存している事業者は全米で約1,100万におよぶ。議会はFact Actに言う「クレジット業者」を極めて広く定義したため、FTCがなりすまし阻止プログラムへの取組みについて実態調査した結果、プログラムの策定開発義務について十分認識していない企業が多いことが判明した。また、また全米信用組合協会(CUNA)によると、FTCの監督下にある州免許信用組合のみFTCの規則により延期の影響を受ける一方で、信用組合の監督機関である全米信用組合管理庁(NCUA)(筆者注7)の監督下にある信用組合は原則とおり2008年11月1日が遵守期限である。 (筆者補足:今回のFTCの延期措置の意味するところは、FTCは6か月間は遵守違反にもとづく公訴を行わないということであって、本文2.詐欺被害者の原告弁護士(plaintiff attorney)によるクラス・アクションといった訴訟リスクがなくなるわけではない)。 また、「レッド・フラグ手順」と同時に対応が義務付けられる「大幅な住所相違報告ルール(address discrepancy rule)」についても延期は行わない。

(筆者注7)全米信用組合管理庁(NCUA)のわが国の訳語を見ると区々である。「信用組合連盟(NCUA)」や「全米信用連盟」(野村資本市場研究所の訳)、「連邦監督局のNCUA」(農林中金総合研究所の訳)、「信用組合管理局」(reuters.jpの訳)、「国法クレジットユニオン監督庁」(国立国会図書館の訳)等である。NCUAのHPで確認すると“The National Credit Union Administration (NCUA) is the independent federal agency that charters and supervises federal credit unions.”である。読者はどの訳語が正確と思われるか。

(筆者注8)「消費者報告機関」と「個人信用情報機関」の意味の相違について補足しておく。
FACT Actの改正前法であるFCR Actは、わが国の信用情報機関に相当する「消費者報告機関(consumer reporting agency)」の取り扱う個人情報について規整している。同法は、消費者報告機関のほか、消費者報告機関に情報を提供する者、消費者報告機関から消費者報告の提供を受けてこれを利用する者を広く規整しており、対象は金融機関に限られない。FCR法の保護対象である、「消費者報告(consumer report)」は、個人・家族・家計向けの与信や保険、雇用目的、その他法令上認められる目的で消費者の適格性(eligibility)を判断するため、消費者報告機関が第三者に提供する、個人の信用度・信用残高・信用枠・人格・一般的評判・個人的な特徴・生活様式に関する消費者(consumer)の情報である(同法603条(d)(1))。消費者は個人を意味するため(同法603条(c))、法人の情報は含まれない。
消費者報告機関(消費者報告を定期的に第三者に提供する者)の代表例は、Equifax、Experian、TransUnion等の個人信用情報機関(credit bureau)であるが、これに該当するか否かは、消費者報告に該当し得る情報を定期的に第三者に提供しているか否かにより機能的に判断されるため、このような情報を定期的に第三者に提供する者は、消費者報告機関とみなされる可能性がある。消費者報告機関は、本人の書面による指示がある場合や、与信・雇用目的・保険の引受・支払能力の評価等の特定の目的で利用されると消費者報告機関が信じるに足る理由がある場合、公的機関の要請がある場合等、一定の場合を除き、第三者への情報提供が認められないうえ(FCR法604条(a)、607条(a))、消費者報告の正確性を確保する義務(同法607条(b))や本人からの請求に応じて消費者報告を開示する義務(同法609条(a))等を負うこととなる。また、センシティブ情報の一部である医療情報については特に厳格な規制がなされる。このため、金融機関は消費者報告機関に該当しないようにしていると指摘されている。なお、FACT法により、金融機関(GLB法(Gram-Leach Bliley Act of 1999)上の金融機関と同義)が、顧客の事故情報(negative information)を、全米規模で信用情報を取り扱う消費者報告機関に提供する場合には、本人に書面により通知することとされた(改正FCR法623条(a)(7)(A)
「金融機関のグループ化に関する法律問題研究会」報告書(日本銀行金融研究所/金融研究/2005.11)より抜粋。

(筆者注9) “Bank Secrecy Act”は正確に言うと「銀行等に対する機密性が高くまたは不審な現金払いおよび海外との金融取引等に関する報告義務法」である。
http://fukuhei.blogspot.com/2006_09_01_archive.html

(筆者注10)この解説部分は、もともと7年前に大手会計監査会社がネットワークセキュリティのコンサルティング専門会社として立ち上げた組織を、最大手のセキュリティ対策専門会社McAfeeが2004年9月に買収した“Foundstone”サイトから引用した。Red Flags Ruleについて分かりやすく解説している。
http://www.foundstone.com/us/pdf/ProgDev/red_flag_rule_datasheet.pdfn b

(筆者注11)4金融機関の導入に関する記事内容は、Springfield State Bankの場合とは異なる点があり、併せて紹介しておく。

(筆者注12)リスク分析の手法の1つで、管理基準をチェックリストとし、基準からの差異(GAP)に基づき脆弱性を分析するもの。以下の算出式により、リスクを定量的に示す。
リスク=資産価値×脅威×脆弱性

(筆者注13) 米国銀行等において新規口座開設時に必要とされるID書類について触れておく。ここでは米国市民権をもっている場合についてのみ説明する。
(1)IDのための最優先的ID確認カード・文書
①写真つき有効期限内の運転免許証
②写真つき有効期限内の当該銀行が所在する州発行のIDカード
③有効期限内のパスポート
④有効な義務兵役IDカード
(2)IDのための第二次的ID確認カード・文書
①地方の短大の学生および教員IDカード
②公的被介護者IDカード
③有効期限内のクレジットやデビットカード
④銃等小火器所有者カード(FOID card)
⑤氏名および写真つき有効期限内IDカード
⑥出生証明書の証明つき写し(certified copy of birth certificate)
http://72.14.235.104/search?q=cache:vJ-qNkbhzFIJ:www.busey.com/pdfs/new_account.pdf+traditional+forns+identification+saving+account+active+ssn&hl=ja&ct=clnk&cd=19

(筆者注14) SISがいう“commercial consumer databases”について、具体的な企業名は不明である。筆者の推測であるが、例えば「データマン・グループ」等が該当するのではないか。マーケテイング手法が多種対応な米国ならではのビジネスであろう。

(筆者注15)わが国において、米国における消費者の生保・損保等各種保険料負担対策について詳しく解説しているものは少ない。“deductible”の1語だけでも的確な訳語がない。その背景には仕組みが複雑な点もあるが、連邦・州政府の保険政策とのからみもあり、これだけで論文が書けよう。機会を改める。
AIGの保険サービス約款(AIG Personal Internet Identity Coverage Policyの保障内容には、収入保障、信用回復にかかる民事訴訟の弁護士費用、ローンの再登録にかかる費用等が含まれる。

〔参照URL〕
http://www.federalreserve.gov/boarddocs/srletters/2008/SR0807.htm#Footref2
http://www.fdic.gov/news/news/financial/2008/fil08105.html
http://www.bankinfosecurity.com/external/fil08105a.pdf

********************************************************************************************

Copyright © 2006-2010 芦田勝(Masaru Ashida).All Rights Reserved.No reduction or republication without permission.

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする