Financial and Social System of Information Security

インターネットに代表されるIT社会の影の部分に光をあて、金融詐欺・サイバー犯罪予防等に関する海外の最新情報を提供

「SEC等の投資家向け警告:ハリケーン・ハービィとアーマに関連する投資詐欺への警戒」

2017-09-25 12:38:27 | 金融犯罪と阻止策

 米証券委員会(SEC)の「投資家教育・権利擁護局(SEC's Office of Investor Education and Advocacy)は、ハリケーンズ・ハービィ(Hurricanes Harvey)やアーマ(Irma) (注1)からの損害の結果保険会社などから一時的な支払いを受ける可能性がある個人を含む投資家に、災害から何らかの有利性をえることに関する投資詐欺の警告を出すため、この投資家向け警告を行った。 

 過去にさかのぼるが、筆者は2010年1月24日のブログ「米国FBI等がハイチ大地震にかかる災害支援寄付詐欺警告と米国の詐欺問題の根の深さ(その1)」 「同(その2)」、 「同(その3)」でカトリーナやハイチ大地震の復旧にかかる各種のボランテイア詐欺だけでなく、詐欺投資手口等にかかる米国の規制・関係機関の取り組みを詳しく論じた。 

 わが国では相も変わらず「特殊詐欺」が横行しており、米国のような投資詐欺までには語学上のバリアー障害もあり広がっていないが、いずれ語学上の問題がクリアされたら確実にさらなる詐欺被害が広がる可能性は極めて大といえる。 

 その意味で、今回のブログはSECなどの具体的詐欺手口の警告を中心に置いて紹介しながら、わが国として取り組むべきテーマを整理する意味で仮訳を踏まえ取りまとめた。 

1.ハリケーン、洪水、原油流出などの自然・人為的災害と投資詐欺

 ハリケーン、洪水、原油流出などの自然または人為的災害は、しばしば投資詐欺を引き起こす。これらの詐欺には、汚染掃除、修復や回収の努力に関わっていると主張する企業を呼び出す「投資プロモーター」、「高い利益を保証すると偽る取引プログラム」、新しい投資家のお金を早期の投資家に回すいわゆる古典的な「ねずみ講商法」等の形態をとる。 

 これらのうちいくつかの詐欺は、迷惑メール(spam email)に流布し、修復や汚染掃除の努力から大きな利益を得ると思われる小規模でかつ商いが薄い企業にとって高い収益を期待させる。例えば、SECは、2005年のハリケーン・カトリーナによる被害に照らして、ビジネス機会の疑惑について誤ったかつ虚偽の声明を行った個人や企業に対して、いくつかの法執行措置を講じた。 (注2)

 その中には、詐欺師が偽の「ニュース」を使って中小企業の株価を上昇させて人工的に高い価格で自分たちの株式を売る「ポンプ・アンド・ダンプ詐欺(pump and dump scams)」 の(筆者注2参照)が含まれていた。保険会社から報酬を受け取った個人を対象とした詐欺師についても聞かれた。一過性の保険の支払いを受けている人を含む個人は、ハリケーン・ハービィやアーマに関連する潜在的な投資詐欺に非常に注意する必要がある。

 2.プロモーター等に対し懐疑的姿勢で質問を投げかけるべき

  投資詐欺を避ける最良の方法の1つは、質問することである。あなたが投資機会を宣伝する誰かに接近した場合、まず懐疑的になるべきである。(1)その人に投資先が投資顧問機関の免許が与えられているかどうか、また(2)その投資先がSECまたは州で登録されているかどうか確認すべきである。 SECやあなたの住む州の証券監督官庁のような公平な情報源から回答を必ずチェックしてほしい。

  まず、投資リスクがほとんどまたはまったくなく、迅速かつ高収益の約束は詐欺の古典的な兆候であることを理解すべきである。SECの簡単な解説サイト”Ask Questions”は、あなたが投資をしたいと思っている人の他の多くの質問について議論している。投資判断を行う前に必ず”Ask Questions”を読んでほしい。 

3.自分自身を守ること

  投資判断を下す前に、投資先の財務状況全体を詳しく見てほしい。特に、一時払いの場合は特に注意してほしい。あなたの支払いはあなたの回復を助けるだけでなく、あなたとあなたの家族を長期間持続させる必要があるかもしれないことを覚えてほしい。 

4.詐欺被害阻止のための関係機関サイト情報

 以下は、あなた自身の投資判断に役に立つオンライン・リソースのリストである。新たな投資を考えており、その内容につき質問がある場合は、SECの「投資家教育・擁護局」(1-800-732-0330)まで電話するか、以下のオンライン・フォームを使用して質問されたい。

 ① SECのプレスリリース:SECがハリケーン・ハーベィの投資家および市場への影響をどのように監視しているかについては、このプレスリリースを参照されたい。 

② NASAAの警告:ハリケーンハーベィ詐欺に関する北米証券監督者協会(NASAA)からの警告を参照されたい。 

③ FINRAの警告:ハリケーンハーベィに続く潜在的な詐欺について、金融取引業規制機構(Financial Industry Regulatory Authority:FINRA)の警告を参照されたい。(FINRAの警告行動については筆者ブログ参照) 

④ 一時払い:一時払いを受けた後に賢明に投資する方法については、一括払いを参照されたい。 (注2)(注3) 

⑤ アフィニティ詐欺(Affinity fraud):親近感を利用した詐欺(affinity fraud)」とは、特定の人種や宗教の教義に基づき意図的に当該グループの人々を騙すものである。(筆者ブログの(注3)参照)。事例を含め詳しくはSECの警告を参照されたい) 

⑥ ねずみ講詐欺(Ponzi scheme):Ponziスキームについては、SECの「Ponzi Schemes:Frequently Asked Questions」を参照されたい。

 ***********************************************************

(注1) ”Hurricane Irma”の正しい呼称は「ハリケーン・アーマ」である。わが国のNHKも含めた新聞、メディアだけでなく、オンライン英和辞典までもが徹底して「イルマ」と翻訳している。”Irma”に関する米国では官民を問わず女性名「アーマ」(研究社「新英和大辞典」や小学館「プログレッシブ英和中辞典」参照)であり、「イルマ」という呼び方はありえない。わが国の英語教育の強化が強く叫ばれる中でこのような全滅誤訳は避けるべきであり、少なくとも公式サイトや大手メディアサイトのオンラインnews、Youtube、さらにはGoogle翻訳などで確認すれば、その誤りにすぐに気が付いたであろう。

 ちなみに、いうまでもなく筆者は仮訳時においてもより正確なカタカナ化を行うべく工夫、努力している。 

(注2) 2006年4月3日付けSEC 「一時払い:あなたが1ダイムズに投資する前にあなた自身が自問すべき質問とは?(Lump Sum Payouts: Questions You Should Ask Yourself Before You Invest a Dime)」のポイント部を仮訳する。

  一括払いを受けことは非常にエキサイティングなことがある。なぜなら、多くの人にとって、一度に大量のお金を費やしたり投資したりする機会はまれだからである。しかし、一時払いで何をすべきかを考え出すことは、特にあなたが自身の財務上の決定を下すのが快適でない場合は、非常に大きなストレスがかかる可能性がある。 

 あなたのすべての選択肢を十分に理解すれば、良い財政上の決定を下すより良い立場になる。したがって、あなたは一時払いをどのように使用するかについての迅速な決定を求める衝動に抗うべきである。多くの金融専門家は、特に配当が家族の死亡や職場からの離脱(退職)などの衝動的な出来事に結びついている場合は、冷静な判断を得るため、資金の使い方を決めるのに数か月、さらには1年以上をかけることを推奨している。 

 一時払いで何をすべきかは一概に決められないが、情報に基づいた決定を下すことはできる。投資を決定する前に、まずは次の質問を検討すべきである。 

私は注意深く詐欺を避けているか? 

 あなたが考える一時払いは、詐欺の対象になる可能性がある。詐欺師など誰かがお金にどう対処するかについて議論するために、他の方法の代わりにあなたに近づくならば、特に注意する必要がある。 

 多くの場合、あなたは、疑問点を尋ねたり、金融専門家や投資機会について調査したりすることによって、不正行為に基づく詐欺被害等を避けることができる。迅速な利益確保や保証された配当の約束、すぐにお金を送れという圧力等、詐欺に関する警告サインにも注意する必要がある。 

私の現在の財務状況はどうか? 

 たぶんあなたは自身の財政計画を持っていないか、または予算を立てた生活を行っていないであろう。今、あなたが目にしているボートを買う前がその計画を行う時期であろう。あなたが落ち着いて、あなたの財務状況全体を正直に見るならば、あなたはあなたの一時払いを賢明に使う良い立場になろう。 

 一時払いは、あなたに家を購入したり、快適に退職をしたり、子供の教育費を節約したり、別の投資目標を達成する機会を与えるかもしれない。そのボートを含む投資目標のリストを作成し、どの目標が最も重要かを考えるべきである。 

 財務計画をまとめるのに役立つツールが多数ある。たとえば、「米国貯蓄教育協議会(American Savings Education CouncilASEC)によって作成された単一ページのワークシートであるBallpark Estimateは、退職にあわせ毎年貯蓄する必要でがあるものを計算するのに役立つ。 FINRA(前身はNASD)には科大学学費貯蓄計算機(college savings calculator) (注4) があり、また社会保障庁(Social Security Administration)には「年金給付額計算機(benefits calculator)があり、潜在的な年金給付額を試算することができる。 

 財務計画の作成の詳細については、SEC「貯蓄と投資に関する事実を知る(Get the Facts on Saving and Investing)および「資産の配分、多様化、再バランスについての初心者向けガイド(Beginners’ Guide to Asset Allocation, Diversification, and Rebalancing)を読まれたい。

 (注3) Borderless Works Co.,Ltd. [超境有限公司「長期積立ファンドと一時払い型ファンドのメリット・デメリット」より一部抜粋する。

・・・プラットフォーム上に用意された多数のファンド(投資信託)を組み合わせ、ポートフォリオを作り、世界経済の動きを見ながらそれを臨機応変に組み替えて運用するファンドラップ。ファンドのパフォーマンスによる運用利回りが見込める一方で運用途中での出金も可能なので”銀行にお金を寝かしておくよりは。。”というスタンスで気軽に取り組むことができる。

 ファンドラップは資金の投入の仕方によって、「積立投資型」と「一時払い型」がある。積立投資型ファンドは俗に「長期積立ファンド」と呼ばれ英語ではSaving Planとなる。一時払い型ファンドは英語でLump Sum Planという呼称になる。どちらも、アジア、ヨーロッパ、新興国などの地域別、資源、農業、科学技術、医療などの産業別、債券、株式、商品、不動産などの金融商品別、に分類される様々なファンドを組み合わせて運用する。自由に出金ができる、またある程度まとまった資金を好きなときに追加投資できるという部分も同じだ。違う点は、積立投資型(Saving Plan)が少額の資金を毎月積み立てるように徐々に投資資金を増やしてゆくタイプなのに対し、一時払い型(Lump Sum)は資金を一度に投資するタイプであること。積立型にも一時払い型にもそれぞれにメリット・デメリットがある。(以下、略す) 

(注4) FINRACollege Savings Calculator”:の解説文を仮訳する。

FINRAの「単科大学学費貯蓄計画計算機」を利用して、すべての大学の経費をカバーするのに十分な資金を得るために毎年投資しなければならない金額を決定できる。また、FINRAのサイトでは、529プランを含む大学の育英資金の貯蓄制度オプションに関する情報とガイダンスを提供している。

 ************************************************************

Copyright © 2006-2017 芦田勝(Masaru Ashida)All Rights ReservedYou may reproduce materials available at this site for your own personal use and for non-commercial distribution

 

 

 

 

 

 

 

 

 

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

「中国のサイバーセキュリティ法施行にあわせた4ガイドライン草案の内容並びに関係法制整備等の概観(その1)」

2017-09-07 19:44:06 | 金融犯罪と阻止策

 

 筆者は、さる8月1日付けのブログ「中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その2) で詳しく論じたが、法律の内容もさることながら各ガイドラインの内容も含め体系的理解には、なお課題が大きいという印象を持たれた読者が多かろう。

 これは米国の中国系弁護士でも同様の見方が多く、たとえば、Grace Chen「中国サイバーセキュリティー法(中华人民共和国网络安全法)は、今後の実施のためにいくつかの問題を残している。法律はすでに施行されているが、かなりの数の問題が未解決のままであり、法律を遵守しようとする企業や個人は置き去りにされている」 と指摘している。

 この点に関し、筆者は補完する意味で今回も含め数回に分けて以下のようなテーマに関するブログを掲載することとした。なお、今回以外の各標題はあくまで仮題であり、また必要に応じ統合または分割して掲載する。 

①「中国のサイバーセキュリティ法施行に関連する4つの任意ガイドライン草案の内容」

②「中国のサイバーセキュリティ法を正確な理解のために(What We Don't Know About China's New Cybersecurity Law)前述のGrace Chen氏の問題指摘レポート

③ 「中国のサイバー空間統治の制度・規制面からの進展」(法律、規則/法令/ガイダンス、国家戦略/計画、標準化等)の体系的理解 (注)

④ 「越境による個人情報の移送にかかるセキュリティ・アセスメント・ガイドライン(China Releases Proposed Guidelines for Cross-Border Data Transfer Security Assessment)の図解を含む内容とさらなる課題 

〇中国のサイバーセキュリティー法に関連する4つの草案(任意ガイドライン草案)を発表、意見公募の概要

 2017.9.5 Hunton& WilliamsChina Releases Four Draft Guidelines in Relation to Cybersecurity Law 仮訳する。なお、部分的に不正確な点があるので筆者なりに修正し、同時に各ガイドライン草案の中国語名などを補足追記した。 

2017年8月30日、中国の「国家情報セキュリティ標準化技術委員会(National Information Security Standardization Technical Committee:全国信息安全标准化技术委员会 )9/6(44)は、中国の「サイバーセキュリティー法(中华人民共和国网络安全法)」に関連する4つの任意の遵守ガイドライン草案を発表「关于征求《信息技术 安全技术 匿名实体鉴别 第4部分:基于弱秘密的机制》等6项国家标准意见的通知」20171013日を期限とする一般意見公募を行った。 

① 国境を越えた越境個人情報の移転にかかるセキュリティ・アセスメント・ガイドライン(proposed Guidelines for Cross-Border Data Transfer Security Assessment数据出境安全评估指南):この第二次ガイドライン草案は、2017年5月に公表された第1次草案と比較して、「国内事業(domestic operations)」、「越境によるデータ移転(cross-border data transfer)」、「管轄権のある監督当局」といった新しい定義を明記した。これらのガイドライン草案によれば、中国に登録されていないネットワーク事業者は、中国の領土内で事業を行う場合、またはその領域内で製品またはサービスを提供する場合、依然として中国の「国内事業」を行っているとみなされる。 ネットワーク事業者によって収集されたデータが中国国外に保持されていなくても、海外の企業、機関または個人がリモートでデータにアクセスできる場合は、データの越境移転が可能とされる。これらのガイドライン草案は、管轄当局による自己評価と評価のための別個の評価手順を提供する。 セキュリティ評価では、「合法性(legality)」、情報の譲渡の「妥当性」および「必要性」、ならびに移転に伴うセキュリティリスクに関し、提案された国境を越える移転の目的に焦点を当てている。 

② ネットワーク製品およびサービスの一般的なセキュリティ要件(网络产品和服务安全通用要求):この文書草案では、「一般的なセキュリティ要件」と、中国の国内で販売または提供されるネットワーク製品およびサービスに適用されるセキュリティ強化要件の両方を提供する。これらのガイドライン草案によると、「ネットワーク製品」には、コンピュータ、情報端末、基本ソフトウェア、システムソフトウェアなどが含まれる。また「ネットワークサービス」には、クラウドコンピューティングサービス、データ処理およびストレージサービス、ネットワーク通信サービスなどが含まれる。この草案の下での一般的なセキュリティ要件には、マルウェア防止、セキュリティ脆弱性管理、セキュリティ運用管理、ユーザー情報の保護が含まれる。さらに強化されるセキュリティ要件には、「アイデンティティ認証」、「アクセス制御」、「セキュリティ監査」、「通信保護」、「特定のセキュリティ保護要件」が含まれる。

  ③ 重要情報インフラストラクチャのセキュリティ検査と評価ガイダンス(关键信息基础设施安全保障评价指标体系)重要な情報インフラストラクチャのセキュリティ検査と評価の手順と内容を提供する。これらのガイドライン草案によると、検査と評価は、「コンプライアンス検査」、「技術検査」、「分析と評価」の3つの方法に分かれる。 セキュリティ検査と評価の重要なステップには、コンプライアンス検査の準備、実装、技術検査と分析と評価、リスク管理およびレポート作成が含まれる。  

 ④ 重要情報インフラストラクチャーのセキュリティを保証するための指標システム (关键信息基础设施安全检查评估指南):このドキュメントは、重要な情報インフラストラクチャのセキュリティを評価する際の焦点として使用される指標を確立し、定義する。これらのドラフトガイドライン草案の下で議論される指標には、「運用能力指標」、「セキュリティ指標」、「セキュリティ監視指標」、「緊急時対応指標」などが含まれる。 

*****************************************************

(注) 中国の安全牛 发 布《网 络 安全法 实 施指南》民間ネットワークセキュリティ法施行ガイドが、サイバーセキュリティ法の立法の背景、経緯、内容、保護対象、保護方法等を詳しく解説している。筆者の中国語の能力を超えるので翻訳は略す。

 *************************************************

Copyright © 2006-2017 芦田勝(Masaru Ashida)All Rights ReservedYou may reproduce materials available at this site for your own personal use and for non-commercial distribution

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

「ビットコインが急落、中国人民銀行等が仮想通貨の新規公開(ICO)は違法かつ人民元との交換や換金禁止宣告がその背景」

2017-09-05 16:20:20 | 海外の通貨・決済システム動向

 筆者は、さる8月30日付けブログで「SEC投資家向け告示:イニシャル・コイン投資への立法措置と詐欺対策(日米の比較)(その1)」「同(その2)」を論じた。9月5日、わが国 (注1)および海外メディア(注2) は中国政府のバーチャル通貨のICOの禁止措置通達を受けた価格の大幅下落を報じた。

 しかし、これらの記事内容はICOが本質的に持つリスクについて十分は論じていない。そのせいか、またぞろ価格の下落時が買い時という詐欺投資サイトが闊歩している。 

 その意味で筆者は、金融リテラシーの一環として中国の金融メディアや中央銀行である中国銀行の公告内容を仮訳しながら、ICOをめぐるリスクと投資詐欺被害の広がらないよう投資家や消費者に警告を発する必要性を感じ、本ブログを急遽まとめた。 

 翻訳時間の関係で、今回はとりあえず米国先端技術専門サイト”Tech Crunch”の解説内容のみの仮訳を行う。後日、中国の金融専門ニュースサイト”Caixin”の具体的な記事や中国人民銀行の告示通達、その他の関係機関の情報につき、詳しく解説したいと考える。 

1.米国先端技術専門サイト”Tech Crunch”の解説内容

 筆者は毎日”Tech Crunch”記事を読んでいるが、今回紹介する記事「中国はICOを禁止」は中国の金融専門メデイアや中央銀行の告示内容のリンク等が他のメディアに比してしっかりできていることが取り上げた理由である。以下、仮訳する。なお、リンクは筆者の責任で行った。 

 少なくとも今は中国の人たちのとってICO投資のための新しい時代が来ているように見えている。しかし、米国では、SECがすでにトークン販売とも呼ばれるICOのリスクを「公式に警告」 (注3)しているが、一方、中国政府も、急速に増えている資金調達オプションについて規制を履行するようになっている。  

 94、中国の中央銀行(中国人民銀行)が率いる委員会からの通知(注4)は、、「経済と金融秩序を重大な意味で乱している」としてICO資金調達の即時禁止措置を発表した。  

  中国の金融専門ニュースサイトCaixinは 、同委員会が検査と報告の対象となる60の取引所(バーチャルコインのプラットフォーム)のリストを作成したと報告した 。その間、中国ではICOの取引は凍結される。  

 ICOは、一般的にEthereumをベースにした新しい暗号通貨を作成して投資家に売却することで資金調達が行われる。それは、中国の金融監督当局が投資スペースを規制するかどうかについて、多くの投機的性格をもつ証券業務との比較につながった。  

 中国の委員会は、いくつかのICOが金融詐欺やねずみ講類似の仕組みであるとの懸念を表明した。これは、シンガポール通貨監督庁(Monetary Authority of SingaporeMAS)からの最近の警告を反映したものである。  

 シンガポールの中央銀行であるMASは、8月1日の声明において「ICOは、取引の匿名性のために、マネー・ローンダリングやテロ資金調達のリスクに脆弱性があり、また短期間に大金を投資家から巻き上げる可能性がある」と述べた。  

 委員会の調査リストでははっきりとしていないが、すでに中国最大のICO購入プラットフォーム( トークンを売っている企業とバイヤーを結ぶ)2社であるICOage ”ICO.info- はサービスを一時停止し、新しいプロジェクトにつきステップを取り始めた。これら2社は、自らの中断は自発的であると述べた。  

 今年開催されたICOの数は世界中で非常に増加している。 ゴールドマン・サックスの報告書によれば 、2017年上半期のトレーニング販売からの総額は、従来のベンチャーキャピタルからの初期段階の投資支出を上回ったとある。  

 今年は、ICOの資金調達が16億ドル(約1744億円)を突破したと言われている。既にBitcoin等2つのコイン事業者は10億ドル以上の時価総額にまで成長しているが、現在のところその市場に商品がないため、そのランドマークの意義は不明である。  

 世界で最も活発なビットコイン・コミュニティの1つを保有する中国は、トークンを売っている企業とバイヤーがそれらを魅了している点で、ICOブームの重要な要素となっている。 

 国営メディア企業の新華社通信は、7月に中国企業が今年上半期に105,000人の投資家から3億8300万ドル(約417億4700万円)を調達したと報じた。  

 米国SECは、規制強化の発表にもかかわらず、まだICO堅調な動きをしていないため、世界の眼はどのような仕組みがICOを支配するのか、実際にあらゆる種類のICOが規制されるのかどうか、中国に目を向けるだろう。また、中国が果たした著しい役割を考えると、ICO市場や暗号通貨の一般的な取り締まりの可能性を見極めることも興味深いであろう。  

 長年暗号通貨を見てきたウォチャーは、中国が人民元の通貨を使ってビットコインや他の暗号コインを購入することを許可しないようにすることを中国が禁止した2013年を思い出させるであろう。その結果、これら通貨は巨額の価格下落があったが、人民元金預金への支援が戻り、ビットコインが新たな高値にまで上昇した場合の価格  直近の取引所では5,000ドルとなっている。  

2.北朝鮮の核実験や中国のICO禁止措置等規制強化によるBitcoin等の通貨としての大きなリスクを実証

 2015.9.5付けのTechcrunch”記事は「Bitcoinは、世界的な混乱の時代の避難所としてのテストに失敗した」という記事を載せている。

 記事を要約すると、北朝鮮の挑発的な核実験に続き、週末に株式やその他の資産とともに落ち込んでいる。非国家管理通貨たるデジタル通貨が将来の避難所であると信じるならば、トレーダーは今日のようにビットコインを扱ってはいけない。 

 北朝鮮の核計画に関する世界的な緊張の中で、ゴールド、さらには日本円(東京は平壌から約800マイル)はビットコインを大きく上回っている。

 また、最近の暗号化通貨の価格の大幅低下は、中国の暗号化トークン販売を「不正な資金調達の慣行」と呼んでいる中国のICO公開に対する取締りにも起因している。このニュースに対するBitcoinの価格感受性につき、その価格は9月2日にピークに達し、北朝鮮の水素爆弾実験を迎え、大きく下落した。中国は9月4日にICOに関する声明を発表している。

 

 ***************************************************************

(注1) 2017.9.5 日経新聞「中国のICO全面禁止、広がる波紋 仮想通貨下落:日本人プロジェクトは中国語サイト閉鎖 」を一部引用する。 

中国当局が4日、仮想通貨発行による資金調達「新規仮想通貨公開(公募)(ICO=イニシャル・コイン・オファリング)」を全面的に禁止した影響が広がっている。米情報サイトによると、ビットコインなどの仮想通貨全体の時価総額は1日前に比べて約2兆円下落した。香港を拠点に日本人が主導するICOプロジェクトは中国語サイトを一時閉鎖すると発表した。

 (注2) 2017.9.5 B Bloomberg「ビットコインが急落、中国人民銀行が仮想通貨の新規公開は違法と宣告」

 仮想通貨ビットコインの価格が4日急落し、7月以来の下げ幅を記録した。中国人民銀行(中央銀行)がイニシャル・コイン・オファリング(ICO)を違法とし、関連する資金調達活動全てを即時停止するよう通告したことが背景にある。急成長中の仮想通貨市場にとっては、規制面でこれまで最大の課題を突きつけられた格好だ。 

 人民銀行は4日にウェブサイトで、ICOに対する調査を完了したと説明。今後ICOが行われた場合には厳罰に処すとともに、実施済みのICOについても法規違反で処罰すると明らかにした。同行によると、ICOでの調達資金は返金しなければならない。ただ、返金方法について具体的な指示はしていない。 

 人民銀行はまた、仮想通貨の取引所が法定通貨との交換を行うことも禁止。仮想通貨を市場で通貨として使用したり、銀行がICOのサービスを提供することも禁じた。 

 この発表を受け、ビットコインは前週末比で11.4%安の4326.75ドルまで売り込まれた。コインデスクのデータによると、同じく仮想通貨のイーサリアムは4日、16%を超える下げに見舞われた。 

  中国の国家インターネット金融安全技術委員会によれば、7月18日現在で同国内には43のICOプラットフォームがあった。65件のICOの調査が実施され、調達資金は26億元(約440億円)に上った。

 なお、同委員会が検査と報告の対象となる60の取引所(バーチャルコインのプラットフォーム)のリストを作成したと報告

(注3) ここでいうSECのICOにかかる警告とは、2017.8.30付けの前述の筆者ブログで取り上げたものである。併せて参照されたい。

 (注4) 2017.9.4 中国人民銀行の公告「中国の人民銀行、中央政府の産業と情報技術省の産業省、銀行規制委員会、中国保険監督管理委員会は、トークンのリスクの防止に融資を発行した(中国人民银行 中央网信办 工业和信息化部 工商总局 银监会 证监会 保监会关于防范代币发行融资风险的公告)」

*********************************************

 Copyright © 2006-2017 芦田勝(Masaru Ashida ).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

「ニューヨーク州金融サービス局(NYDFS)のサイバーセキュリティ・コンプライアンス規則制定の意義と企業における今後の取組課題」

2017-09-04 10:09:33 | サイバー犯罪

 Last Updated:  April 19.2019

 8月28日、筆者の手元にニューヨーク州金融サービス局(NYDFS)を受けたローファーム・サイト:Cyber Breach Centerからメール記事が届いた。当日が、米国の州として第一号となるサイバー・セキュリティ・コンプライアンス規則の第一次遵守期限であり、第二次遵守締切はさらに6か月以内とするもので、改めてその内容を解説するものである。 

 ニューヨーク州のNYDFSのサイバーセキュリティ規則「NEW YORK STATE :DEPARTMENT OF FINANCIAL SERVICES 23 NYCRR 500 :CYBERSECURITY REQUIREMENTS FOR FINANCIAL SERVICES COMPANIES 」

は、2016年12月28日に公布されたもので、NYDFSの規制対象企業やサイバーセキュリティのリスクに直面する企業にとって重要なものであり、筆者もその重要性は十分に認識していた。

 同規則案については、わが国ではニューヨーク州弁護士(Pillsbury Winthrop Shaw Pittman LLPパートナー奈良房永氏が「ニューヨーク州、多くの課題をもたらすサイバーセキュリティ規則を発表(Vol. 27 / November 2016 Legal Wire blog)で取り上げている。

 州立法の第一号ということもあり、内容の範囲の広さ、遵守に当たり検討すべき具体的な課題、さらには第三者たる委託先との関係等「効果的技術促進による反テロリズム支援法:Support Anti-terrorism by Fostering Effective Technologies Act:(以下、「安全法)」 (注1)の適用可能性等、同弁護士が指摘している通り、今後の他州への影響だけでなく、これらの課題の検討はわが国の金融機関でも決して無視しえないこれからの重要課題といえる。 

 今回のブログは、ニューヨーク州のNYDFSのサイバーセキュリティ規則の内容、立法・運用上の課題等について、概観を試みるもである。 

1.2016年12月28日、ニューヨーク州金融サービス局のサイバーセキュリティ規則(REGULATION)案を最終更新した旨のリリース

 2016.12.28 ニューヨーク州金融サービス局リリース「DFSの問題は、消費者や金融機関を保護する提案されたサイバーセキュリティ規則(REGULATION)案を最終的に更新した。合衆国で第一号となるこの規則案は、テロ組織やその他の犯罪企業から消費者データおよび金融システムを保護することを目指す」の内容を以下、仮訳する。 

 本日、マリア T. ヴロ(Maria T. Vullo )NYDFS局長 (注2)は、ニューヨーク州金融局(Department of Financial ServicesDFSがサイバー攻撃の脅威から常にニューヨーク州民を守るために提案した第一次サイバーセキュリティ規制案を最終的に更新したと発表した。2017年3月1日に発効する予定のこの法案は、DFSによって規制されている銀行、保険会社、およびその他の金融機関に対し、消費者を保護し、ニューヨーク州の金融サービス業界の安全性と健全性を確保するためのサイバーセキュリティプログラムを確立するものである。

  ニューヨーク州民は、信頼できる銀行、保険会社、その他の金融機関が機密情報のセキュリティとプライバシーを確保するために必要な手順を安全に処理し、確立していることを確信できなければならない。この更新された規則案は、規制監督対象金融機関が最終的になる前に規則内容を見直し、システムがサイバー脅威に関連するリスクを効果的かつ効率的に満たすことができることを確実にする適切な検討期間を許容するものである。

 DFSは、2016年11月14日に終了した45日間のコメント期間中に、規制案に関して提出されたすべてのコメントを慎重に検討し、DFSが最新の草案に適切であると示唆した。 DFSは、以前のコメントプロセスでは提起されなかった新しいコメントについて、30日間の最終的なレビューの間に焦点を当てる。 

 DFSは、2016年11月14日に終了した45日間のコメント期間中に、規制案に関し提出されたすべてのコメントを慎重に検討し、DFSが最新のドラフトが適切であると示唆した。DFSは、元のコメントプロセスで以前には提起されなかった新しいコメントについて、最終的なレビューに焦点を当てた。

更新提案された規則案は、2016年12月15日にニューヨーク州公報局に提出、12月28日に公開され、30日間の通知およびパブリックコメント期間に続いて最終確定される。

2. NYDFSの規制対象となる金融機関へのサイバーセキュリティー規則の特定の条項の第一次遵守期限などの通告の内容と意義

 NYDFSの告示

 

「NEW YORK STATE DEPARTMENT OF FINANCIAL SERVICES 

23 NYCRR 500 :CYBERSECURITY REQUIREMENTS FOR FINANCIAL SERVICES COMPANIES 」

の内容を以下、仮訳する。 (注3) なお、規則の正確な理解のため、適宜条文を追記した。 (注4)

 本日、 NYDFSのサイバーセキュリティー規則(以下「規則」という)の特定の条項を遵守するために、ニューヨーク金融サービス局(NYDFS)によって規制対象となる金融機関への第一次遵守期限日であることを告げる。 

 「規則」は、NYDFS規制対象企業やサイバーセキュリティのリスクに直面している企業にとって重要な出来事である。具体的には、次の事項の組み合わせである。

(1)具体的なサイバーセキュリティ要件(アクセス・コントロールなど)、(2)上級役員・シニアレベルの認証義務、(3)72時間以内の通知義務要件の独自の組み合わせは、サイバーセキュリティの規制と期待に永続的な影響を与える可能性がある。本規則の対象金融機関は現在、次の措置を講じている必要がある。 

① 最高情報セキュリティ責任者(Chief Information Security Officer CISOの指名(Section 500.04 Chief Information Security Officer)。 

② サイバーセキュリティプログラム、サイバーセキュリティ・ポリシー、事故対応計画に必要な要素の実装。

③ 情報システムに対する規制されたアクセス特権の明確化(Section 500.07 Access Privileges)

④ 必要なサイバーセキュリティ・スタッフが確保されていることの確認(Section 500.10 Cybersecurity Personnel and Intelligence)

⑤ 特定のサイバーセキュリティ・事故が発生してから72時間以内にNYDFSに通知するように準備ができていること。(Section 500.16 Incident Response Plan.)(Section 500.17 Notices to Superintendent )

 また、規則では、金融機関は「リスク・アセスメント(Section 500.09 Risk Assessment.)を実施することが求められているが、その遵守期限(CISOの取締役会への報告、研修トレーニング(Section 500.14 Training and Monitoring.)、侵入テスト(penetration testing)(Section 500.05 Penetration Testing and Vulnerability Assessments)、多要素認証(multifactor authentication)(Section 500.12 Multi-Factor Authentication)の対応の遵守期限とともに)は、2018年3月1日ではない。その「リスク・アセスメント」と規則に定められている多くの義務との関連性を考慮すると、多くの金融機関は2018年2月15日までに完了しなければならない認証プロセスにそのリスク・アセスメントを含めることを目指している。 

 72時間以内の通知要件を求めるサイバーセキュリティ事故には、次のものが含まれる。

①他の政府機関、自主規制機関、監督機関に通知することを要求する事故。

②あなたの会社の通常の業務のいかなる部分にも重大な損害を与える妥当な可能性を作成する事故。 

 その他、本規則を直接遵守義務を負うNYDFS規制対象金融機関以外にも、数千社の受託ベンダーがこの規則を遵守する必要がある。なぜなら、規則の定めにより、それら金融機関がベンダーに規則の則った要件を課す義務があるからである。 

 すなわち、より広義にいうとは、2017615日に開催した「NYDFSのサイバーコンプライアンスに関するのWebキャスト」で議論されているように、本規則はサイバーセキュリティの関係業界ベストプラクティスになる可能性がある。その結果、直接的に規則に従わない多くの企業ども、様々な理由によりNYDFSの要件を満たしていると言えるようになりたいと考えている。 

3. 奈良房永氏が指摘されるNYDFS規則の主な内容、課題といえる問題

(1)前述した「ニューヨーク州、多くの課題をもたらすサイバーセキュリティ規則を発表(Vol. 27 / November 2016 Legal Wire blog)で取り上げている内容を中心に、筆者なりにフォロー、補足して説明する。 

A.この規則の対象となる組織

 この規制は、対象となる組織を銀行法、保険法または金融サービス法に基づいて、免許、登録、設立、認証、許可、認可などを受けて運用されているすべての法人、と定義しています。但し、適用除外として、過去3年につき、顧客数が平均1,000人以下、年間総所得が各年500万ドル以下、年度末総資産が1,000万ドル以下の場合は、適用対象外となっている。(Section 500.19 Exemptions.)

 B. サイバーセキュリティ計画全体について、年に最低一度は取締役会(またはそれに同等の経営組織)で見直した上

 で、上級幹部役員による承認を受けなければならない。 

C. 事故対応計画を作成し実行する。 

D.最高情報セキュリティー責任者(CISOを設け、半年に1度、会社のサイバーセキュリティの全体的状況を、取締役

 会またはこれに同等する場に報告しなければならない。 

E. 対象組織はサイバーセキュリティ担当者を雇うか、「資格のある第三者を利用して要件を満たす」ようにしなければ

 ならない 

F. 年に1度の侵入テストとリスク評価に加え、四半期毎の脆弱性評価と定期的な訓練を実施しなければならない。 

G. サイバーセキュリティの監査記録は少なくとも6年保管しなければならない。 

H. サイバーセキュリティ計画は、アプリケーションソフトやアプリについてセキュリティ対策を施すものでなければな

 らない。 

I. 取引関係にある第三者のサイバーセキュリティ方針と手続きは、正式に記録として残さなければならない。第三者の

 セキュリティー方針は、最低限次の要件を満たさなければならない。

*第三者取引先のサイバーセキュリティのリスク評価

*第三者取引先が従うべきサイバーセキュリティ手順を特定し、これを遵守しているかについてのデューデリジェンス

*第三者取引先セキュリティ対策の年次見直しと評価

*第三者取引先との契約には下記項目を含むこと

 ・マルチファクター認証の採用

 ・暗号化

 ・サイバーセキュリティ事故発生時の即時通報

 ・第三者取引先のサイバーセキュリティ体制に対する監査を実行する権利

 ・第三者取引先から規制対象組織に提供されるサービスと製品がサイバーセキュリティの脅威に対応している旨の、当

       該第三者による表明保証

 ・システムとアプリケーション開発およびその品質保証

 ・警備・施錠設備および空調設備 

J.「サイバーセキュリティ事故」(既遂、未遂に関わらず、また成功・不成功に関わらず、情報システムおよびそのシ

 ステムに保存されているデータに対する不正なアクセス、妨害、不正操作と定義される)は、その発生から72時間以内

 にDFSに報告されなければいけない。 

(2) 規則の適用、遵守、運用にあたり考えられる課題

① 「サイバーセキュリティ事故」の定義があまりにも広い。

② 第三者取引先のサイバーセキュリティ規則遵守に責任を持つことはほとんど不可能といえる。

4.筆者から見た今後の検討課題

 筆者は従来からサイバーセキュリティ問題として、EUのサイバーセキュリティ指令やこれを受けた国内法立法例としてドイツの動きを取り上げている。再度、引用する。

(1) 2016.8.31 ブログ「EUのネットワークと情報システムの安全性にかかるEU指令(NIS指令)を採択と今後の課題」(その

 1)、「同(その2) 

(2) 2014.9.1 ブログ「ドイツ連邦内務省等がEUのNIS指令等に準拠するサイバーセキュリティ法案の新バージョ ン草稿を公開」 

 ニューヨーク州の規則をこれらと比較すると対象となる範囲が大きく異なる点は言うまでもないが、これらを比較した検討作業がわが国でも行なわれるべきであることは必須であるし、筆者も引き続き何らかの寄与ができれば幸いである。 

*********************************************************************************

(注1) いわゆる「安全法(Support Anti-terrorism by Fostering Effective Technologies Act: 効果的技術促進による反テロリズム支援法」)は、賠償責任を限定・管理するための法律で、2002年国家安全保障法の一部として成立した。

2002年、国土安全保障法(Public Law 107-296)の一環として、連邦議会は、「2002年効果的技術促進法(以下「安全法」という)による反テロリズム企業支援制度を創設した。この安全法は、テロ対策技術の開発と展開にインセンティブを与えるリスク軽減と訴訟回避システムを作り出すことにある。この法律の目的は、企業の賠償責任を負うことへの脅威が、効果的なテロ対策技術の潜在的な製造業者または売り手が人命を救う可能性のある技術の開発および商業化を阻止しないようにすることにある。このプログラムは、DHSの科学技術局(Science and Technology Directorate)8/31(21) の安全法部が管理する。科学技術局次長は、安全法の適用にかかる決定責任者であるである。(DHSサイトの原文をもとに翻訳ならびに補足を行った)

 (注2) ごく一般的説明ではあるが、DFSのサイトから局長の任務に関する説明文を仮訳しておく。

 局長は、保険法および銀行法の規定に従い、金融商品およびサービスのよりよい監督を行うために次の任務を行う。

① ニューヨーク州での金融業界の発展を促進し、思慮深い規制と慎重な監督を通じた州の経済発展を促進する。

② 金融商品やサービス提供者の持続的な支払い能力(solvency)、安全性、健全性、慎重な行動を確保する。

③ それら提供者の財務上の義務につき、公正でタイムリーかつ衡平な履行を確保する。

④ 金融商品やサービスの利用者につき、それらサービスに関し、金銭的に損失を受けた業者または破産した業者から保護

 する。

⑤ 誠実さ、透明性、公正なビジネスの実践および公的責任につき高い基準を推進する。

⑥ 金融業界の金融詐欺、その他の刑事上の不正行為や非倫理的行為を排除する。

⑦ 金融商品とサービスの利用者を教育、保護し、また金融商品やサービスに関する責任ある意思決定を行うためのタイム

 リーかつ理解可能な情報をユーザに提供する。 

(注3) 奈良房永氏のレポートから「『規則』の要旨」部を一部抜粋する。

 2017より、対象となる企業は、広範囲にわたるサイバーセキュリティ計画および方針の設定、トレーニング体制、リスク分析と脆弱性評価、事故対応能力、およびその他の管理体制を構築することを求められています。さらにこの規則はサイバーセキュリティに関する方針、手順そしてさまざまなテスト計画と評価を定期的に行い、更新するよう求めています。 

(注4) ”23NYCRR500”について、protiviti「サイバーセキュリティ規制(概要)ニューヨーク州金融サービス局 23NYCRR500」が詳しく解説している。

*****************************************************************

Copyright © 2006-2017 芦田勝(Masaru  Ashida)All Rights ReservedYou may reproduce materials available at this site for your own personal use and for non-commercial distribution  

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする