金融機関が犯罪から顧客を保護するための5つのポイント

Value Sharing / 本田陽一

金融機関(特にインターネットサービス)における犯罪の顧客保護対策(犯罪対策)について、ポイントを整理します。

私は、金融機関に対するコンサルティング事業を通じて、それ以前は金融機関に所属して、リスク管理や内部体制構築を行っています。

犯罪対策の重要性は、以下の点が挙げられます。

  • 安心して顧客にサービス利用してもらうため(不正流出、不正アクセスというニュースが報道されると、風評被害からサービス継続も困難になります)

  • 苦情・訴訟リスクを回避するため(顧客自身のパスワード管理に不備があった場合も、金融機関が責任を問われる場合があります)

  • AML/CFTおよび顧客保護の観点で対策が義務付けられており、行政指導を受けるリスクがある

会社はどのように犯罪対策に取り組むべきかについて説明します。具体的には、提供するサービスや顧客層、その時の犯罪者のトレンドに応じて適応する必要があります。その中で、共通して重要なポイントを5つ紹介します。

ポイント1:業界の標準的な対策について情報収集し取り入れる

たとえ顧客の落ち度で、認証情報(IDとパスワード)を盗まれ資産を抜き取られたり、詐欺被害にあったとしても、業界の標準的な対策を講じていないことにより、サービス提供者側の責任に問われる可能性もあります。また、標準的な対策を怠っているとして、苦情や風評被害にあう可能性もあります。

また、犯罪者は、[金融機関の対策レベル=難易度]と[金融機関の預かり資産規模]の掛け算で、標的を評価しますので、狙われないようにするという観点でも必要となります。

ポイント2:安全性、利便性、対策コストの適切なバランスを取るための仕組みを作る

安全性を確保するために、追加の認証や、確認プロセスを追加する等、ある程度の利便性を犠牲にする必要があります。または、より高度な対策を講じることにより、安全性と利便性を両立させる可能性もありますが、対策コストが高くなります。このような安全性、利便性、対策コストのバランスを最適化するための仕組みがあるかが重要です。

また、組織の中で、下記の役割・部署が分かれていることが一般的です。

  • プロダクトの利便性向上を図りユーザー獲得の担当部署

  • 犯罪防止対策の担当部署

  • セキュリティ対策のテクノロジーを活用する専門部署

犯罪対策を適切性を検証することを目的とした、組織横断的な会議体などを通じて、現状把握、対策案の洗い出し、安全性、利便性、対策コストの観点からの確認などを議論することが考えられます。

ポイント3:理論上100%防ぐのは限界があるため、リスクアプローチで対策を講じる

組織横断的な会議体等で対策を議論するにあたり、参加者の温度感のずれは議論を硬直化させる可能性があります。例えば、両極端な意見として下記のような例が考えられます。

  • 顧客の不適切な行動に起因する犯罪被害は会社に責任がない。最低限の対策を講じれば問題ない

  • 理論上、犯罪被害が発生しないようにしないとサービスを提供してはならない

あるべき論は、リスクアプローチで考えることであり、サービス提供者は顧客保護、AML/CFT等の観点から適切な対策は必要ですし、一方でゼロトレランス(1件の犯罪も許容しない)は不可能または際限なく費用が重なりビジネスとして成り立ちません。

次に、リスクアプローチで対策を講じる方法を紹介します。犯罪特性を把握し、目標とする指標を定め、段階的に削減する計画を定め、実行することです。

指標の例は下記の通りです。ただし、犯罪特性を踏まえたカウント方法などの工夫が必要になります。

  • 発生回数

  • 頻度

  • 被害者数

  • 被害額

ポイント4:犯罪者の効率性を落とす対策が有効

対策の検討にあたり、犯罪者の効率を落とすという観点が必要です。なぜなら犯罪者は組織的かつ計画的に実行するのが一般的であり、ビジネスライクな行動をとります。手段もプログラムによる単純作業の自動化や、低賃金労働者の活用など、様々な工夫を行います。

対策を検討する際に、不正のための手間を増やすという観点で検討することで対策の幅が広がる可能性があります。

ポイント5:定期的に対策が十分かモニタリングする

犯罪対策に終わりはなく、新たな脆弱性が発見されたり、巧妙な犯罪の手口が開発されたりします。定期的なモニタリングにより、現状の対策が十分であるかの確認が必要です。

具体的には、下記の観点で、定期的にチェックします。

  • 顧客の被害実績(含むニアミス):単純に発生の有無や件数を確認するだけでなく、原因や犯罪の手口を調査・推測し、これまでの想定と異なる事象が起きていないか、新たな犯罪の手口が起きていないかを確認する。

  • 他社の犯罪発生状況:なぜ犯罪が発生したか、自社において類似した攻撃を受けた場合に、防止することができたかを検証する。

  • 外部の調査機関、犯罪対策のソリューションベンダーのレポートの把握:犯罪手口や防止策のトレンドについて情報収集する。

まとめ

犯罪対策は、正解がなく簡単なものではありません。現状より1つでも工夫して改善するという活動がサービスの継続および顧客の満足度向上につながると考えます。



この記事が気に入ったらサポートをしてみませんか?