各 位

一般社団法人全国銀行協会

申し合わせ

法人向けインターネット・バンキングに係る預金等の不正な払戻しへの対応について

 一般社団法人全国銀行協会(会長:平野信行 三菱東京UFJ銀行頭取)では、本日開催の理事会において、法人向けインターネット・バンキングにおいて、不正送金被害が拡大している状況を踏まえ、お客さまに安心してインターネット・バンキングをご利用いただくための取組み強化に努めるため、別紙のとおり、法人向けインターネット・バンキングにおけるセキュリティ対策の強化や、被害補償の考え方等に関する申し合わせを行いましたので、ご連絡申しあげます。

以上


 

別紙

 

 

平成26年5月15日

 

法人向けインターネット・バンキングに係る預金等の不正な払戻しへの対応について

 

一般社団法人全国銀行協会

 インターネット・バンキングに係る預金等の不正な払戻しへの対応については、昨年11月、セキュリティ対策の強化やお客さまへの注意喚起、業界内でのタイムリーな情報共有について当協会で申し合わせを行った。また、足下では、個人のお客さまのみならず法人のお客さまにも被害が拡大していることから、今年4月には法人向けインターネット・バンキングに係る預金等の不正な払戻しについて、不正送金被害の特徴や対策事例について、会員銀行向けに通知を行ったところである。
 法人のお客さまにおける被害は、個人のお客さまと比較して被害額が一般に多額に上る傾向があるうえ、犯罪の手口も電子証明書の窃取を伴う高度・巧妙なものが含まれていることから、当協会ではこうした事態を重く受け止め、法人のお客さまにも安心してインターネット・バンキングをご利用いただくための取組みをより一層強化すべく、下記のとおり申し合わせる。

 

 

 

1.法人向けインターネット・バンキングにおけるセキュリティ対策の強化

 

 足下で発生している犯罪手口を踏まえ、会員銀行は、法人向けインターネット・バンキングにおけるウィルス等による不正送金被害を防止するため、各行の法人向けインターネット・バンキングの仕様等に応じ、今後、次のような対策を1つまたは複数組み合わせるなどして、対策を講じていくよう努める。

(1)電子証明書のセキュリティ強化策

  1. 電子証明書をICカード等、取引に利用しているパソコンとは別の媒体・機器へ格納する方式の採用
  2. 電子証明書の権限情報付き再発行を不可とする方式の採用

 

(2)認証方法の強化策
 ワンタイムパスワード(ハードウェアトークン、ソフトウェアトークン、電子メール通知等)、または、お客さまが取引に利用しているパソコンのブラウザとは別の、携帯電話等の機器を用いる取引認証の導入
 (なお、電子メール通知方式の場合は、お客さまの携帯電話アドレス宛送信する等、取引に利用しているパソコンとは別の機器への送信を強く推奨する。)

(3)資金窃取を防止する運用
 事前登録先以外の振込先への受付日当日送金の不実施
 (さらに、都度指定の振込・送金取引(予約取引)の受付時限を制限することも考えられる。)

 また、上記の対策に加え、ウィルス感染を未然に検知・防止するためのセキュリティ対策ソフトの提供や、不正なログイン・取引等を検知し、速やかにお客さまに連絡する体制を整備することは、有効な対策である。

 

 

2.お客さまへの注意喚起

 

 法人向けインターネット・バンキングを利用するお客さまに対し、不正な払戻しの被害防止のため、各行が提供している機能やセキュリティ対策との整合性に留意しつつ、次のような事項の注意喚起・周知や推奨を行う。

(1)法人向けインターネット・バンキングでウィルス等による不正払戻し被害が増加しつつあること
(2)お客さまに以下のような対策をとっていただくこと

【対策事例】

  1. お客さまのパソコンの状態に関する対策

    1. 基本ソフト(OS)やウェブブラウザ等、インストールされている各種ソフトウェアを最新の状態に更新しておく
    2. パソコンにインストールされている各種ソフトウェアで、メーカーのサポート期限が経過した基本ソフト(OS)やウェブブラウザ等(例:Windows XP)は使用しない
    3. お客さまのパソコンにセキュリティ対策ソフトを導入するとともに、最新の状態に更新しておく
    4. インターネット・バンキングへのログイン等に使用するパソコンの利用目的を限定する(不審なウェブサイトやメールの閲覧または送受信に利用しないように留意する)
    5. インターネット・バンキングへのログイン等に使用するパソコンや無線LANのルータ等について、未利用時は可能な限り電源を切断する



  2. インターネット・バンキングの運用における対策

    1. 取引の申請者と承認者とで異なるパソコンを利用する
    2. パスワードを定期的に変更する
    3. 振込・払戻し等の限度額を必要な範囲内でできるだけ低く設定する
    4. 不審なログイン履歴や身に覚えがない取引履歴、取引通知メールがないかを確認する
    5. 銀行が指定した正規の手順以外での電子証明書の利用は行わない 等

 

 

 

3.被害補償の考え方

 

 法人向けインターネット・バンキングの不正払戻し被害が発生した場合には、被害の発生経緯の確認や原因の究明に努めるとともに、お客さまからのご相談に各行が真摯に対応する。そのうえで、補償に関しては、法人と個人は異なるとの従来の考え方は不変であるが、各行が個別にその要否を判断する。
 なお、銀行界としては、今後、セキュリティ対策強化の継続的な検討に加え、法人向けインターネット・バンキングの被害補償の取扱いについて、外部の有識者も交えた当協会内の関係検討部会において、考え方を整理する。

以上